TLS-Handshakefehler

  • Hallo zusammen,

    ein von mir betreuter User fährt noch TheBat 7.4.16 und hat seit einer Woche das Problem daß keine Emails mehr empfangen werden.

    Sieht dann so aus (siehe Screenshot).

    Emails versenden funktioniert weiterhin.

    Es ist ein POP3-Konto bei Domainfactory, (TLS/Port 995).
    Ich selber habe mit meinen POP3-Konten in der gleichen Domain mit aktuellem V9-Thebat kein Problem.
    Kann mir jemand einen Tip geben was die eigentliche Ursache ist?

    Danke!
    Viele Grüße,
    Thomas

  • Ich könnte mir vorstellen, dass im Adressbuch von Version 7.4.16 ein Zertifikat von Domainfactory hinterlegt ist, das letzte Woche abgelaufen ist. Daher scheitert der Verbindungsaufbau über verschlüsselte Verbindungen. Er müsste das aktuelle Zertifikat besorgen und im Adressbuch einfügen. Er muss dafür vorher die Zertifikats-Adressbücher einblenden, falls die nicht sichtbar sind.

  • Hallo mse,

    ja, hatte ich auch zunächst vermutet, habe daher dort einen neuen "Kontakt" im Trusted-CA erstellt und das dazugehörige Zertifikat

    von der df.eu-Webseite runtergeladen und dort importiert.

    Adressbuch geschlossen und Emails empfangen - keine Änderung;weiterhin kein Email-Empfang.

    Was kann es noch sein?

    Viele Grüße,

    Thomas

  • Es kann sehr wohl sein, dass der Mailprovider seine Server oder zumindest den POP3-Server auf TLS 1.2 umgestellt hat, den TB! v7 aber leider nicht unterstützt. Die gleiche Fehlermeldung gibt's z.B. auch zwischen TB! v7 und Mailbox.org. Ein Upgrade mindestens auf v8.4.0.4 (vgl. dort Changelog) ist daher unumgänglich.

    Der betroffene Benutzer könnte es mit IMAP versuchen. Vielleicht ist es wie SMTP noch nicht umgestellt.

  • Hallo Sanyok,
    ok, danke. Wobei ja interessant ist daß der Emailversand noch funktioniert (TLS/465)
    Habe aber gerade eine Info gefunden daß DomainFactory "Zug um Zug" die Server auf TLS1.2 umstellt, dann wird das so sein.
    Ich mache mal das Upgrade.

    Ich hoffe mal daß die wenig aussagekräftige Fehlermeldung im Log in v8 und v9 verbessert wurde.
    Danke!
    Viele Grüße,
    Thomas

  • Der Mailserver sslmailpool.ispgateway.de kann kein TLS 1.1., nur TLS 1.2.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Hallo Gwen,

    danke für die Bestätigung! Wo kann man das nachsehen?

    Für die Alternative sslin.df.eu gilt das dann wohl auch (bei dem User wurde dies bis zum Problem genutzt).

    sslout.df.eu funktioniert weiterhin für den Mailversand, vermutlich kann der noch TLS1.1.

    Danke

    viele Grüße,

    Thomas

  • Ich hoffe mal daß die wenig aussagekräftige Fehlermeldung im Log in v8 und v9 verbessert wurde.

    TLS-Handshakefehler deutet bereits darauf hin, dass ein Problem mit TLS besteht. Im Übrigen ist es sicherlich schwer, eine Fehlermeldung für eine Technologie zu erstellen, die zum Zeitpunkt der Programmerstellung noch nicht existiert, zumindest im eMail-Verkehr.

    Wo kann man das nachsehen?

    Z.B. mit SSLScan. Der Test mit sslin.df.eu auf dem POP3-Port 995 zeigt:

    Code
    SSLv2     disabled
    SSLv3     disabled
    TLSv1.0   disabled
    TLSv1.1   disabled
    TLSv1.2   enabled
    TLSv1.3   disabled

    Dasselbe mit sslmailpool.ispgateway.de.

    Bei sslout.df.eu auf dem SMTP-Port 465 wird hingegen angezeigt:

    Code
    SSLv2     disabled
    SSLv3     disabled
    TLSv1.0   enabled
    TLSv1.1   enabled
    TLSv1.2   enabled
    TLSv1.3   disabled

    Da wird sogar noch TLS 1.0 unterstützt.

  • Vor allem für den Fall, dass das jemand nicht wusste, möchte ich an dieser Stelle mitteilen, dass dafür ein großer Dank an Gwen geht. :thumbup:

    Es ist zwar nicht bekannt, ob Ritlabs das damals nicht schon von sich aus intern beraten haben. Jedenfalls gab's dafür keine Anzeichen. Daher kann man durchaus behaupten, dass TLS 1.2 erst aufgrund der Initiative von Gwen mittels eines Eintrages im Bugtracker integriert wurde.

    Und zwar handelt es sich um diesen hier - #0000520: Update SSL connections to TLS v1.2 with more secure ciphers + Forward Secrecy

    Der Wunsch wurde noch 2014 zu Zeiten von TB! v6 erstellt, jedoch erst vier Jahre später in v8 verwirklicht. Offensichtlich dachte sich Ritlabs lange Zeit, dass es nicht wichtig ist. Man darf z.B. daran erinnern, dass selbst TLS 1.1 erst seit v6.2.2 unterstützt wird. Es kann daher sehr wohl sein, dass auch TLS 1.2 bis heute nicht eingebaut worden wäre.

    Es zeigt erneut, dass es sich lohnt, Wünsche zu äußern und darauf hartnäckig zu beharren.