securesmtp.t-online.de wieder mal...
Jens Zenker
habe den Hamster nach langer Zeit mal wieder "ausgemottet". Klappt bis
jetzt so weit alles (nur die Newsserver etc. muss ich noch neu einrichten,
aber das ist kein Problem), au�er der Mailversand �ber
securesmtp.t-online.de macht Probleme:
HamSendMailAuth("securesmtp.t-online.de","587","$#","","######@t-online\.de","","1","3")
Sys {c90} {sendmail securesmtp.t-online.de} Start
I {c90} {sendmail securesmtp.t-online.de} Verbindung aufbauen...
ERR {c90} OpenSSL error: SSL_connect: error:1408F10B:SSL
routines:SSL3_GET_RECORD:wrong version number
WAR {c90} SSL connection failed
ERR {c90} Fehler beim Verbinden mit securesmtp.t-online.de:
ERR {c90} Exception[Exception] Error starting SSL
WAR {c90} Verbindungsversuch mit securesmtp.t-online.de gescheitert!
I {c90} {sendmail securesmtp.t-online.de} Verbindung abbauen...
Sys {c90} {sendmail securesmtp.t-online.de} Ende
HamSendMailAuth("securesmtp.t-online.de","587","$#","","#####@t-online\.de","","3","3")
Sys {940} {sendmail securesmtp.t-online.de} Start
I {940} {sendmail securesmtp.t-online.de} Verbindung aufbauen...
ERR {940} OpenSSL error: SSL_connect: error:14094410:SSL
routines:SSL3_READ_BYTES:sslv3 alert handshake failure
WAR {940} SSL connection failed
WAR {940} Abfrage von Daten von securesmtp.t-online.de gescheitert.
I {940} {sendmail securesmtp.t-online.de} Verbindung abbauen...
Sys {940} {sendmail securesmtp.t-online.de} Ende
HamSendMailAuth("securesmtp.t-online.de","smtp","$#","","#####@t-online\.de","","1","3")
Sys {a30} {sendmail securesmtp.t-online.de} Start
I {a30} {sendmail securesmtp.t-online.de} Verbindung aufbauen...
ERR {a30} OpenSSL error: SSL_connect: error:1408F10B:SSL
routines:SSL3_GET_RECORD:wrong version number
WAR {a30} SSL connection failed
ERR {a30} Fehler beim Verbinden mit securesmtp.t-online.de:
ERR {a30} Exception[Exception] Error starting SSL
WAR {a30} Verbindungsversuch mit securesmtp.t-online.de gescheitert!
I {a30} {sendmail securesmtp.t-online.de} Verbindung abbauen...
Sys {a30} {sendmail securesmtp.t-online.de} Ende
HamSendMailAuth("securesmtp.t-online.de","smtp","$#","","#####@t-online\.de","","3","3")
Sys {cf8} {sendmail securesmtp.t-online.de} Start
I {cf8} {sendmail securesmtp.t-online.de} Verbindung aufbauen...
ERR {cf8} OpenSSL error: SSL_connect: error:14094410:SSL
routines:SSL3_READ_BYTES:sslv3 alert handshake failure
WAR {cf8} SSL connection failed
WAR {cf8} Abfrage von Daten von securesmtp.t-online.de gescheitert.
I {cf8} {sendmail securesmtp.t-online.de} Verbindung abbauen...
Sys {cf8} {sendmail securesmtp.t-online.de} Ende
�ber TheBAT! direkt versenden geht einwandfrei (�ber Port 587):
SEND - Sende Nachricht(en) - 1 Nachricht(en) in der Warteschlange
SEND - Einleitung TLS-Handshake
SEND - Zertifikat S/N: 39F9F92EA1B266BA00024C2C03E63FCC, Algorithmus: RSA
(1024 Bits), ausgestellt von 28.09.2010 bis 20.10.2012 23:59:59, f�r 1
Host(s): securesmtp.t-online.de.
SEND - Besitzer: DE, Hessen, Darmstadt, Deutsche Telekom AG, P&I PSO/DCS,
securesmtp.t-online.de.
SEND - Aussteller: VeriSign Trust Network, VeriSign, Inc., VeriSign
International Server CA - Class 3, www.verisign.com/CPS Incorp.by Ref.
LIABILITY LTD.(c)97 VeriSign.
SEND - Root: US, VeriSign, Inc., Class 3 Public Primary Certification
Authority
SEND - TLS-Handshake vollst�ndig
SEND - verbunden mit dem SMTP-Server
SEND - authentifizieren (Plain)...
