SSL-Abfrage mit fetchmail bei GMX einrichten
Ich habe mir mal folgenden Befehl überlegt. Falls der nicht sinnvoll
ist, bitte kritisieren.
Offensichtlich habe ich ein Problem mit dem Zertifikat. Wie muß ich
das eintragen?
Wie bringe ich fetchmail dazu bei ungültigem Zertifikat abzubrechen?
Al
poll pop.gmx.net with proto pop3 timeout 70
user '1' there with password '2' is user here no rewrite no
mimedecode limit 300000 ssl;
Das gibt dann folgendes Log:
fetchmail -v --tracepolls
6.2.1 fragt xxxxxx pop.gmx.net (Protokoll POP3) um Fre 30 Jan 2004
21:22:50 CET: Abfrage gestartet
Herausgeber-Organisation: Thawte Consulting cc
Herausgeber-CommonName: Thawte Server CA
Server-CommonName: pop.gmx.net
pop.gmx.net-Schlüssel-Fingerabdruck:
AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3
Warnung: Server-Zertifikat-Überprüfung: unable to get local issuer
certificate
Herausgeber-Organisation: Thawte Consulting cc
Herausgeber-CommonName: Thawte Server CA
Server-CommonName: pop.gmx.net
Warnung: Server-Zertifikat-Überprüfung: certificate not trusted
Herausgeber-Organisation: Thawte Consulting cc
Herausgeber-CommonName: Thawte Server CA
Server-CommonName: pop.gmx.net
Warnung: Server-Zertifikat-Überprüfung: unable to verify the first
certificate
POP3< +OK GMX POP3 StreamProxy ready <3190.1075494171@mp013>
POP3> CAPA
POP3< -ERR Unknown command.
Unknown command.
Sofortige erneute Abfrage von xxxxxx@pop.gmx.net
Herausgeber-Organisation: Thawte Consulting cc
Herausgeber-CommonName: Thawte Server CA
Server-CommonName: pop.gmx.net
pop.gmx.net-Schlüssel-Fingerabdruck:
AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3
Warnung: Server-Zertifikat-Überprüfung: unable to get local issuer
certificate
Herausgeber-Organisation: Thawte Consulting cc
Herausgeber-CommonName: Thawte Server CA
Server-CommonName: pop.gmx.net
Warnung: Server-Zertifikat-Überprüfung: certificate not trusted
Herausgeber-Organisation: Thawte Consulting cc
Herausgeber-CommonName: Thawte Server CA
Server-CommonName: pop.gmx.net
Warnung: Server-Zertifikat-Überprüfung: unable to verify the first
certificate
POP3< +OK GMX POP3 StreamProxy ready <30775.1075494172@mp014>
POP3> USER xxxxxx
POP3< +OK May I have your password, please?
POP3> PASS
POP3< +OK mailbox has 1 messages (2542 octets)
POP3> STAT
POP3< +OK 1 2542
POP3> LAST
POP3< -ERR unknown command
unknown command
POP3> UIDL
POP3< +OK mailbox has 1 messages (2542 octets)
POP3< 1 0d64b21630345e35ce5510f8aa921d34
POP3< .
1 Nachricht für xxxxxx bei pop.gmx.net (2542 Oktetts).
POP3> LIST
POP3< +OK mailbox has 1 messages (2542 octets)
POP3< 1 2542
POP3< .
POP3> TOP 1 99999999
POP3< +OK message follows
Nachricht xxxxxx@pop.gmx.net:1 von 1 wird gelesen (2542 Oktetts)
SMTP< 220 gw.local ESMTP Postfix
SMTP> EHLO localhost
SMTP< 250-gw.local
SMTP< 250-PIPELINING
SMTP< 250-SIZE 10240000
SMTP< 250-VRFY
SMTP< 250-ETRN
SMTP< 250-XVERP
SMTP< 250 8BITMIME
SMTP> MAIL
FROM:
Hallo Al, Al Bogner schrieb:
Ich habe mir mal folgenden Befehl überlegt. Falls der nicht sinnvoll ist, bitte kritisieren.
Offensichtlich habe ich ein Problem mit dem Zertifikat. Wie muß ich das eintragen?
Wie bringe ich fetchmail dazu bei ungültigem Zertifikat abzubrechen?
Ist hier alles gut erklärt, klappt bei mir mit GMX nach dieser Anleitung. http://bronski.net/howto/fetchmail.php Gruß christian
Am Samstag, 31. Januar 2004 15:14 schrieb Christian Schult:
poll pop.gmx.net with proto pop3
user '1' there with password '2' is xx here ssl
sslfingerprint "AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3"
sslcertck sslcertpath /etc/ssl/certs
gekürzt:
fetchmail -v --tracepolls
6.2.1 fragt xxxxx pop.gmx.net (Protokoll POP3) um Son 01 Feb 2004
18:20:12 CET: Abfrage gestartet
Herausgeber-Organisation: Thawte Consulting cc
Herausgeber-CommonName: Thawte Server CA
Server-CommonName: pop.gmx.net
pop.gmx.net-Schlüssel-Fingerabdruck:
AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3
pop.gmx.net-Fingerabdrücke stimmen überein.
