mainboard

IMAP/POP3-Zugriff nur noch mit TLS/SSL

Hintergrund · Konfigurations des E-Mailprogramms: Mozilla/Netscape 6/7, Outlook, Netscape 4, Pine/Elm/Mutt/dtMail, Eudora, andere · Server/Zertifikate

Seit Montag, den 17. Februar 2003 ist der Abruf von E-Mails nur noch über TLS-verschlüsselten POP3/IMAP-Zugriff möglich

Hintergrund

Bisher wurde das Paßwort beim Abrufen von E-Mails immer im Klartext übertragen, so daß man relativ einfach das Paßwort abhören konnte. Mit diesem Paßwort kann jedoch nicht nur ein Fremder ihre E-Mails lesen, sondern auch auf ihren Unix-Account zugreifen und unter Umständen auch auf die Dateien ihres Windowsrechners am Fachbereich (falls vorhanden und je nach Konfiguration). Damit sind jedoch nicht nur die Vertraulichkeit und Integrität ihrer Daten bedroht, sondern Ihr Account kann auch zum Angriff auf andere Accounts oder Rechner misbraucht werden.

Mittels der TLS-Verschlüsselung wird verhindert, daß die Paßwöter unverschlüsselt versendet werden.

TLS steht für Transport Layer Security und ist auch unter dem älteren Namen SSL (Secure Socket Layer) bekannt. (Von uns unterstüzt werden SSL Version 2 und 3 sowie TLS Version 1, das auf SSLv3 basiert.)

IMAP und POP3

Die beiden Protokolle unterscheiden sich im wesentlichen wie folgt:

  • POP3: Die E-Mails werden heruntergeladen und auf dem eigenen Rechner gespeichert.
  • IMAP: Die E-Mails bleiben auf dem Server (wo sie auch im Backup sind).

(Für Leser des Kleingedruckten: Bei POP3 kann man auch einstellen, daß die E-Mails auf dem Server bleiben.)

Konfiguration Ihres E-Mailprogrammes

Bilderbuch zu Mozilla/Netscape 6 und 7/Beonex

Download der Programme: Mozilla und die darauf basierenden Programme Netscape 6/7 und Beonex sind für (fast) alle Betriebssysteme erhältlich, wobei Mozilla auf unseren Unixrechnern installiert ist.

Bilderbuch zu Outlook (Express)

Download der Programme: Outlook und Outlook Express (enthalten im Internet Explorer) sind für Windows und Macintosh verfügbar.

Pine, Elm, Mutt, dtMail

Wenn Sie Pine, Elm, Muttoder dtMail in der Standardkonfiguration verwenden, ändert sich für Sie nichts, da die E-Mails nicht via POP3/IMAP gelesen werden.

Netscape 4.7

POP3: Eine TLS-Verschlüsselung ist nicht möglich. Aktualisieren Sie entweder Ihre Software (empfohlen) oder stellen Sie auf IMAP um.

IMAP: Ein IMAP-Konto lässt sich folgendermassen umstellen:

  1. wählen Sie den Menüpunkt: Edit->Preferences
  2. wählen Sie den Abschnitt "Mail & Newsgroups"
  3. wählen Sie unter Mailservers den eigenen (IMAP-)Server aus und klicken Sie "Edit"
  4. in dem neuen Dialog wählen Sie den Reiter "Erweitert" an
  5. stellen Sie dort ein: "use secure connection (SSL)"

Quelle: Umstellung von gängigen E-Mail-Programmen auf verschlüsselte Datenübertragung (TLS/SSL), Fachbereich Mathematik/Informatik

Eudora (POP3/IMAP)

Dank an Peter West für diese Anleitung:

  1. Unter den Optionen: Tools | Options | Checking Mail Wähle im Feld unten "Secure Sockets when receiving" die Option "Required, Alternate Port"!
  2. Unter den Optionen: Tools | Options | Sending Mail a) Wähle im Feld unten "Secure Sockets when sending" die Option "Never"! b) Uncheck die Option "Allow authentication"!
  3. Unter den Optionen: Tools | Options | Advanced Network Setze Feld "Network buffersize" auf 10000 bytes;
  4. Eudora verlassen und erneut aufrufen, dann - falls nicht bereits automatisch bei Neustart
  5. Unter den Optionen: File | Check Mail Mail vom Server abrufen;
  6. Jetzt wird ein Fehler angezeigt: Zertifikat fehlerhaft oder nicht vorhanden; Fehler beseitigen durch Laden des Zertifikats des Mailservers:
    Unter den Optionen: Tools | Options | Checking Mail Anklicken "Last SSL" Info ;
    Taste ganz unten im Feld "Certificate Information Manager" anklicken, Zertifikat im oberen Fenster "Servercertificate" markieren, und mit "Add to trusted" hinzufügen. Optionsfenster schliessen. Mail sollte nun ohne Kommunikationsfehler abgerufen werden koenne.

Eudora ab Version 5 (Macintosh)

  1. wählen Sie den Menüpunkt: Special->Preferences
  2. wählen Sie den Abschnitt "SSL"
  3. wählen Sie das Email-Konto (Personality) aus
  4. wählen Sie dort für POP und IMAP die Einstellung "Required (Alternate Port)" aus, SMTP bleibt auf "None"

Quelle: Umstellung von gängigen E-Mail-Programmen auf verschlüsselte Datenübertragung (TLS/SSL), Fachbereich Mathematik/Informatik

Andere E-Mailprogramme

Es ist im Prinzip technisch möglich, Windows-Mailprogramme, die selbst keine Unterstützung für SSL/TLS mitbringen, auch weiterhin zu verwenden. Dazu ist es notwendig, dass auf Ihrem Rechner ein sogenannter Tunnel (stunnel) installiert wird, der sozusagen lokal zwischen dem unsicheren Mailprogramm und dem sicheren Server vermittelt. Ihr Passwort kann dann Ihren Rechner nicht mehr unverschlüsselt verlassen. Wir haben dies bisher erfolgreich für die Programme Pegasus Mail und PocoMail eingesetzt. Sollten Sie eine solche Konfiguration benötigen, so wenden Sie sich bitte direkt an die ZEDV (jens.dreger@physik.fu-berlin.de). Bitte geben Sie dabei unbedingt die genaue Version Ihres Mailprogramms an!

Server, Zertifikat, ...

  • POP3/IMAP-Server (E-Mail empfangen): mail.physik.fu-berlin.de (unverändert)
  • SMTP-Server (E-Mail versenden): mail.physik.fu-berlin.de (unverändert und von der Änderung nicht tangiert [Kein STARTTTLS/SMTP_AUTH unterstützt])
  • Certificate Authority (CA) Zertifikat: cacert.crt (CN=ZEDV)
    SHA1-Fingerprint: 50:38:0B:5E:83:0B:FF:5C:DB:64:11:87:46:07:AB:72:ED:F3:34
    MD5-Fingerprint: AF:01:74:43:D9:79:1C:D5:A8:B5:12:DF:FB:D6:EE:FB
  • mail.physik.fu-berlin.de-Fingerprints (IMAP/POP3):
    SHA1-Fingerprint: 63:A6:BB:FB:0D:6C:EF:CD:27:C0:CC:E9:44:79:2A:93:07:33:DD:40
    MD5-Fingerprint: 51:3B:82:43:EA:18:F4:95:B0:22:8C:A0:32:35:36:EC

Die Fingerprints können von den E-Mailprogrammen angezeigt werden und so vom Server geholt werden:

openssl s_client -connect mail.physik.fu-berlin.de:993 -showcerts # IMAP
openssl s_client -connect mail.physik.fu-berlin.de:995 -showcerts # POP3

Speichern von -----BEGIN CERTIFICATE----- bis -----END CERTIFICATE-----

openssl x509       -noout -fingerprint -in mail.physik.fu-berlin.de.pem # MD5
openssl x509 -sha1 -noout -fingerprint -in mail.physik.fu-berlin.de.pem # SHA1