SEND - Sende Nachricht an ##########
SEND - Nachricht an ########### versandt (541 Bytes)
SEND - TLS-Verbindung erfolgreich aufgebaut
SEND - Verbindung beendet - 1 Nachricht(en) versandt
Bez�glich des Problems habe ich hier in der Gruppe schon was gefunden...:
...vielleicht gibt es ja aber zwischenzeitlich doch eine L�sung. Ich bin
jedenfalls in der Sache mit meinem Latein am Ende. :-(
PS: Gab es da nicht mal was womit man vor dem Posten eines Hamsterlogs die
Timestamps automatisch entfernen konnte? Habe da was in Erinnerung, ich
finde es leider nicht auf Anhieb.
--
Gru� Jens
"Those who would give up essential Liberty, to purchase a little temporary
Safety, deserve neither Liberty nor Safety." Benjamin Franklin (1706-1790)
Wolfgang Jäth
>
> Bezï¿œglich des Problems habe ich hier in der Gruppe schon was gefunden...:
>
> http://groups.google.com/group/hamster.de.config/browse_thread/thread/4e55b7129e3dcea4/b20810435257637a?hl=de&lnk=gst&q=openssl#b20810435257637a
>
> ...vielleicht gibt es ja aber zwischenzeitlich doch eine Lï¿œsung. Ich bin
> jedenfalls in der Sache mit meinem Latein am Ende. :-(
>
> PS: Gab es da nicht mal was womit man vor dem Posten eines Hamsterlogs die
> Timestamps automatisch entfernen konnte? Habe da was in Erinnerung, ich
> finde es leider nicht auf Anhieb.
Wenn ich es richtig verstehe, geht es in dem geposteten Link um die
Zertifikate. Die kï¿œnnten bei Deinem eingemotteten Hamster natï¿œrlich
tatsï¿œchlich abgelaufen sein. Schalte deren ï¿œberprï¿œfung doch mal
testweise aus (Einstellungen => Mail-Server => SMTP-Mailserver =>
Einstellungen => Wï¿œhle ï¿œberprï¿œfungsverfahren: Keine ï¿œberprï¿œfung).
Wolfgang
--
Jens Zenker
> Wenn ich es richtig verstehe, geht es in dem geposteten Link um die
> Zertifikate. Die k�nnten bei Deinem eingemotteten Hamster nat�rlich
> tats�chlich abgelaufen sein.
Sorry, h�tte ich mit erw�hnen k�nnen, die habe ich vorher nat�rlich mal
erneuert. Was ich gleich noch erw�hnen m�chte, securepop.t-online.de geht
mit
HamFetchMail ("securepop.t-online.de", "995", "$#", "", "####",
"#######","","1","3")
einwandfrei, inklusive der lokalen �berpr�fung der Zertifikate.
> Schalte deren �berpr�fung doch mal testweise aus (Einstellungen =>
> Mail-Server => SMTP-Mailserver => Einstellungen => W�hle
> �berpr�fungsverfahren: Keine �berpr�fung).
In dem Men� habe ich �berhaupt keinen Server eingetragen, mache ich ja
alles �ber die Scriptzeile, die ich im Anfangsposting aufgef�hrt hatte.
Das was Du meinst, kann ich ja dann mit
HamSendMailAuth("securesmtp.t-online.de",..... ,"1","0"
... ,"2","0" oder .... ,"3","0" ausprobieren. Der erste Wert steht f�r
<SSLMode>, also
0 - SSL abgeschaltet
1 - SSL auf separatem Port
2 - TLS, wenn m�glich
3 - TLS wird erzwungen
und der zweite f�r <SSLVerify>, also in dem Fall
0 - Zertifikats�berpr�fung abgeschaltet
Habe ich alles schon probiert, klappt leider nicht. :-(
Alle anderen Server (SMTP/POP3), z.B. die von 1&1, Arcor oder Google
funktionieren (entweder mit ,"1","3" oder ,"3","3"), inklusive lokaler
�berpr�fung der Zertifikate.
Securepop.t-online.de funktioniert auch, schrieb ich ja weiter oben schon.
Alfred Peters
> Hallo alle zusammen,
>
> habe den Hamster nach langer Zeit mal wieder "ausgemottet". Klappt bis
Welche Version?
> jetzt so weit alles (nur die Newsserver etc. muss ich noch neu einrichten,
> aber das ist kein Problem), au�er der Mailversand �ber
> securesmtp.t-online.de macht Probleme:
Ja, ist bekannt.
