ist FTP und E-Mail (POP3/IMAP) über TLS oder SSL möglich (Expert XL Tarif)

Dirk67 · 18. Februar 2014

Hallo,
ist FTP und E-Mail (POP3/IMAP) über TLS oder SSL möglich ?
(Expert XL Tarif)

(auf der Produktbeschreibungs-Seite steht ja zumindest bzgl. E-Mail
IMAPS / SMTPS / POP3S)

[netcup] Felix P. · 19. Februar 2014

Es kann FTPES bei allen Tarifen genutzt werden. In Tarifen in denen auch SSH möglich ist, kann FTPS zusätzlich verwendet werden.

SMTPS / IMAPS und POP3S steht in allen Tarifen zur Verfügung. Wenn hier auch ein anerkanntes Zertifikat für die Verwendung genutzt werden soll, bitte den Servernamen des MX-Servers für die Verbindung nutzen. Also z.B. mxf912.netcup.net . Wird der eigene Domainname, sprich mail.domainname.tld, genutzt, kommt es bei einer verschlüsselten Verbindung zu einer Zertifikats-Warnung. Diese müsste man nach Prüfung des Zertifikats dann bestätigen um auch so die verschlüsselten Verbindungen nutzen zu können.

Mit freundlichen Grüßen

Felix Preuß

Dirk67 · 19. Februar 2014

all diese Dinge (SMTPS, IMAPS, POP3S, SFTP, FTPES) haben demnach aber nichts mit meinen eigenen Zertifikaten (für meine (sub)-domains) zu tun,
sondern laufen über separate netcup-server bzw. sogar andere IP's,
richtig ?

ich habe das (SMTPS, IMAPS, POP3S, SFTP, FTPES) ohne Zertifikats-Warnung ehrlich gesagt noch nicht zum Laufen gebracht,
evtl. falsche Ports - welches sind jeweils die richtigen Ports ?
Was trage ich im FTP Programm als passenden Host ein (so dass die Zertifikats-Warnung verschwindet) ?
gibt es eine Anleitung ?

[netcup] Felix P. · 19. Februar 2014

Genau, die Zertifikate sind nur für Websites, nicht für deren Dienste.

Der Support kann Ihnen gerne schreiben welche Servernamen Sie verwenden müssen, damit keine Zertifikats-Warnungen erscheinen. Die Servernamen sind je nach genutztem Server unterschiedlich. Alternativ können Sie die Servernamen nutzen, für die das Zertifikat ausgestellt ist.

Dirk67 · 19. Februar 2014

vielen Dank schon mal.

Ist es denn darüberhinaus irgendwie möglich, das webmail interface über SSL aufzurufen ?
http://webmail.meineDomain.de --> https://webmail.meineDomain.de

Dirk67 · 20. Februar 2014

Zitat von [netcup] Felix

Es kann FTPES bei allen Tarifen genutzt werden.
In Tarifen in denen auch SSH möglich ist, kann FTPS zusätzlich verwendet werden.

nur noch mal zur Rückversicherung, dass wir vom gleichen reden (?):

FTPS (implizit)
989 (UDP)
990 (TCP)
dynamischer bereich (TCP) - passive verbindungen

FTPeS (explizit)
20 (TCP)
21 (TCP)
dynamischer bereich (TCP) - passive verbindungen

beides soll gehen für neu im WCP angelegte Benutzer ?

(nicht zu verwechseln mit SFTP über Port22)

Dirk67 · 21. Februar 2014

zwischenzeitlich den Support kontaktiert.

secure FTP: ------------------
(über den eigenen Servernamen des Accounts -> ggf. beim Support erfragen)
FTPS (implizit) funktioniert nicht
FTPES (explizit) funktioniert über Port 21
SFTP (port 22) funktioniert mit dem (Haupt-) Systembenutzer (der, der auch SSH benutzen kann)

secure Email: ------------------
(über einen speziellen MX-Servernamen gemäß DNS-Settings z.B. mxf912.netcup.net -> ggf. beim Support erfragen, dieser wird als ein- und ausgehender Server für POP,IMAP,SMTP eingetragen)
Möglichkeiten: --------
Ausgang: -------
- SMTP Secure Port 587 mit TLS (getestet mit gmail)
- SMTP Secure Port 587 mit STARTTLS* / encrypted Password** (getestet mit Thunderbird)
- SMTP Port 25 mit STARTTLS* / encrypted Password (getestet mit Thunderbird)
- SMTP Secure Port 465 mit SSL / encrypted Password (getestet mit Thunderbird)
- SMTP Port 25 mit SSL (oder STARTTLS)* (getestet mit Windows-Mail)
- SMTP Secure Port 587 mit SSL / plain Password (getestet mit Windows-Mail)
*(sofern vorhanden im Client)