POP3< +OK GMX POP3 StreamProxy ready
Hallo,
Al Bogner
Am Samstag, 31. Januar 2004 15:14 schrieb Christian Schult:
gekürzt: fetchmail -v --tracepolls 6.2.1 fragt xxxxx pop.gmx.net (Protokoll POP3) um Son 01 Feb 2004 18:20:12 CET: Abfrage gestartet Herausgeber-Organisation: Thawte Consulting cc Herausgeber-CommonName: Thawte Server CA Server-CommonName: pop.gmx.net pop.gmx.net-Schlüssel-Fingerabdruck: AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3 pop.gmx.net-Fingerabdrücke stimmen überein. POP3< +OK GMX POP3 StreamProxy ready
POP3> CAPA POP3< -ERR Unknown command. Unknown command. [...] Kann man das "CAPA"-Problem ignorieren?
CAPA steht für Capabilities, fetchmail versucht hier herauszufinden, welche Protokolle gmx unterstützt, CAPA wird in RFC-2449 definiert. Der pop3 Server von gmx unterstützt noch nicht diese Protokollerweiterungen. Du kannst also diese Meldung ignorieren. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Am Sonntag, 1. Februar 2004 19:42 schrieb Dieter Kluenter:
Hallo,
Al Bogner
writes: Am Samstag, 31. Januar 2004 15:14 schrieb Christian Schult:
gekürzt: fetchmail -v --tracepolls 6.2.1 fragt xxxxx pop.gmx.net (Protokoll POP3) um Son 01 Feb 2004 18:20:12 CET: Abfrage gestartet Herausgeber-Organisation: Thawte Consulting cc Herausgeber-CommonName: Thawte Server CA Server-CommonName: pop.gmx.net pop.gmx.net-Schlüssel-Fingerabdruck: AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3 pop.gmx.net-Fingerabdrücke stimmen überein. POP3< +OK GMX POP3 StreamProxy ready
POP3> CAPA POP3< -ERR Unknown command. Unknown command. [...]
Kann man das "CAPA"-Problem ignorieren?
CAPA steht für Capabilities, fetchmail versucht hier herauszufinden, welche Protokolle gmx unterstützt,
Das war mir schon klar. Irritierend war für mich der 2. Abfrage-Versuch.
Du kannst also diese Meldung ignorieren.
Danke für den Hinweis. Al
Am Sonntag, 1. Februar 2004 18:28 schrieb Al Bogner:
POP3< +OK GMX POP3 StreamProxy ready
POP3> CAPA POP3< -ERR Unknown command. Unknown command.
Kann man das "CAPA"-Problem ignorieren?
http://lists.suse.com/archive/suse-linux/2003-Jun/3600.html ?????? -- Andreas
Am Sonntag, 1. Februar 2004 20:50 schrieb Andreas Winkelmann:
Kann man das "CAPA"-Problem ignorieren?
Ist ja nett, wenn man an einen eigenen Thread erinnert wird. Beim Suchen las ich aber, dass man bei _SSL_ "auth password" nicht verwenden soll. Für "Nicht-SSL-Verbindungen" verwende ich das ja. Ich werde mal schauen was tcpdump mit "auth password" rausschickt. Al
Am Sonntag, 1. Februar 2004 22:32 schrieb Al Bogner:
Am Sonntag, 1. Februar 2004 20:50 schrieb Andreas Winkelmann:
Kann man das "CAPA"-Problem ignorieren?
Ist ja nett, wenn man an einen eigenen Thread erinnert wird. Beim Suchen las ich aber, dass man bei _SSL_ "auth password" nicht verwenden soll. Für "Nicht-SSL-Verbindungen" verwende ich das ja.
Ich werde mal schauen was tcpdump mit "auth password" rausschickt.
Es scheint also so zu passen: poll pop.gmx.net with proto pop3 auth password uidl user '1' there with password '2' is xx here ssl sslfingerprint "AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3" sslcertck sslcertpath /etc/ssl/certs Noch eine Kritik an der Syntax? Al
Am Sonntag, 1. Februar 2004 22:32 schrieb Al Bogner:
Am Sonntag, 1. Februar 2004 20:50 schrieb Andreas Winkelmann:
Kann man das "CAPA"-Problem ignorieren?
Ist ja nett, wenn man an einen eigenen Thread erinnert wird. Beim
Ich hatte irgendwie ein déjà-vus.