> Bez�glich des Problems habe ich hier in der Gruppe schon was gefunden...:
>
> http://groups.google.com/group/hamster.de.config/browse_thread/thread/4e55b7129e3dcea4/b20810435257637a?hl=de&lnk=gst&q=openssl#b20810435257637a
Schlecht gesucht. ;-)
Z.Bsp.: <7rufii...@mid.individual.net>
> ...vielleicht gibt es ja aber zwischenzeitlich doch eine L�sung. Ich bin
| V2.1.0.15xx (nightly snapshot {AP2})
[...]
| - Change: [Client]
| �ber die jeweilige Server.ini kann f�r eine SSL-Verbindung der SSL-Type
| vorgegeben werden. Daf�r wird "SSLMethod" in der jeweiligen Protokoll-
| Sektion [POP3]/[SMTP]/[NNTP] auf einen der folgenden Werte gesetzt: {AP2}
| SSLMethod=0 - (= default) Auto-Mode (wie bisher!)
| SSLMethod=1 - erzwinge SSL-Type Version SSL3
| SSLMethod=2 - erzwinge SSL-Type Version TLS1.0
| (GUI: Servereinstellungen; SSL-Einstellungen; SSL-Methode)
| - Change: [Server]
| �ber die Hamster.ini kann f�r eine SSL-Verbindung des jeweiligen Servers
| der SSL-Type vorgegeben werden. {AP2}
| [Setup]
| local.NNTP.Server.SSLMethod=<method>
| local.POP3.Server.SSLMethod=<method>
| local.IMAP.Server.SSLMethod=<method>
| local.SMTP.Server.SSLMethod=<method>
| <method> kann einen der folgenden Werte annehmen:
| 0 - (= default) Auto-Mode (wie bisher!)
| 1 - erzwinge SSL-Type Version SSL3
| 2 - erzwinge SSL-Type Version TLS1.0
| (GUI: Lokale Server; <Protokoll>; SSL-Einstellungen; SSL-Methode)
[...]
| - HamFetchMail, HamSendMail und HamSendMailAuth
| - Change: Der default-Wert f�r die Parameter <SSLMode>, <SSLVerify> und
| <SSLCaFile> wird aus der Server.ini (wenn vorhanden) ausgelesen. {AP2}
| - New: �ber den Parameter <SSLMode> l��t sich der SSL-Type festlegen.
| daf�r erh�ht sich der bisherige <SSLMode> um einen der folgenden Werte:
| 0 (= default) : Auto-Mode (wie bisher!)
| 0x100 (= 1*256) : erzwinge SSL-Type Version SSL3
| 0x200 (= 2*256) : erzwinge SSL-Type Version TLS1.0
> jedenfalls in der Sache mit meinem Latein am Ende. :-(
Falls noch nicht geschehen, bitte auf die aktuelle Stable (2.1.0.11 [1])
updaten und deren fehlerfreie Lauff�higkeit sicherstellen.
Dann meine Version (2.1.0.1521 [2]) in das Verzeichnis kopieren.
F�r securesmtp.t-online.de musst Du nun die automatische
SSL-Type-Erkennung ausgeschalten. Wenn Du 'STARTTLS' (fr�her TLS) benutzen
m�chtest, muss der SSL-Type auf 'TLS1.0' stehen und f�r 'SSL �ber sicherem
Port' auf 'SSL3'.
> HamSendMailAuth("securesmtp.t-online.de","587","$#","","######@t-online\.de","","1","3")
| HamSendMailAuth("securesmtp.t-online.de", 587, "$#", , "######@t-online\.de", ,(1+256) ,3 )
oder
| HamSendMailAuth("securesmtp.t-online.de", "smtp", "$#", , "######@t-online\.de", ,(3+2*256) ,3 )
HTH
Alfred
[1]<http://www.arcorhome.de/newshamster/tgl/>
[2]<http://home.arcor.de/al-peters/hamster2101521.7z>
--
11589.6
Jens Zenker
> Es schrieb einmal Jens Zenker:
>> habe den Hamster nach langer Zeit mal wieder "ausgemottet". Klappt bis
>
> Welche Version?
2.1.0.11
>> jetzt so weit alles (nur die Newsserver etc. muss ich noch neu
>> einrichten, aber das ist kein Problem), au�er der Mailversand �ber
>> securesmtp.t-online.de macht Probleme:
>
> Ja, ist bekannt.
Bei denen (T-Online) muss anscheinend immer was aus der Reihe tanzen, der
Hamster 2.1.0.11 bekommt bei securesmtp.t-online.de rote Backen und The
BAT! "beschwert" sich bei securepop.t-online.de �ber die alte SSL Version
3.0 und verweigert konsequent das Abholen der Mails �ber diesen Server.
:-//
Normalerweise nutze ich das Postfach bei T-Online recht wenig, es *muss*
aber funktionieren, da dar�ber gelegentlich vertragliche Sachen laufen.
> Falls noch nicht geschehen, bitte auf die aktuelle Stable (2.1.0.11 [1])
> updaten und deren fehlerfreie Lauff�higkeit sicherstellen.
Gut, unter Windows 7 64-bit habe ich die noch nicht so lange getestet, bis
jetzt lief sie aber einwandfrei.
> Dann meine Version (2.1.0.1521 [2]) in das Verzeichnis kopieren.
Habe ich gemacht.
