SSL-Abfrage mit fetchmail bei GMX einrichten

Hallo Al,

Post by Al Bogner
Ich habe mir mal folgenden Befehl überlegt. Falls der nicht sinnvoll
ist, bitte kritisieren.
Offensichtlich habe ich ein Problem mit dem Zertifikat. Wie muß ich
das eintragen?
Wie bringe ich fetchmail dazu bei ungültigem Zertifikat abzubrechen?

Ist hier alles gut erklärt, klappt bei mir mit GMX nach dieser
Anleitung.

http://bronski.net/howto/fetchmail.php

Gruß

christian

--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-***@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-***@suse.com

Al Bogner

2004-02-01 17:28:22 UTC

Post by Christian Schult
http://bronski.net/howto/fetchmail.php

poll pop.gmx.net with proto pop3
user '1' there with password '2' is xx here ssl
sslfingerprint "AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3"
sslcertck sslcertpath /etc/ssl/certs

gekürzt:
fetchmail -v --tracepolls
6.2.1 fragt xxxxx pop.gmx.net (Protokoll POP3) um Son 01 Feb 2004
18:20:12 CET: Abfrage gestartet
Herausgeber-Organisation: Thawte Consulting cc
Herausgeber-CommonName: Thawte Server CA
Server-CommonName: pop.gmx.net
pop.gmx.net-Schlüssel-Fingerabdruck:
AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3
pop.gmx.net-Fingerabdrücke stimmen überein.
POP3< +OK GMX POP3 StreamProxy ready <***@mp009>
POP3> CAPA
POP3< -ERR Unknown command.
Unknown command.
Sofortige erneute Abfrage von ***@pop.gmx.net
Herausgeber-Organisation: Thawte Consulting cc
Herausgeber-CommonName: Thawte Server CA
Server-CommonName: pop.gmx.net
pop.gmx.net-Schlüssel-Fingerabdruck:
AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3
pop.gmx.net-Fingerabdrücke stimmen überein.
POP3< +OK GMX POP3 StreamProxy ready <***@mp008>
POP3> USER xxxxxx
POP3< +OK May I have your password, please?
POP3> PASS
POP3< +OK mailbox has 0 messages (0 octets)
POP3> STAT
POP3< +OK 0 0
Keine Post für xxxxxx bei pop.gmx.net
POP3> QUIT
POP3< +OK bye
6.2.1 fragt xxxxx pop.gmx.net (Protokoll POP3) um Son 01 Feb 2004
18:20:16 CET: Abfrage beendet
normaler Beendigung, Status 1

telnet pop.gmx.net 110
Trying 213.165.64.20...
Connected to pop.gmx.net.
Escape character is '^]'.
+OK GMX POP3 StreamProxy ready
CAPA
-ERR Unknown command.
QUIT
Connection closed by foreign host.

Kann man das "CAPA"-Problem ignorieren?

Al

--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-***@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-***@suse.com

Dieter Kluenter

2004-02-01 18:42:39 UTC

Hallo,

Post by Al Bogner
fetchmail -v --tracepolls
6.2.1 fragt xxxxx pop.gmx.net (Protokoll POP3) um Son 01 Feb 2004
18:20:12 CET: Abfrage gestartet
Herausgeber-Organisation: Thawte Consulting cc
Herausgeber-CommonName: Thawte Server CA
Server-CommonName: pop.gmx.net
AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3
pop.gmx.net-Fingerabdrücke stimmen überein.
POP3> CAPA
POP3< -ERR Unknown command.
Unknown command.

[...]

Post by Al Bogner
Kann man das "CAPA"-Problem ignorieren?

CAPA steht für Capabilities, fetchmail versucht hier herauszufinden,
welche Protokolle gmx unterstützt, CAPA wird in RFC-2449
definiert. Der pop3 Server von gmx unterstützt noch nicht diese
Protokollerweiterungen.
Du kannst also diese Meldung ignorieren.