Suchen las ich aber, dass man bei _SSL_ "auth password" nicht verwenden soll. Für "Nicht-SSL-Verbindungen" verwende ich das ja.
Weil Dein Client (fetchmail) kein "CAPA" abschickt um solche interessanten DInge über den Server zu erfahren: CAPA +OK List of capabilities follows SASL GSSAPI NTLM DIGEST-MD5 CRAM-MD5 STLS EXPIRE NEVER LOGIN-DELAY 0 TOP UIDL PIPELINING RESP-CODES AUTH-RESP-CODE USER IMPLEMENTATION Cyrus POP3 server v2.1.15 Und z.B. das "STLS" wäre das Zauberword dafür dass der Server tls (ssl) unterstüzt. Und die "SASL"-Zeile könnte ihm sagen, dass es ausser dem üblichen "auth password" noch "auth gssapi" oder "auth digest-md5" ... benutzen könnte. Das wäre wichtig, wenn Du fetchmail automatisch entscheiden lassen willst, ob er die Verbindung jetzt verschlüsselt oder anstatt dem Klartext-Password über die Leitung zu schicken lieber md5-hashes sendet. Da dieser Automatismus (capa) von gmx eh nicht unterstüzt wird, kannst Du auch "auth password" benutzen. Es ist noch sehr früh, hoffe es ist verständlich ;-)
Ich werde mal schauen was tcpdump mit "auth password" rausschickt.
Dein Passwort, aber ssl-verschlüsselt. -- Andreas
Am Montag, 2. Februar 2004 06:42 schrieb Andreas Winkelmann:
Suchen las ich aber, dass man bei _SSL_ "auth password" nicht verwenden soll. Für "Nicht-SSL-Verbindungen" verwende ich das ja.
Weil Dein Client (fetchmail) kein "CAPA" abschickt um solche interessanten DInge über den Server zu erfahren:
CAPA +OK List of capabilities follows SASL GSSAPI NTLM DIGEST-MD5 CRAM-MD5 STLS EXPIRE NEVER LOGIN-DELAY 0 TOP UIDL PIPELINING RESP-CODES AUTH-RESP-CODE USER IMPLEMENTATION Cyrus POP3 server v2.1.15
Und z.B. das "STLS" wäre das Zauberword dafür dass der Server tls (ssl) unterstüzt. Und die "SASL"-Zeile könnte ihm sagen, dass es ausser dem üblichen "auth password" noch "auth gssapi" oder "auth digest-md5" ... benutzen könnte.
Sehe ich es richtig, dass "auth password" bei _GMX_ Sinn macht, bei anderen es aber eventuell bessere Möglichkeiten gibt? Bei Arcor scheint "auth password" auch nicht falsch zu sein, oder? Dort wird zwar CAPA verstanden, aber zu SASL steht auch nichts. telnet pop3.arcor.de 110 Trying 151.189.21.113... Connected to pop3.arcor.de. Escape character is '^]'. +OK Hello there. CAPA +OK Here's what I can do: TOP USER LOGIN-DELAY 10 PIPELINING UIDL IMPLEMENTATION Courier Mail Server Ebenso bei web.de telnet pop3.web.de 110 Trying 217.72.192.134... Connected to pop3.web.de. Escape character is '^]'. +OK WEB.DE POP3-Server CAPA +OK EXPIRE 240 LOGIN-DELAY 720 TOP UIDL PIPELINING USER IMPLEMENTATION WEB.DE POP3 Server Welcher Freemailer unterstützt STLS? Ist es bei STLS sinnvoll "auth" of default "any" zu lassen? Was ist eigentlich hier los? 2 messages for xxxxxx at pop3.web.de (3036 octets). reading message xxxxxx@pop3.web.de:1 of 2 (1236 octets) flushed reading message xxxxxx@pop3.web.de:2 of 2 (1800 octets) fetchmail: message delimiter found while scanning headers fetchmail: SMTP error: 502 Error: command not implemented not flushed Hat da ein Spammer einen kaputten Header verwendet? Al
Am Montag, 2. Februar 2004 13:17 schrieb Al Bogner:
Und z.B. das "STLS" wäre das Zauberword dafür dass der Server tls (ssl) unterstüzt. Und die "SASL"-Zeile könnte ihm sagen, dass es ausser dem üblichen "auth password" noch "auth gssapi" oder "auth digest-md5" ... benutzen könnte.
Sehe ich es richtig, dass "auth password" bei _GMX_ Sinn macht, bei anderen es aber eventuell bessere Möglichkeiten gibt?
Yep, aber nur eventuell. Deswegen, wenn das CAPA-Kommando funktioniert, dann lass "auth password" weg.
Bei Arcor scheint "auth password" auch nicht falsch zu sein, oder? Dort wird zwar CAPA verstanden, aber zu SASL steht auch nichts.