Eingang: --------
- POP3 Secure Port 995 mit SSL / encrypted Password** (getestet mit Thunderbird) (funktioniert nicht mit Windows Live-Mail)
- POP3 mit STARTTLS* ueber Port 110 / encrypted Password (getestet mit Thunderbird) (funktioniert nicht mit Windows Live-Mail)

- IMAP secure Port 993 mit SSL / encrypted Password (getestet mit Thunderbird) (funktioniert nicht mit Windows Live-Mail)
- IMAP mit STARTTLS* ueber Port 143 / encrypted Password (getestet mit Thunderbird) (funktioniert nicht mit Windows Live-Mail)
*(sofern vorhanden im Client)
_________________________________________________

Das sichere Abrufen (POP3 oder IMAP) über SSL/TLS/STARTTLS funktioniert mit den Microsoft-Standard-E-Mail-Clients** NICHT.
Das sichere Versenden hingegen funktioniert auch Microsoft-Standard-E-Mail-Clients.
**(Windows-Live-Mail, Outlook Express, Outlook 2007, usw...)

Obwohl der Fehler nicht auf Server-Seite liegt, wäre es schön wenn das doch irgendwie in Zukunft noch realisiert werden könnte.
Bei gmx, t-online, web.de usw... gehen diese (nicht normgerechten) Clients mittlerweile ja auch über SSL ...

stichwort: "auth_mechanisms = plain login"

[netcup] Felix P. · 21. Februar 2014

Zitat

funktioniert nicht mit Windows Live-Mail

Könnten Sie mir hier die genaue Fehlermeldung nennen?

Vielen Dank!

Mit freundlichen Grüßen

Felix Preuß

Dirk67 · 21. Februar 2014

bei Windows Live Mail gibt's ja leider keine richtigen (aussagekräftigen) Fehlermeldungen#
wenn man das SSL-Häkchen aktiviert, dann erscheint:

Code

Es konnten keine Nachrichten für das Konto XXXXXXXX gesendet oder empfangen werden.
Der Server hat unerwartet die Verbindung beendet. 
Möglicherweise liegt ein Serverproblem vor, es ist ein Netzwerkproblem aufgetreten oder das Zeitlimit wurde überschritten.




Server: 'mxf912.netcup.net'
Windows Live Mail-Fehlernummer: 0x800CCC0F
Protokoll: POP3
Port: 995
Secure (SSL): Ja

Alles anzeigen

(dies erscheint auch bei Port 110)
Diese Meldung kann alles oder nichts bedeuten.

Es liegt ja nicht am Server,
ordentliche E-Mail-Clients funktionieren ja,
diverse Windows Mail Programme machen einfach keine "normgerechte" secure POP3-Abfrage an den Server bzw. können gar kein STARTTLS,
dieses Problem ist wohl schon länger bekannt vergl.
--> sichere EMAIL-Einstellungen
--> sichere EMAIL-Einstellungen

dennoch gibt es glaube ich serverseitige settings/tricks, dass das trotzdem funktioniert (mit SSL über 995)
es wird ja wohl offensichtlich courier für POP3/IMAP benutzt oder ?
--> http://goo.gl/v65BtC

Dirk67 · 21. Februar 2014

kurioser Nachtrag: ___________________________________

oben geschriebenes bezieht sich auf Windows Live Mail 2012 (unter Win 7)

eben habe ich noch mal getestet:
- outlook express (Win XP)
- windows live mail 2009 (Win XP)

diese verhalten sich genau gleich:
(beide Konfiguriert mit SMTP auf 587 und POP auf 995)
zunächst kommt die Fehlermeldung auch bei diesen Programmen wie im vorigen Post geschrieben.
wenn man dann aber eine E-Mail rausschickt über SMTP auf Port 587 ->
und dann gleich anschließend pop3 abruft auf auf Port 995
dann geht es einwandfrei ohne Fehlermeldung
auch wiederholt - auch noch nach 5 Minuten (es werden auch tatsächlich mails abgerufen),
wenn man aber das Programm schließt und dann wieder neu startet dann geht der POP3 Abruf nicht mehr
man muss erst wieder eine Email rausschicken über SMTP auf Port 587

dieses Merkwürdige verhalten zeigt Windows Live Mail 2012 (unter Win 7) nicht,
hier geht der sichere POP3 Abruf generell nicht...

te-online · 21. Februar 2014

Auch ich habe ein Problem beim Abruf der Mails über IMAP per SSL.

In Thunderbird funktioniert das Abrufen über den mxf-Server, Port 993 und mit den Einstellungen SSL/TLS und "Verschlüsseltes Passwort" einwandfrei.

Die Windows 8 Mail-App jedoch kann mit dem gleichen Server auf dem gleichen Port mit dem gesetzten Haken bei SSL keine Verbindung herstellen.

Mit beiden Programmen ist der Versand über Port 587 und SSL-verschlüsselt problemlos möglich.

Mit meinem bestehenden Business-Paket funktioniert das Abrufen über die Windows 8 Mail-App ohne Probleme über Port 993.