> F�r securesmtp.t-online.de musst Du nun die automatische
> SSL-Type-Erkennung ausgeschalten. Wenn Du 'STARTTLS' (fr�her TLS) benutzen
> m�chtest, muss der SSL-Type auf 'TLS1.0' stehen und f�r 'SSL �ber sicherem
> Port' auf 'SSL3'.
Ich habe jetzt:
HamSendMailAuth("securesmtp.t-online.de","587","$#","","#######@t-online\.de","",(3+2*256),3 )
im Script stehen, und zumindest die eine noch in Mail.out liegende Mail hat
Dein Hamster mit:
[...]
I {900} Secure connection with TLSv1, cipher DES-CBC3-SHA, 168 secret bits (168 total)
[...]
fehlerfrei verschickt! :-)
Mir ist zwar im Moment nicht so richtig klar, was die 3+ vor dem 2+256 zu
bedeuten hat, das k�nnte aber an der sp�ten Stunde liegen... Vielleicht
raffe ich das morgen.
> HTH
Bis jetzt ja. Danke Alfred!
Werde das ab morgen mal in Ruhe testen, ich kann zum jetzigen Zeitpunkt
also noch nicht sagen, ob auch alles andere mit Deiner Version fehlerfrei
funktioniert.
BTW: Fehlerfrei, das mit den "blinden Tabs" habe ich schon gel�st (Farblos
(einfache Darstellung)).
Dein Hamster bekommt aber derzeit noch ne gelbe Backe. Er hat f�r jeden bis
jetzt verwendeten Mailserver ein Verzeichnis (da ist die server.ini und
eine greetings.txt drin) angelegt und gibt als Warnung aus, das diese
Verzeichnisse nicht verwendet werden.
Die Version 2.1.0.11 hat das nicht gemacht, nur f�r meine beiden genutzten
Newsserver hat die mal vor einigen Jahren ein Verzeichnis angelegt.
Mich st�ren diese zus�tzlichen Verzeichnisse nicht, aber die gelbe Backe
wegen der "Nichtverwendung" selbiger. Kann mir da jemand bez�glich der
Fehlersuche auf die Spr�nge helfen?
Jens Zenker
> Schlecht gesucht. ;-)
> Z.Bsp.: <7rufii...@mid.individual.net>
Nachtrag dazu: Finde da leider nix. <seufts>
Jens Zenker
[Serververzeichnisse]
> Mich st�ren diese zus�tzlichen Verzeichnisse nicht, aber die gelbe Backe
> wegen der "Nichtverwendung" selbiger. Kann mir da jemand bez�glich der
> Fehlersuche auf die Spr�nge helfen?
Diese Frage hat sich erledigt.
Alfred Peters
>
>> Schlecht gesucht. ;-)
>> Z.Bsp.: <7rufii...@mid.individual.net>
>
> Nachtrag dazu: Finde da leider nix. <seufts>
Das war nur ein Beispiel. Zur Sache steht dort aber auch nicht mehr.
Aber Google findet zu der MID tats�chlich nichts. Sie haben den Thread aber:
Alfred
--
11590.3
Alfred Peters
> Am 04.08.2011 19:10 schrieb Alfred Peters:
>> Es schrieb einmal Jens Zenker:
> HamSendMailAuth("securesmtp.t-online.de","587","$#","","#######@t-online\.de","",(3+2*256),3 )
>
> im Script stehen, und zumindest die eine noch in Mail.out liegende Mail hat
> Dein Hamster mit:
> [...]
> fehlerfrei verschickt! :-)
Fein!
> Mir ist zwar im Moment nicht so richtig klar, was die 3+ vor dem 2+256 zu
> bedeuten hat, das k�nnte aber an der sp�ten Stunde liegen... Vielleicht
> raffe ich das morgen.
;-)
>>| - HamFetchMail, HamSendMail und HamSendMailAuth
>>| - New: �ber den Parameter <SSLMode> l��t sich der SSL-Type festlegen.
>>| daf�r erh�ht sich der bisherige <SSLMode> um einen der folgenden Werte:
>> ======
>>| 0 (= default) : Auto-Mode (wie bisher!)
>>| 0x100 (= 1*256) : erzwinge SSL-Type Version SSL3
>>| 0x200 (= 2*256) : erzwinge SSL-Type Version TLS1.0
Die '3' steht wie bisher auch f�r den SSL-Mode => STARTTLS
> Dein Hamster bekommt aber derzeit noch ne gelbe Backe. Er hat f�r jeden bis
> jetzt verwendeten Mailserver ein Verzeichnis (da ist die server.ini und
> eine greetings.txt drin) angelegt und gibt als Warnung aus, das diese
> Verzeichnisse nicht verwendet werden.
Das ist die Suche nach "�berfl�ssigen Verzeichnissen". Die Meckert, wenn
f�r das Server-Verzeichnis kein Men�-Eintrag existiert.