Ja, aber wenn es keinen Fehler bringt, kannst Du auch auf den Automatismus vertrauen.
telnet pop3.arcor.de 110 Ebenso bei web.de
Welcher Freemailer unterstützt STLS?
Habe spontan gerade freenet gefunden.
Ist es bei STLS sinnvoll "auth" of default "any" zu lassen?
Lass ihn ruhig dieses CAPA probieren. Es kommt schonmal vor, zumindest ist es bei smtp so, dass sich die angebotenen auth-mechanismen auf einer verschlüsselten Leitung zu einer unverschlüsselten unterscheiden.
Was ist eigentlich hier los?
2 messages for xxxxxx at pop3.web.de (3036 octets). reading message xxxxxx@pop3.web.de:1 of 2 (1236 octets) flushed reading message xxxxxx@pop3.web.de:2 of 2 (1800 octets) fetchmail: message delimiter found while scanning headers fetchmail: SMTP error: 502 Error: command not implemented not flushed
Hat da ein Spammer einen kaputten Header verwendet?
Hmm, sieht nicht nach Header aus. Eher nach Envelope. Wäre interessant, den smtp-dialog zu sehen. -- Andreas
Am Montag, 2. Februar 2004 14:38 schrieb Andreas Winkelmann:
Sehe ich es richtig, dass "auth password" bei _GMX_ Sinn macht, bei anderen es aber eventuell bessere Möglichkeiten gibt?
Yep, aber nur eventuell.
Deswegen, wenn das CAPA-Kommando funktioniert, dann lass "auth password" weg.
Ich frage mich mittlerweile, ob man die doppelte Abfrage einfach ignorieren soll. Ohne "auth password" scheint ja immer die sicherste Methode gewählt zu werden und vielleicht macht der ISP mal den Server sicherer.
Ja, aber wenn es keinen Fehler bringt, kannst Du auch auf den Automatismus vertrauen.
Es gibt auch ganz toll konfigurierte Server: fetchmail: POP3> CAPA fetchmail: POP3< -ERR authorization first fetchmail: authorization first fetchmail: Sofortige erneute Abfrage Mit Login wird es aber auch nicht viel besser CAPA -ERR unimplemented
2 messages for xxxxxx at pop3.web.de (3036 octets). reading message xxxxxx@pop3.web.de:1 of 2 (1236 octets) flushed reading message xxxxxx@pop3.web.de:2 of 2 (1800 octets) fetchmail: message delimiter found while scanning headers fetchmail: SMTP error: 502 Error: command not implemented not flushed
Hat da ein Spammer einen kaputten Header verwendet?
Hmm, sieht nicht nach Header aus. Eher nach Envelope. Wäre interessant, den smtp-dialog zu sehen.
Zeigt das fetchmail -v? Ich habe das Mail aber mittlerweile gelöscht. Wie prüft man eigentlich ein fetchmail-Log automatisch am besten nach Fehlermeldungen? Einfach ein grep? BTW bei Freenet habe ich kein SSL-Weblogin gefunden, damit bietet STLS auch nur vermeintlichen PW-Schutz. Ich suche noch immer einen Freemailer mit STLS und SSL-Weblogin. Al
Hallo,
Al Bogner
Am Montag, 2. Februar 2004 06:42 schrieb Andreas Winkelmann:
Suchen las ich aber, dass man bei _SSL_ "auth password" nicht verwenden soll. Für "Nicht-SSL-Verbindungen" verwende ich das ja.
Weil Dein Client (fetchmail) kein "CAPA" abschickt um solche interessanten DInge über den Server zu erfahren:
CAPA +OK List of capabilities follows SASL GSSAPI NTLM DIGEST-MD5 CRAM-MD5 STLS EXPIRE NEVER LOGIN-DELAY 0 TOP UIDL PIPELINING RESP-CODES AUTH-RESP-CODE USER IMPLEMENTATION Cyrus POP3 server v2.1.15
Und z.B. das "STLS" wäre das Zauberword dafür dass der Server tls (ssl) unterstüzt. Und die "SASL"-Zeile könnte ihm sagen, dass es ausser dem üblichen "auth password" noch "auth gssapi" oder "auth digest-md5" ... benutzen könnte.
Sehe ich es richtig, dass "auth password" bei _GMX_ Sinn macht, bei anderen es aber eventuell bessere Möglichkeiten gibt?
Nein, denn auth password entspricht USER ... PASS...
Bei Arcor scheint "auth password" auch nicht falsch zu sein, oder? Dort wird zwar CAPA verstanden, aber zu SASL steht auch nichts.
Lies doch einmal RFC-2449 speziell Absatz 5 ff [...] -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
participants (4)
-
Al Bogner
-
Andreas Winkelmann
-
Christian Schult
-
Dieter Kluenter