-Dieter
--
Dieter Kluenter | Systemberatung
Tel:040.64861967 | Fax: 040.64891521
mailto: dkluenter(at)dkluenter.de
http://www.avci.de

--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-***@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-***@suse.com

Al Bogner

2004-02-01 19:37:50 UTC

Post by Dieter Kluenter
Hallo,

Post by Al Bogner
fetchmail -v --tracepolls
6.2.1 fragt xxxxx pop.gmx.net (Protokoll POP3) um Son 01 Feb
2004 18:20:12 CET: Abfrage gestartet
Herausgeber-Organisation: Thawte Consulting cc
Herausgeber-CommonName: Thawte Server CA
Server-CommonName: pop.gmx.net
AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3
pop.gmx.net-Fingerabdrücke stimmen überein.
POP3> CAPA
POP3< -ERR Unknown command.
Unknown command.

[...]

Post by Al Bogner
Kann man das "CAPA"-Problem ignorieren?

CAPA steht für Capabilities, fetchmail versucht hier
herauszufinden, welche Protokolle gmx unterstützt,

Das war mir schon klar. Irritierend war für mich der 2.
Abfrage-Versuch.

Post by Dieter Kluenter
Du kannst also diese Meldung ignorieren.

Danke für den Hinweis.

Al

--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-***@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-***@suse.com

Andreas Winkelmann

2004-02-01 19:50:46 UTC

Post by Al Bogner
POP3> CAPA
POP3< -ERR Unknown command.
Unknown command.
Kann man das "CAPA"-Problem ignorieren?

http://lists.suse.com/archive/suse-linux/2003-Jun/3600.html

??????

--
Andreas
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-***@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-***@suse.com

Al Bogner

2004-02-01 21:32:34 UTC

Post by Al Bogner
Kann man das "CAPA"-Problem ignorieren?

http://lists.suse.com/archive/suse-linux/2003-Jun/3600.html

Ist ja nett, wenn man an einen eigenen Thread erinnert wird. Beim
Suchen las ich aber, dass man bei _SSL_ "auth password" nicht
verwenden soll. Für "Nicht-SSL-Verbindungen" verwende ich das ja.

Ich werde mal schauen was tcpdump mit "auth password" rausschickt.

Al

--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-***@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-***@suse.com

Al Bogner

2004-02-01 22:54:15 UTC

Post by Al Bogner
Kann man das "CAPA"-Problem ignorieren?

http://lists.suse.com/archive/suse-linux/2003-Jun/3600.html

Ist ja nett, wenn man an einen eigenen Thread erinnert wird. Beim
Suchen las ich aber, dass man bei _SSL_ "auth password" nicht
verwenden soll. Für "Nicht-SSL-Verbindungen" verwende ich das ja.
Ich werde mal schauen was tcpdump mit "auth password"
rausschickt.

Es scheint also so zu passen:

poll pop.gmx.net with proto pop3 auth password uidl
user '1' there with password '2' is xx here ssl
sslfingerprint "AF:96:74:12:74:16:04:F0:2C:3D:78:28:1C:69:44:E3"
sslcertck sslcertpath /etc/ssl/certs

Noch eine Kritik an der Syntax?

Al

--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-***@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-***@suse.com

Andreas Winkelmann

2004-02-02 05:42:04 UTC

Post by Al Bogner
Kann man das "CAPA"-Problem ignorieren?

http://lists.suse.com/archive/suse-linux/2003-Jun/3600.html

Ist ja nett, wenn man an einen eigenen Thread erinnert wird. Beim

Ich hatte irgendwie ein déjà-vus.

Post by Al Bogner
Suchen las ich aber, dass man bei _SSL_ "auth password" nicht
verwenden soll. Für "Nicht-SSL-Verbindungen" verwende ich das ja.