> Die Version 2.1.0.11 hat das nicht gemacht, nur f�r meine beiden genutzten
> Newsserver hat die mal vor einigen Jahren ein Verzeichnis angelegt.
Der .11 hat die Dateien nur gespeichert, wenn ein Verzeichnis da war.
Jetzt wird das Verzeichnis automatisch angelegt. Mir gef�llt das so
besser, bei�t sich aber mit obiger Funktion. Daf�r eine L�sung zu finden,
steht auch irgendwo auf meiner ToDo-Liste. O:-)
> Mich st�ren diese zus�tzlichen Verzeichnisse nicht, aber die gelbe Backe
> wegen der "Nichtverwendung" selbiger. Kann mir da jemand bez�glich der
> Fehlersuche auf die Spr�nge helfen?
Entweder einen Men�-Eintrag anlegen oder die �berpr�fung abschalten
("Automatische Abl�ufe...").
Alfred
--
11590.3
Jens Zenker
> Es schrieb einmal Jens Zenker:
>> Mir ist zwar im Moment nicht so richtig klar, was die 3+ vor dem 2+256 zu
>> bedeuten hat, das k�nnte aber an der sp�ten Stunde liegen... Vielleicht
>> raffe ich das morgen.
[...]
>>>| - HamFetchMail, HamSendMail und HamSendMailAuth
>>>| - New: �ber den Parameter <SSLMode> l��t sich der SSL-Type festlegen.
>>>| daf�r erh�ht sich der bisherige <SSLMode> um einen der folgenden Werte:
>>> ======
>>>| 0 (= default) : Auto-Mode (wie bisher!)
>>>| 0x100 (= 1*256) : erzwinge SSL-Type Version SSL3
>>>| 0x200 (= 2*256) : erzwinge SSL-Type Version TLS1.0
>
> Die '3' steht wie bisher auch f�r den SSL-Mode => STARTTLS
Danke, jetzt habe ich es begriffen. ;-)
>> Dein Hamster bekommt aber derzeit noch ne gelbe Backe. Er hat f�r jeden
>> bis jetzt verwendeten Mailserver ein Verzeichnis (da ist die server.ini
>> und eine greetings.txt drin) angelegt und gibt als Warnung aus, das
>> diese Verzeichnisse nicht verwendet werden.
>
> Das ist die Suche nach "�berfl�ssigen Verzeichnissen". Die Meckert, wenn
> f�r das Server-Verzeichnis kein Men�-Eintrag existiert.
Danke, hatte das sp�ter noch selber gefunden.
>> Die Version 2.1.0.11 hat das nicht gemacht, nur f�r meine beiden genutzten
>> Newsserver hat die mal vor einigen Jahren ein Verzeichnis angelegt.
>
> Der .11 hat die Dateien nur gespeichert, wenn ein Verzeichnis da war.
> Jetzt wird das Verzeichnis automatisch angelegt. Mir gef�llt das so
> besser, bei�t sich aber mit obiger Funktion.
Ist doch Ok, habe auch kein Problem damit, hatte mich nur etwas gewundert.
Ein Problem gibt es jetzt aber im Test:
Mein MUA (The Bat! (v4.2.44.2) Professional) verliert �fters mal bei der
Abfrage der POP3 Konten bei einem Konto die Verbindung zum Hamster.
Meistens betrifft es nur ein Konto pro Abfragevorgang, aber *nicht* immer
das gleiche Konto.
Der MUA meldet sich normal mit Benutzername und Passwort an, als
Authentifikationsmethode beim Hamster wurde "MD-5 CRAM-HMAC
Abfrage/R�ckmeldung (RFC 2095)" ausgew�hlt.
Es sind 7 Konten, zum Abfragezeitpunkt greifen keine weiteren Nutzer auf
den Hamster zu, das Verbindungslimit (Lokale Server - POP3) stet auf
15/20. Betr�bssystem ist Windows 7 Home Premium 64-bit.
Ein Beispiel als Logauszug:
{ef8} < +OK POP3-Server Classic Hamster Version 2.1 (Build 2.1.0.1521) greets you! <############>
{ef8} > AUTH CRAM-MD5
{ef8} < + PGoxamZwZi4zbm########################
{ef8} > [...]
{ef8} < -ERR [AUTH] No permission
{ef8} Verbindung verloren: 127.0.0.1:110 (872)
{ef8} Verbindung zum Client 127.0.0.1:110 (872) getrennt
Was k�nnte die Ursache f�r dieses Problem sein?
Jens Zenker
> Es schrieb einmal Jens Zenker:
>>> Schlecht gesucht. ;-)
>>> Z.Bsp.: <7rufii...@mid.individual.net>
>> Nachtrag dazu: Finde da leider nix. <seufts>
>
> Das war nur ein Beispiel.
