Zertifikatsfehler bei GMX (POP3)

  • Hallo zusammen,


    seit gestern kann ich keine Mails mehr von GMX abrufen, ein TLS-Handshakefehler.


    Im Protokoll sieht das so aus:

    Code
    03.01.2014, 09:27:33: FETCH - Einleitung TLS-Handshake
    >03.01.2014, 09:27:33: FETCH - Zertifikat S/N: 4DC685, Algorithmus: RSA (512 Bits), ausgestellt von 02.01.2014 11:35:01 bis 28.12.2033 11:35:01, für 2 Host(s): pop.gmx.de, pop.gmx.net.
    >03.01.2014, 09:27:33: FETCH - Besitzer: DE, Rhineland-Palatinate, Montabaur, 1&1 Mail & Media GmbH, pop.gmx.net.
    >03.01.2014, 09:27:33: FETCH - Aussteller: DE, Rhineland-Palatinate, Montabaur, 1&1 Mail & Media GmbH, pop.gmx.net.
    !03.01.2014, 09:27:33: FETCH - TLS-Handshakefehler. Ungültiges Server-Zertifikat. Das Zertifikat oder ein Zertifikat in der Zertifikatskette besitzt keine gültige Signatur.. Das Zertifikat oder die Zertifikatskette stammt aus einer nicht vertrauenswürdigen Quelle.


    Als es noch funktionierte stand da noch:

    Code
    01.01.2014, 20:05:23: FETCH - Einleitung TLS-Handshake
    >01.01.2014, 20:05:23: FETCH - Zertifikat S/N: 2CC036C32E5551800B0CA6B8D4717F2F, Algorithmus: RSA (2048 Bits), ausgestellt von 13.11.2013 bis 12.11.2016 23:59:59, für 2 Host(s): pop.gmx.de, pop.gmx.net.
    >01.01.2014, 20:05:23: FETCH - Besitzer: DE, Rhineland-Palatinate, Montabaur, 1&1 Mail & Media GmbH, pop.gmx.net.
    >01.01.2014, 20:05:23: FETCH - Aussteller: US, "Thawte, Inc.", Thawte SSL CA.
     01.01.2014, 20:05:24: FETCH - TLS-Handshake vollständig


    Stimmt der Aussteller nicht mehr?


    Beim telefonischen Support von GMX hat man mir geraten, kurz Thunderbird zu arbeiten um die Zertifikate von Windows zu aktualisieren (soweit ich das verstanden habe). Mit Thunderbird habe ich kein Problem.


    Hat jemand eine Idee? Ich bin total aufgeschimissen ohne meine Fledermaus!


    GRUSZ 20

  • Zitat

    Zertifikat S/N: 4DC685, Algorithmus: RSA (512 Bits)

    Die Seriennummer des Zertifikats stimmt nicht und 512 bit Schlüssellänge ist zu unsicher.
    Da steckt dein Virenscanner dahinter, der fälscht das Zertifikat.
    Deaktiviere die Überwachung sicherer Verbindungen bei E-Mail.


    Oder dein Router verbindet mit einem selbst gestrickten Zertifikat oder ist gehackt.

    The Bat! Pro 10.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.3.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon ()

  • Die Idee mit dem Virenscanner war gut - leider nicht zutreffend, selbst eine Deinstallation des Scanners brachte keine Änderung.


    Zitat

    Oder dein Router verbindet mit einem selbst gestrickten Zertifikat oder ist gehackt.


    Das hört sich nicht gut an! Wie kann ich das prüfen? Ich verwende eine FritzBox 7390.

  • A) Das Zertifikat von GMX hat die Seriennummer 2c c0 36 c3 2e 55 51 80 0b 0c a6 b8 d4 71 7f 2f
    wie auf http://www.ssltools.com/certificate_lookup/pop.gmx.net:995 nachgesehen werden kann.
    Die dir von The bat! angezeigte

    Zitat

    Zertifikat S/N: 4DC685, Algorithmus: RSA (512 Bits),

    ist also falsch!


    B) Vielleicht sind die Zertifikatsdatenbanken von The Bat! defekt.
    Probiere erst mal folgendes:
    1. Beende The Bat!
    2. Öffne den Explorer Im Mailverzeichnis
    3. verschiebe die Dateien IntermCA.ABD und RootCA.ABD (das sind die Zertifikatsdatenbanken) auf deinen Destop und sichere diese dir in einem anderen Verzeichnis
    4. Starte The Bat! und hole Mails ab
    Gehts dann?


    C) Welchen Virenscanner hast du denn?
    Es muss ja nicht der Router sein.
    Oder bist du in einer Firma, die Sicherheitssoftware benutzt?


