T-Online SSL/TLS, STARTTLS sichere Verbindung gefixt?

Ich glaube, dass der POP3-Server jetzt sogar TLS v1.2 unterstützt (überprüft mit OpenSSL

securepop.t-online.de:995
Protocol  : TLSv1.2
Cipher    : ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE

Bis vor kurzem war es ja noch:

POP3:
Protocol : SSLv3
Cipher : DES-CBC3-SHA

Der Abruf mit v5.8.10 war jedenfalls erfolgreich:

FETCH - Empfange Nachrichten
FETCH - Verbinde mit POP3-Server securepop.t-online.de auf Port 995
FETCH - Einleitung TLS-Handshake
FETCH - Zertifikat S/N: 24A90E378748874EA6C95F334C91BA9D, Algorithmus: RSA (2048 Bits), ausgestellt von 06.12.2013 bis 20.10.2014 23:59:59, für 6 Host(s): securepop.t-online.de, popmail.t-online.de, pop-mail.t-online.de, secure-pop.t-online.de, multipop.t-online.de, pop.t-online.de.
FETCH - Besitzer: DE, Hessen, Darmstadt, Deutsche Telekom AG, P&I AM/DCS, securepop.t-online.de.
FETCH - Aussteller: US, VeriSign, Inc., VeriSign Trust Network, Terms of use at https://www.verisign.com/rpa (c)10, VeriSign Class 3 International Server CA - G3.
FETCH - Root: US, VeriSign, Inc., VeriSign Trust Network, (c) 2006 VeriSign, Inc. - For authorized use only, VeriSign Class 3 Public Primary Certification Authority - G5
FETCH - TLS-Handshake vollständig
FETCH - Verbunden mit dem POP3-Server
FETCH - bestätigt (Standard)
FETCH - 1 Nachricht(en) im Postfach, davon 1 neue
FETCH - Nachricht empfangen
FETCH - 1 Nachrichten vom Server gelöscht
FETCH - Verbindung beendet - 1 Nachricht(en) empfangen

Auch der SMTP-Server ist umgestellt worden:

securesmtp.t-online.de:465
Protocol  : TLSv1.2
Cipher    : ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE

IMAP ist unverändert bei TLS v1.0 geblieben:

Protocol  : TLSv1
Cipher    : AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE

Tatsächlich, securepop.t-online.de ist jetzt TLS 1.2, nicht SSL 3!
Entweder das ist ein Konfigurationsfehler derer Server oder die Admins hatten ein Einsehen, dass SSL 3 zu alt.

Erfreulich, wenns so bleibt.

Jetzt muss TB! aktualisiert werden, da es ja noch den alten TLS 1.1 unterstützt. SCNR!

Zitat von sanyok

Jetzt muss TB! aktualisiert werden, da es ja noch den alten TLS 1.1 unterstützt. SCNR!

Das kostet aber dann nochmal extra!

Zitat von sanyok

Jetzt muss TB! aktualisiert werden, da es ja noch den alten TLS 1.1 unterstützt. SCNR!

Seid froh, dass T-Com eure Mails wegen TOn Line Systems 1.2 nicht so farbig aussehen lässt:
Sehr geehrter Kunde,
wir haben auf TLS 1.2 umgestellt.

Damit sie weiterhin ihre Mails anholen können, ....

Zitat von GwenDragon

Damit sie weiterhin ihre Mails anholen können, ....

Dann einfach antworten: "Jetzt ist es zu spät! Ich bin bereits auf TB! v6.1 umgestiegen! Ihr könnt gerne wieder zu eurem SSL 3.0 zurückkehren!"

Aber eigentlich war das zu erwarten, wenn der wohl bekannteste deutsche Provider komplett auf Verschlüsselung umstellt. Wenn dann immer noch kein TLS unterstützt worden wäre, wäre das natürlich ein sehr großer und unverzeihlicher Fauxpas gewesen.

Hallo,

habe das gerade auch herausgefunden, dass V 4.2.9.1. jetzt verschlüsselt T-Online wieder abrufen kann. Das Ganze ist durchaus witzig:

Als im Herbst T-Online anfing, mit dem Abschalten der unverschlüsselten Verbindungen für Anfang 2014 zu "drohen", habe ich, da TB das alte T-Online-System nicht konnte, mal die Uraltversion von Pegasus Mail 4.31 (von 2005!) probiert. Die ist so alt, dass sie sich anstandslos auf verschlüsselten Abruf bei den T-Online-Identitäten umstellen ließ, hatte ich also eine Fall-back-Option für alle Fälle. Seit letztem Wochenende funktionierte dieser Abruf in Pegasus Mail nicht mehr. Die Hotline wusste natürlich von nichts, warum sollte man auch die Kunden über Änderungen unterrichten: "Nein, hier wurde nichts geändert ..." Natürlich haben sie an der Verschlüsselung "geschraubt", wie man dann erst im Forum erfahren konnte.