Weil Dein Client (fetchmail) kein "CAPA" abschickt um solche interessanten
DInge über den Server zu erfahren:

CAPA
+OK List of capabilities follows
SASL GSSAPI NTLM DIGEST-MD5 CRAM-MD5
STLS
EXPIRE NEVER
LOGIN-DELAY 0
TOP
UIDL
PIPELINING
RESP-CODES
AUTH-RESP-CODE
USER
IMPLEMENTATION Cyrus POP3 server v2.1.15

Und z.B. das "STLS" wäre das Zauberword dafür dass der Server tls (ssl)
unterstüzt. Und die "SASL"-Zeile könnte ihm sagen, dass es ausser dem
üblichen "auth password" noch "auth gssapi" oder "auth digest-md5" ...
benutzen könnte.

Das wäre wichtig, wenn Du fetchmail automatisch entscheiden lassen willst, ob
er die Verbindung jetzt verschlüsselt oder anstatt dem Klartext-Password über
die Leitung zu schicken lieber md5-hashes sendet.

Da dieser Automatismus (capa) von gmx eh nicht unterstüzt wird, kannst Du auch
"auth password" benutzen.

Es ist noch sehr früh, hoffe es ist verständlich ;-)

Post by Al Bogner
Ich werde mal schauen was tcpdump mit "auth password" rausschickt.

Dein Passwort, aber ssl-verschlüsselt.

--
Andreas
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-***@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-***@suse.com

Al Bogner

2004-02-02 12:17:32 UTC

Post by Al Bogner
Suchen las ich aber, dass man bei _SSL_ "auth password" nicht
verwenden soll. Für "Nicht-SSL-Verbindungen" verwende ich das ja.

Weil Dein Client (fetchmail) kein "CAPA" abschickt um solche
CAPA
+OK List of capabilities follows
SASL GSSAPI NTLM DIGEST-MD5 CRAM-MD5
STLS
EXPIRE NEVER
LOGIN-DELAY 0
TOP
UIDL
PIPELINING
RESP-CODES
AUTH-RESP-CODE
USER
IMPLEMENTATION Cyrus POP3 server v2.1.15
Und z.B. das "STLS" wäre das Zauberword dafür dass der Server tls
(ssl) unterstüzt. Und die "SASL"-Zeile könnte ihm sagen, dass es
ausser dem üblichen "auth password" noch "auth gssapi" oder "auth
digest-md5" ... benutzen könnte.

Sehe ich es richtig, dass "auth password" bei _GMX_ Sinn macht, bei
anderen es aber eventuell bessere Möglichkeiten gibt?

Bei Arcor scheint "auth password" auch nicht falsch zu sein, oder?
Dort wird zwar CAPA verstanden, aber zu SASL steht auch nichts.

telnet pop3.arcor.de 110
Trying 151.189.21.113...
Connected to pop3.arcor.de.
Escape character is '^]'.
+OK Hello there.
CAPA
+OK Here's what I can do:
TOP
USER
LOGIN-DELAY 10
PIPELINING
UIDL
IMPLEMENTATION Courier Mail Server

Ebenso bei web.de

telnet pop3.web.de 110
Trying 217.72.192.134...
Connected to pop3.web.de.
Escape character is '^]'.
+OK WEB.DE POP3-Server
CAPA
+OK
EXPIRE 240
LOGIN-DELAY 720
TOP
UIDL
PIPELINING
USER
IMPLEMENTATION WEB.DE POP3 Server

Welcher Freemailer unterstützt STLS?

Ist es bei STLS sinnvoll "auth" of default "any" zu lassen?

Was ist eigentlich hier los?

2 messages for xxxxxx at pop3.web.de (3036 octets).
reading message ***@pop3.web.de:1 of 2 (1236 octets) flushed
reading message ***@pop3.web.de:2 of 2 (1800 octets) fetchmail:
message delimiter found while scanning headers
fetchmail: SMTP error: 502 Error: command not implemented
not flushed

Hat da ein Spammer einen kaputten Header verwendet?