    D) Kann auch sein, dass der Virenscanner diese seltsamen Zertifikate installiert hat.
    Rufe bitte mal in Windows die Internetoptionen auf
    Registerkarte Inhalte
    Button Zertifikate
    Registerkarte Vertrauenswürdige Stammzertifikats....
    Da schau mal ob was in der Liste drin steht, was den Namen deines Virenscamnners trägt

    The Bat! Pro 10.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.3.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    2 Mal editiert, zuletzt von GwenDragon ()

  • Nach dem Verschieben der IntermCA.ABD und RootCA.ABD werden beide wieder neu angelegt. Leider ändert das nichts am Verhalten. Die Adressbücher werden allerdings im Fenster Adressbuch nicht angezeigt, aber das ist wohl egal.


    Der Virenscanner war ESET NOD32 Antivirus, ich glaube nicht, das hier die Ursache war. Verschlüsselte Mails wurden von dem Scanner standardmäßig nicht bearbeitet.

  • Ich habe im vorherigen Beitrag was nachgetragen.
    Arbeitest du bitte Punkt C) und D) noch ab?


    Der Virenscanner kann es gewesen sein.
    http://kb.eset.com/esetkb/index?page=content&id=SOLN2132
    http://kb.eset.com/esetkb/inde…US&searchid=1383998427699

    The Bat! Pro 10.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.3.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon ()

  • Zitat

    C) [...]
    Oder bist du in einer Firma, die Sicherheitssoftware benutzt?


    Nein, hier läuft nur die Firewall der FritzBox und bis vor kurzem noch ESET NOD32 Antivirus. Weitere Hard- oder Software ist hier nicht aktiv - außer natürlich mein Betriebssystem Win 8.1 64bit


    Zitat

    D) Kann auch sein, dass der Virenscanner diese seltsamen Zertifikate installiert hat.
    Rufe bitte mal in Windows die Internetoptionen auf
    Registerkarte Inhalte
    Button Zertifikate
    Registerkarte Vertrauenswürdige Stammzertifikats....
    Da schau mal ob was in der Liste drin steht, was den Namen deines Virenscamnners trägt


    Da scheint mir (mit aller Vorsicht) nichts drin zu sein, was da nicht hingehört.

  • ich kann mit The Bat! 6.2.2 fehlerfrei mein Testkonto abrufen:

    The Bat! Pro 10.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.3.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • ich kann mit The Bat! 6.2.2 fehlerfrei mein Testkonto abrufen:

    Na, mal sehen wie lange noch ;)
    Ich hatte eben mit den Support von GMX Kontakt un die Info, es würde gerade ein neues Zertifikat "ausgerollt" und derzeit sind noch nicht alle Postfächer davon betroffen. Thawte soll wohl abgelöst werden - im Zuge der NSA-Affäre setzt man wohl mehr auf deutsche Zertifizierungsstellen (in dem Fall wohl Telekom).


    Ich danke dir hier erstmal für deine Bemühungen. Mal sehen ob ich das mit dem Suport von GMX klären kann. Aber wenn dir noch was einfällt ...

  • Da fällt mir noch was ein: Der GMX-Support meinte, das je nach Client unterschiedliche Zertifikate ausgeliefert werden. Gibt es eine Möglichkeit, die Clientkennung bei der Anmeldung zu "fälschen"?

  • Der GMX-Support meinte, das je nach Client unterschiedliche Zertifikate ausgeliefert werden.

    So ein Müll! Das geht technisch nicht.


    typisch 1&1 Media, Support ist sowas von schlecht.


    TheBat sende keine Clientkennung bei POP3:

    Code
    [12:59:45]  C: Connected to pop.gmx.net, port 995
    [12:59:45]  S: +OK POP server ready H migmx118 0MLreM-1VymPe1M71-000Z0d
    [12:59:45]  C: USER testtesttest@gmx.de
    [12:59:45]  S: +OK password required for user "testtesttest@gmx.de"
    [12:59:45]  C: PASS XAagXZZZdXXXY5y
    [12:59:45]  S: +OK mailbox "testtesttest@gmx.de" has 0 messages (0 octets) H migmx118
    [12:59:45]  C: STAT
    [12:59:46]  S: +OK 0 0
    [12:59:46]  C: QUIT
    [12:59:46]  S: +OK POP server signing off


    es würde gerade ein neues Zertifikat "ausgerollt" und derzeit sind noch nicht alle Postfächer davon betroffen. Thawte soll wohl abgelöst werden

    Wundervoll, die machen also gerade ziemlichen Mist. Deren Serveradmins haben wirklich wenig Verstand, wenn's so ist.


    //EDIT: Ja, diese Anfänger haben tatsächlich bei IMAP und SMTP TeleSec-signierte Zertifikate vom November 2013 umgestellt, und POP3 vergessen!