> Aber Google findet zu der MID tats�chlich nichts. Sie haben den Thread aber:
>
> <http://groups.google.com/group/hamster.de.config/browse_thread/thread/c91f6b1eb1dcb363/a455104fc35f3e8d#a455104fc35f3e8d>
Danke.
BTW: Bei Google findet man den Thread hier - bis jetzt - auch noch nicht.
Google war in der Hinsicht auch schon mal besser.
Alfred Peters
> Ein Problem gibt es jetzt aber im Test:
>
> Mein MUA (The Bat! (v4.2.44.2) Professional) verliert �fters mal bei der
> Abfrage der POP3 Konten bei einem Konto die Verbindung zum Hamster.
Mir sind keine Probleme bekannt.
> Meistens betrifft es nur ein Konto pro Abfragevorgang, aber *nicht* immer
> das gleiche Konto.
>
> Der MUA meldet sich normal mit Benutzername und Passwort an, als
> Authentifikationsmethode beim Hamster wurde "MD-5 CRAM-HMAC
> Abfrage/R�ckmeldung (RFC 2095)" ausgew�hlt.
> Ein Beispiel als Logauszug:
> {ef8} < -ERR [AUTH] No permission
Die Verbindung kam zwar zustande, aber der Hamster ist der Meinung, dass
entweder der User (Note2Me: den Fall sollte man loggen) oder der
�bermittelte Passwort-Hash ung�ltig ist.
Das zu �berpr�fen, ist leider etwas umst�ndlich. Unten habe ich ein Skript
angeh�ngt, mit dem sich der Passwort-Hash testen l�sst. Dazu musst Du im
Skript den Salt-Wert und der Passwort-Hash aus dem Log eingetragen.
> {ef8} < +OK POP3-Server Classic Hamster Version 2.1 (Build 2.1.0.1521) greets you! <############>
> {ef8} > AUTH CRAM-MD5
> {ef8} < + PGoxamZwZi4zbm########################
Das hier ---^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
ist der Salt-Wert. An den �bermittelten Passwort-Hash kommst Du, wenn im
Hamster der Loglevel Debug aktiviert ist.
> Was k�nnte die Ursache f�r dieses Problem sein?
Wenn der Passwort-Hash OK ist, liegt der Fehler beim Hamster. Sonst bei
TB! oder irgendwo dazwischen.
Alfred
# !hs2
# Schritt 1:
# Die folgenden Stings m�ssen mit den entsprechenden Werten aus dem Log
# aktualisiert werden. Dazu muss mindestens LogLevel Info und Debug
# aktiviert sein.
# 27:17 I {122c} > AUTH CRAM-MD5
# 27:17 I {122c} < + PGoxazgzNi40aGMuMUBnYW1tYXNpZ21hLnh5Pg==
varset($salt,decodebase64( "PGoxazgzNi40aGMuMUBnYW1tYXNpZ21hLnh5Pg==" ))
# 27:17 d {122c} TSrvPOP3Cli.Recv2(5520): VGVzdCA1YjlkNmY3NGYxZTNiMDM3NDU4ZmMzZDI3YWJlMjhiZQ==
# 27:17 I {122c} > [...]
varset( $user_pw, decodebase64( "VGVzdCA1YjlkNmY3NGYxZTNiMDM3NDU4ZmMzZDI3YWJlMjhiZQ==" ) )
# Schritt 2:
# Dieses Skript starten.
# Das Skript ermittelt den USER-Namen aus dem USER/PW-String
# fragt nach dem zugeh�rigen Passwort.
#
# Anschlie�end ermittelt das Skript, ob der Passwort-Hash g�ltig war.
##########################################
const( $ipad, 0x36 )
const( $opad, 0x5C )
varset( $user, $pw_hash, "<invalid>" )
RE_Split( $user_pw, "\s", $user, $pw_hash )
print( " User: "+ $user )
varset( $check_PW, "Test" )
$check_PW = InputBox( "Passwort f�r User: """+$user+""":", , $check_PW )
varset( $MD5Hash , MD5HMAC( $check_PW, $salt ) )
if ( $MD5Hash = $pw_hash )
print( "Der PW-Hash ist Ok f�r User: "+ $user )
else
print( "Falscher PW-Hash f�r User: "+ $user )
endif
quit
sub MD5HMAC( $Secret,$Challenge )
var( $i )
varset( $oKey, $iKey, "" )
$Secret = trim($Secret)
if ( len($Secret) > 64 )
error( "Secret is to long (>64)" )
endif
if ( len($Secret) < 64 )
for( $i, len($Secret), 63, 1 )
$Secret = $Secret + chr(0)
endfor
endif
for( $i, 1, 64, 1 )
$oKey = $oKey + chr( ord( copy( $Secret, $i, 1) ) ^ $opad )
$iKey = $iKey + chr( ord( copy( $Secret, $i, 1) ) ^ $ipad )
endfor
for( $i, 1, len($Challenge) , 1 )
$iKey = $iKey + copy( $Challenge, $i, 1)
endfor
$iKey = digest( 1, $iKey, 0 )
for( $i, 1, len($iKey) , 1 )
$oKey = $oKey + copy( $iKey, $i, 1)
endfor
return digest( 1, $oKey, 1 )
endsub
--
11595.2
Jens Zenker
> Es schrieb einmal Jens Zenker:
>> Der MUA meldet sich normal mit Benutzername und Passwort an, als
>> Authentifikationsmethode beim Hamster wurde "MD-5 CRAM-HMAC
>> Abfrage/R�ckmeldung (RFC 2095)" ausgew�hlt.