Vielleicht liegt es an einer strikteren Konfiguration an einer bestimmten Stelle?
Eine Lösung dafür wäre auf jeden Fall toll!

[netcup] Felix P. · 22. Februar 2014

Wir können hier die Probleme mit Windows 7 nicht nachvollziehen. Windows 8 haben wir nicht im Einsatz. Im Notfall besorgen wir uns dafür eine Testlizenz.

Für uns ist es immer wichtig zu wissen, welche Einstellungen gesetzt wurden (gerne wird z.B. die falsche Servername genutzt weshalb das Zertifikat dann dazu nicht passt) und welche Fehlermeldung Sie genau erhalten.

Könnten Sie das bitte nachreichen.

Vielen Dank und mit freundlichen Grüßen

Felix Preuß

te-online · 22. Februar 2014

Sehr gerne, anbei ein Screenshot. Ich habe jedoch die E-Mail-Adresse überdeckt. Als Benutzername habe ich ebenfalls die Mail-Adresse gewählt. Diese existiert auch ganz sicher so inkl. Postfach im ControlPanel.

In Thunderbird funktioniert alles, mit der Mail-App nur unverschlüsselt über Port 143.

Dirk67 · 22. Februar 2014

Zitat von [netcup] Felix

Wir können hier die Probleme mit Windows 7 nicht nachvollziehen

welche (funktionierenden) Settings benutzen Sie denn ?
welche Version von Windows Live Mail ?
(ich benutze Version 2012 (Build 16.4.3522.0110))

Die Fehlermeldung habe ich oben schon gepostet,
(wie schon geschrieben: Senden über SSL geht - das steht außer Frage)
hier nun die Settings:
(wahlweise Port 110 oder Port 995)

Dirk67 · 22. Februar 2014

um mal meine Betriebssystemumgebung/Netzwerk/ISP auszuschließen,
habe ich mal bei Adam und Eva wieder angefangen:
unter Win 7 64bit
wenn auf der Kommandozeile
telnet mxf912.netcup.net 110
(also Port 110) einwandfrei funktioniert
mit der folgenden korrekten Antwort auf den CAPA Befehl:

Code

S:+OK Hello there. <21769.1393075919@localhost.localdomain>
C: CAPA
S:+OK Here's what I can do:
S:SASL LOGIN CRAM-MD5 CRAM-SHA1 CRAM-SHA256 PLAIN
S:STLS
S:USER
S:TOP
S:LOGIN-DELAY 10
S:PIPELINING
S:UIDL
S:IMPLEMENTATION Courier Mail Server
S:.

Alles anzeigen

dann muss doch eigentlich
telnet mxf912.netcup.net 995
auch funktionieren oder ?

Mordor · 22. Februar 2014

Moin

Nein. Über Port 995 läuft nur SSL. Da musst Du mit openssl ran.

Code

openssl s_client -connect mail.example.com:995
openssl s_client -crlf -connect mail.example.com:110 -starttls pop3

Funktioniert das ganze denn, wenn Du kein verschlüsseltes Passwort verwendest?
Das ist bei einer verschlüsselten Verbindung je eh entbehrlich.

Mordor

Dirk67 · 22. Februar 2014

hab gerade mal auf meinem v-Server "courier-pop-ssl" nachinstalliert zum Test,
läuft problemlos mit Windows-Live-Mail 2012 (Port 995) mit openSSL und default Einstellungen in der "pop3d-ssl" auf dem Server.

also an mir liegts nicht

Dirk67 · 26. Februar 2014

Wird hier diese (Windows Live Mail) Problematik noch weiter verfolgt ?

wäre schön,
denn das ist ein Ausschlusskriterium für mich.

Zitat von [netcup] Felix

Wir können hier die Probleme mit Windows 7 nicht nachvollziehen

welche (funktionierenden) Settings benutzen Sie denn ?
welche Version von Windows Live Mail ? (ich benutze Version 2012 (Build 16.4.3522.0110))
welche Windows 7 Version 32/64 bit ?

testen Sie es doch bitte mal mit einem Account von mir (-> Zugangsdaten dann per PM)

Was sagen denn Ihre courier-Logfiles ?

[netcup] Felix P. · 6. März 2014

Windows Live wird jetzt in allen Versionen unterstützt. Grund für den Fehler war, dass Windows Live nicht die aktuelle SSL-Version unterstützt. Wir mussten jetzt auch veraltete (weniger sichere) Versionen freischalten, damit Windows Live komplett unterstützt wird.

Wichtig ist das als Servername für eine SSL-Verschlüsselte Verbindung der jeweilige Mailserver genommen wird, nicht mail.DOMAINNAME.TLD (groß geschriebenes bitte ersetzen).

Mit freundlichen Grüßen

Felix Preuß

te-online · 6. März 2014

Vielen Dank! Bei mir funktioniert es jetzt.