Al

--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-***@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-***@suse.com

Andreas Winkelmann

2004-02-02 13:38:55 UTC

Post by Andreas Winkelmann
Und z.B. das "STLS" wäre das Zauberword dafür dass der Server tls
(ssl) unterstüzt. Und die "SASL"-Zeile könnte ihm sagen, dass es
ausser dem üblichen "auth password" noch "auth gssapi" oder "auth
digest-md5" ... benutzen könnte.

Sehe ich es richtig, dass "auth password" bei _GMX_ Sinn macht, bei
anderen es aber eventuell bessere Möglichkeiten gibt?

Yep, aber nur eventuell.

Deswegen, wenn das CAPA-Kommando funktioniert, dann lass "auth password" weg.

Post by Al Bogner
Bei Arcor scheint "auth password" auch nicht falsch zu sein, oder?
Dort wird zwar CAPA verstanden, aber zu SASL steht auch nichts.

Ja, aber wenn es keinen Fehler bringt, kannst Du auch auf den Automatismus
vertrauen.

Post by Al Bogner
telnet pop3.arcor.de 110
Ebenso bei web.de
Welcher Freemailer unterstützt STLS?

Habe spontan gerade freenet gefunden.

Post by Al Bogner
Ist es bei STLS sinnvoll "auth" of default "any" zu lassen?

Lass ihn ruhig dieses CAPA probieren. Es kommt schonmal vor, zumindest ist es
bei smtp so, dass sich die angebotenen auth-mechanismen auf einer
verschlüsselten Leitung zu einer unverschlüsselten unterscheiden.

Post by Al Bogner
Was ist eigentlich hier los?
2 messages for xxxxxx at pop3.web.de (3036 octets).
message delimiter found while scanning headers
fetchmail: SMTP error: 502 Error: command not implemented
not flushed
Hat da ein Spammer einen kaputten Header verwendet?

Hmm, sieht nicht nach Header aus. Eher nach Envelope. Wäre interessant, den
smtp-dialog zu sehen.

--
Andreas
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-***@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-***@suse.com

Al Bogner

2004-02-02 17:29:17 UTC

Post by Al Bogner
Sehe ich es richtig, dass "auth password" bei _GMX_ Sinn macht,
bei anderen es aber eventuell bessere Möglichkeiten gibt?

Yep, aber nur eventuell.
Deswegen, wenn das CAPA-Kommando funktioniert, dann lass "auth
password" weg.

Ich frage mich mittlerweile, ob man die doppelte Abfrage einfach
ignorieren soll. Ohne "auth password" scheint ja immer die
sicherste Methode gewählt zu werden und vielleicht macht der ISP mal
den Server sicherer.

Post by Andreas Winkelmann
Ja, aber wenn es keinen Fehler bringt, kannst Du auch auf den
Automatismus vertrauen.

Es gibt auch ganz toll konfigurierte Server:

fetchmail: POP3> CAPA
fetchmail: POP3< -ERR authorization first
fetchmail: authorization first
fetchmail: Sofortige erneute Abfrage

Mit Login wird es aber auch nicht viel besser

CAPA
-ERR unimplemented

Post by Al Bogner
2 messages for xxxxxx at pop3.web.de (3036 octets).
fetchmail: message delimiter found while scanning headers
fetchmail: SMTP error: 502 Error: command not implemented
not flushed
Hat da ein Spammer einen kaputten Header verwendet?

Hmm, sieht nicht nach Header aus. Eher nach Envelope. Wäre
interessant, den smtp-dialog zu sehen.

Zeigt das fetchmail -v? Ich habe das Mail aber mittlerweile
gelöscht.

Wie prüft man eigentlich ein fetchmail-Log automatisch am besten
nach Fehlermeldungen? Einfach ein grep?

BTW bei Freenet habe ich kein SSL-Weblogin gefunden, damit bietet
STLS auch nur vermeintlichen PW-Schutz.

Ich suche noch immer einen Freemailer mit STLS und SSL-Weblogin.

Al

--
Um die Liste abzubestellen, schicken Sie eine Mail an:
suse-linux-***@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-***@suse.com

Dieter Kluenter

2004-02-02 20:28:03 UTC

Hallo,