    The Bat! Pro 10.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.3.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    2 Mal editiert, zuletzt von GwenDragon ()

  • :!: Was übrigens das ominöse Zertifikat mit 512 bit (schlüssellänge) und RSA anbelangt, ist das seit langem schon unsicher!
    Seit 1999 wurde RSA mit dieser Schlüssellänge längst geknackt.


    :!:Wer als auf seinem System Software einsetzt, die Zertifikate mit RSA 512 bit unterjubelt, kann gleich unverschlüsselt senden!

    The Bat! Pro 10.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.3.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Wir müssen uns wohl dabei zurückhalten, die Admins von GMX zu beschuldigen ;)


    Der Fehler liegt offenbar irgenwie bei mir! Ich habe eben The Bat! in einer VM (Win7 32 bit) instaliert, selbe Version 6.2.2 und da funktioniert alles!


    Im Protokoll steht (wie auch bei dir):

    Code
    03.01.2014, 16:19:00: FETCH - Einleitung TLS-Handshake
    >03.01.2014, 16:19:01: FETCH - Zertifikat S/N: 2CC036C32E5551800B0CA6B8D4717F2F, Algorithmus: RSA (2048 Bits), ausgestellt von 13.11.2013 bis 12.11.2016 23:59:59, für 2 Host(s): pop.gmx.net, pop.gmx.de.
    >03.01.2014, 16:19:01: FETCH - Besitzer: "DE", "Rhineland-Palatinate", "Montabaur", "1&1 Mail & Media GmbH", "pop.gmx.net".
    >03.01.2014, 16:19:01: FETCH - Aussteller: "US", "Thawte, Inc.", "Thawte SSL CA".
    >03.01.2014, 16:19:01: FETCH - Root: "US", "thawte, Inc.", "Certification Services Division", "(c) 2006 thawte, Inc. - For authorized use only", "thawte Primary Root CA"
     03.01.2014, 16:19:01: FETCH - TLS-Handshake vollständig


    Was nun ?(

  • Ich beschuldige die Admins der Mailserver nicht wegen der 512bit-Zertifikats sondern wegen des heillosen Durcheinanders von TeleSec und Thawte signierten Zertifikaten. Das kann man wirklich besser und schneller lösen. Außerdem schimpfe ich aus Fachwissen und eigener Erfahrung mit denen!


    Dass bei dir in einer VM mit Windows das ganze läuft ohne das gefälschte 512bit-Zertifikat läuft, zeigt, dass auf deinem physischen PC irgendeine Sicherheitssoftware dazwischen hängt und dir das SSL kaputt und unsicher macht!


    Welche Sicherheitssoftware (Firewall, Spamfilterplugin in TheBat, Virenscanner) hast du nun installiert? Irgendeine wird ja da was abfangen.

    The Bat! Pro 10.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.3.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Ich tippe immer noch auf ESET
    https://forum.eset.com/topic/1…th-the-bat-612-and-newer/
    ESET installiert irgendein ESET Root Certificate in den WIndows-Zertifikatsspeicher und hängt sich dann rein in die Verbindung mit Protokoll-Filter/Scan.


    Oder es ist ein anderes Program, das sich reinklinkt.

    The Bat! Pro 10.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.3.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon ()

  • Ich habe es! Dein Hinweis auf "Spamfilterplugin" brachte die Lösung - danke :thumbsup:
    Ich hatte AntispamSniper in der aktuellen Version im Einsatz. Nach der Deinstallation funktioniert nun alles wieder. Der Fehler ist reproduzierbar, eine erneute Installatation führte wieder zu dem Fehler. Na ja, auf das Plugin kann ich verzichten.

  • Puh! Das war anscheinend auch bei mir die Lösung. Ich habe den AntispamSniper jetzt nicht gleich deinstalliert, sondern in den Einstellungen erst einmal "SSL filtern" ausgeschaltet. Wusste vorher gar nicht, dass es diesen Punkt extra gibt. Danach konnte ich meine Testmail empfangen. Mal sehen, wie das jetzt weitergeht. Ich hatte das Ding zwar auch schon mal in Verdacht, habe jedoch nicht die Einstellung gefunden. Ist etwas versteckt.

  • Tja, merkwürdig. Ich kann mich nicht daran erinnern, da je etwas verändert zu haben. Ist aber auch schon zu lange her. Wobei ich sagen muss, dass ich die Bezahlversion habe. Vielleicht ist das da anders. Jedenfalls wollte ich das Programm auch deshalb nicht gleich einfach deinstallieren, sondern erstmal nach Ausweichmöglichkeiten suchen. Vielleicht filtert es ja trotzdem noch, zumindest am Ende auf dem Computer.


    Übrigens habe ich mal ins Logfile geguckt: Es tritt jetzt tatsächlich das richtige Zertifikat mit 2080 Bit in Aktion.