>
>> Ein Beispiel als Logauszug:
>
>> {ef8} < -ERR [AUTH] No permission
>
> Die Verbindung kam zwar zustande, aber der Hamster ist der Meinung, dass
> entweder der User (Note2Me: den Fall sollte man loggen) oder der
> �bermittelte Passwort-Hash ung�ltig ist.
Danke f�r die Erl�uterung.
> Das zu �berpr�fen, ist leider etwas umst�ndlich. Unten habe ich ein
> Skript angeh�ngt, mit dem sich der Passwort-Hash testen l�sst.
Danke!
> Dazu musst Du im Skript den Salt-Wert und der Passwort-Hash aus dem Log
> eingetragen.
>
>> {ef8} < +OK POP3-Server Classic Hamster Version 2.1 (Build 2.1.0.1521) greets you! <############>
>> {ef8} > AUTH CRAM-MD5
>> {ef8} < + PGoxamZwZi4zbm########################
> Das hier ---^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> ist der Salt-Wert.
Ok.
> An den �bermittelten Passwort-Hash kommst Du, wenn im Hamster der
> Loglevel Debug aktiviert ist.
Beim n�chsten Auftreten des Fehlers - heute ist der Fehler bis jetzt noch
nicht aufgetreten - werde ich mal den Loglevel Debug aktivieren und in dem
Fall dann hoffen, das der Fehler bald wieder auftritt.
>> Was k�nnte die Ursache f�r dieses Problem sein?
>
> Wenn der Passwort-Hash OK ist, liegt der Fehler beim Hamster. Sonst bei
> TB! oder irgendwo dazwischen.
Hatte zwischenzeitlich auch die Idee mal eine alternative Login-Methode
auszuprobieren, z.B. MD-5 APOP (RFC 1734) oder Standard. Zumindest
letzteres ist aber nicht wirklich optimal und bringen w�rde das Ganze IHMO
auch nicht viel.
BTW: Gerade eben ist der Fehler erneut aufgetreten. :-/ Werde gleich mal
debug aktivieren...
W�nsche Dir und allen anderen einen sch�nen (Rest)Sonntag.
Jens Zenker
> Das zu überprüfen, ist leider etwas umständlich. Unten habe ich ein
> Skript angehängt, mit dem sich der Passwort-Hash testen lässt. Dazu
> musst Du im Skript den Salt-Wert und der Passwort-Hash aus dem Log
> eingetragen.
>
>> {ef8} < +OK POP3-Server Classic Hamster Version 2.1 (Build 2.1.0.1521) greets you! <############>
>> {ef8} > AUTH CRAM-MD5
>> {ef8} < + PGoxamZwZi4zbm########################
> Das hier ---^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> ist der Salt-Wert. An den übermittelten Passwort-Hash kommst Du, wenn im
> Hamster der Loglevel Debug aktiviert ist.
[....]
> Wenn der Passwort-Hash OK ist, liegt der Fehler beim Hamster. Sonst bei
> TB! oder irgendwo dazwischen.
Der Passwort-Hash ist dann leider nicht OK. Habe das mehrmals getestet.
Das TB! den Wert sporadisch fehlerhaft sendet, dies glaub ich nicht,
denn dies funktionierte jahrelang bei direktem Kontakt zu
popmail.t-online.de. (securepop.t-online.de funktioniert leider bei TB!
nicht, da sich TB! weigert über das veraltete SSL 3.0 eine Verbindung
aufzubauen).
Bleibt nur noch der Weg von TB! zum Hamster, da dies zu Testzwecken alles
auf dem gleichen Rechner läuft, könnte da eigentlich nur der Virenscanner
und das Antispam-Modul von Kaspersky dazwischen funken (beide lauschen auf
Port 110).
Glaub ich aber auch nicht wirklich, denn zumindest damals unter XP lief das
sehr lange in gleicher Konstellation ohne Fehler (zumindest mit der
damaligen Kaspersky-Version).
Kaspersky (AV und Antispam) könnte ich direkt - jeweils als Plugin - in TB!
einbinden und das Lauschen auf Port 110 abstellen, das will ich aber nicht,
da ich gelegentlich auch mit einem anderen Programm Mails lade/sende und
für dieses gibt es kein Plugin.