Daraufhin habe ich heute mal einfach in The Bat nochmals probiert, ob jetzt hier der verschlüsselte Abruf funktioniert - und siehe da, es geht, V 4 kann jetzt wieder T-Online!

Gruß
Lisa

Zitat von Lisa

Seit letztem Wochenende funktionierte dieser Abruf in Pegasus Mail nicht mehr.

Das liegt wohl daran, dass diese alte Version kein TLS, sondern nur SSL 3.0 unterstützt, während TB! von Anfang an nur TLS unterstützt hat.

Edit:
Habe jetzt nachgeschaut. Mittlerweile gibt es v4.70, die u.a. die OpenSSL-Unterstützung mitbringt. Damit soll nun auch eine verschlüsselte Verbindung mit Mailservern über SSL möglich sein. Auf der Webseite in der Programmbeschreibung steht auch:

• SSL Support on all protocols for secure mail access

Von TLS keine Rede.

Ich hatte grade zuviel Zeit, und gedacht, gibste der Fledermaus mal doch noch eine Chance, und hab die in meinem Betreff genannten Einstellung ausprobiert, und das mit Erfolg! Ich bin positiv überrascht, und wollte das gleich melden. Dann muß ich also doch nicht an diesem Wochenende auf Thunderbird umstellen...

SMTP geht dabei auf smptmail.t-online.de Port 465 und POP3 auf popmail.t-online.de Port 995.

Es gibt dann ein TLS-Handshake, und der Abruf vom POP-Server funktioniert. Senden auch. Na also!

Zitat von L.Willms

SMTP geht dabei auf smptmail.t-online.de Port 465 und POP3 auf popmail.t-online.de Port 995.

Es gibt dann ein TLS-Handshake, und der Abruf vom POP-Server funktioniert. Senden auch.

ja, es geht. Kann aber Zufall sein, dass die das eingerichtet haben!
Und offizielle Server sind das nicht für sichere Verbindungen.

Zitat von GwenDragon

offizielle Server sind das nicht für sichere Verbindungen.

Wenn die Standardserver nur noch verschlüsselte Verbindungen mit SSL und TLS annehmen, dann braucht man die "secure" Server nicht mehr. Oder wozu sollte man da noch einen Unterschied machen?

Zitat von L.Willms

Wenn die Standardserver nur noch verschlüsselte Verbindungen mit SSL und TLS annehmen, dann braucht man die "secure" Server nicht mehr. Oder wozu sollte man da noch einen Unterschied machen?

Ja, rein theoretisch ist das so zu sehen.
Da aber T-Com unvorhersehbar in Behörden-Bundespost-Manier in deren Mailserver Features ignorierte oder nicht korrekt implementierte, rechne ich eher damit dass man sich in Deutschland an deren offizielle Angaben zu halten hat.

Derzeit wird smptmail.t-online.de und popmail.t-online.de gar nicht über meine T-Com-DSL-Einwahl per DNS aufgelöst.

Zitat von GwenDragon

Derzeit wird smptmail.t-online.de und popmail.t-online.de gar nicht über meine T-Com-DSL-Einwahl per DNS aufgelöst.

Mal dieses probiert?

> ipconfig /displaydns

> ipconfig /flushdns

oder

> nslookup

Name: popmail.t-online.de
Address: 194.25.134.115

Vielleicht auch ganz hart:

> ipconfig /renew

Natürlich habe ich auch mal den DNS-Cache geleert und ein neues DHCP-Lease angefordert

Du hast mir einen falschen SMTP-Server genannt.
Aber smtpmail.t-online.de ist natürlich nur richtig.

Gestern ging es eben nicht, wohl gestörte Nameserver bei T-Com.
Heute lösen die wieder auf.

Zitat von GwenDragon

Du hast mir einen falschen SMTP-Server genannt.
Aber smtpmail.t-online.de ist natürlich nur richtig.

Oh, ich hatte zwei Wegstaben verbuchselt! smpt statt richtig smtp. Sowas kommt vom selberschreiben statt copy-and-paste.

ich bitte vielmals um Verzeihung für die gestiftete Verwirrung.

Derzeit läuft TLS auch mit alten The Bat!s auf T-Online.
Mit The Bat 5.8.8 getestet.

• popmail.t-online.de:995
• imapmail.t-online.de:993
• smtpmail.t-online.de:465

Dass auch diese Domains gehen, liegt wohl daran, dass diese DNS-Einträge auf die IPs von secure...t-online.de auflösen.

Na ja, solange es so geht, will ich nicht meckern

Zitat von GwenDragon

Mit The Bat 5.8.8 getestet.

Müsste auch mit v4.x und eventuell sogar mit v3.x (zumindest mit v3.99) gehen, da diese TLS ebenfalls unterstützen.