Zu weiteren Testzwecken habe ich jetzt mal auf APOP umgestellt, mal sehen,
ob der Fehler dort auch auftritt. Ein Freund dieses Verfahrens bin ich
allerdings nicht...
--
Gruß Jens
Jens Zenker
> Die Verbindung kam zwar zustande, aber der Hamster ist der Meinung, dass
> entweder der User (Note2Me: den Fall sollte man loggen) oder der
> übermittelte Passwort-Hash ungültig ist.
Wie gestern angekündigt, habe ich es nun mal mit APOP statt Cram-MD5
getestet. Läuft seit vielen Stunden ohne einen einzigen Fehler. Ist ja an
sich gut, "begreifen" kann ich das aber nicht ganz...
Bei beiden Verfahren werden doch Hashes generiert und
verglichen/verarbeitet, wenn auch bei CRAM-MD5 nach einem etwas
aufwendigeren Verfahren. Warum kommt es da nicht zu Fehlübertragungen?
Gut, "muss" ich eben APOP verwenden. :-/
Alfred, Danke noch einmal für Deine Mühen und Deine Hilfe!
--
Gruß Jens
Alfred Peters
>
>> Die Verbindung kam zwar zustande, aber der Hamster ist der Meinung, dass
>> entweder der User (Note2Me: den Fall sollte man loggen) oder der
JFTR:
Dass der User-Name dem Hamster bekannt war, konnte man doch schon
erkennen. Nur nicht von welcher das war. Zukünftig wird der User-Name mit
geloggt.
> Wie gestern angekündigt, habe ich es nun mal mit APOP statt Cram-MD5
> getestet. Läuft seit vielen Stunden ohne einen einzigen Fehler. Ist ja an
> sich gut, "begreifen" kann ich das aber nicht ganz...
Ja, das ist sehr komisch. Dass Der Virenscanner schuld sein soll, glaube
ich ausnahmsweise nicht. Eher doch an einen Fehler in TB!. Erst recht,
wenn es jetzt mit APOP funktioniert. Hast Du mal in einem TB!-Forum nach
vergleichbaren Meldungen gesucht?
Wenn Du noch Interesse daran hast, lass TB! die E-Mail mit CRAM-MD5 über
SSL abrufen. Dann sollte der Virenscanner ausgeschlossen sein.
> Gut, "muss" ich eben APOP verwenden. :-/
Solange der Hamster nicht öffentlich erreichbar ist, ist das nicht so
kritisch. Und wenn sich Client und Hamster auf einem Rechter befinden,
reicht auch PLAIN. Damit ein Angreifer die Daten abfangen kann, müsste
Dein System bereits kompromittiert sein und dann nützt auch das sicherste
Anmeldeverfahren nichts.
Alfred
--
11600.5
Jens Zenker
> Es schrieb einmal Jens Zenker:
>> Wie gestern angekündigt, habe ich es nun mal mit APOP statt Cram-MD5
>> getestet. Läuft seit vielen Stunden ohne einen einzigen Fehler. Ist ja
>> an sich gut, "begreifen" kann ich das aber nicht ganz...
>
> Ja, das ist sehr komisch. Dass Der Virenscanner schuld sein soll, glaube
> ich ausnahmsweise nicht.
Ich auch nicht, hat früher (noch unter XP) prima funktioniert.
> Eher doch an einen Fehler in TB!. Erst recht, wenn es jetzt mit APOP
> funktioniert.
Dagegen spricht aber, dass es bei direktem Kontakt (TB! direkt zu
popmail.-t-online.de) jahrelang ohne Fehler mit CRAM-MD5 funktioniert hat
(hatte ich schon mal erwähnt).
Naja, ich bleibe jetzt erst mal bei APOP.
> Hast Du mal in einem TB!-Forum nach vergleichbaren Meldungen gesucht?
Ja, aber nix gefunden.
> Wenn Du noch Interesse daran hast, lass TB! die E-Mail mit CRAM-MD5 über
> SSL abrufen. Dann sollte der Virenscanner ausgeschlossen sein.
Werde ich bei Gelegenheit mal probieren.
>> Gut, "muss" ich eben APOP verwenden. :-/
> Solange der Hamster nicht öffentlich erreichbar ist, ist das nicht so
> kritisch. Und wenn sich Client und Hamster auf einem Rechter befinden,
> reicht auch PLAIN.
Das (Client und Hamster auf einem Rechner) wird sich aber ändern, also
bleibe ich da lieber bei APOP.
> Damit ein Angreifer die Daten abfangen kann, müsste Dein System bereits
> kompromittiert sein und dann nützt auch das sicherste Anmeldeverfahren
> nichts.
Das ist klar.