Fehlerhafter Verbindungsaufbau zu IMAP-Server über IMAPS

Kalionda · Sep 27th 2018

Umgebung:

Thunderbird-Version: 60.0 (64-bit)
Betriebssystem + Version: Linux revival 4.18.9-arch1-1-ARCH #1 SMP PREEMPT Wed Sep 19 21:19:17 UTC 2018 x86_64 GNU/Linux
Kontenart (POP / IMAP): IMAP
Postfach-Anbieter (z.B. GMX): Eigener Server
Eingesetzte Antiviren-Software: Keine
Firewall (Betriebssystem-intern/Externe Software): iptables
Router-Modellbezeichnung (bei Sende-Problemen): Irrelevant

Guten Abend zusammen,

als Mailersatz für KMail sollte Thunderbird dienen um auch die Konten zwischen Linux und Windows jeweils identisch zu halten (KMail existiert nicht unter Windows). Leider scheint Thunderbird als einziger Mailclient mit den TLS-Einstellungen des Servers (Dovecot) nicht klar zu kommen.

Server-Eintrag bei TB:

Code

Sep 27 20:11:54 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=<>, lip=<>, TLS: SSL_read() failed: error:1404C412:SSL routines:ST_OK:sslv3 alert bad certificate: SSL alert number 42, session=<ebU+8992yo8gAwDMi9phAB+xXsODvW0a>

Server-Eintrag bei KMail:

Code

Sep 27 19:43:06 imap-login: Info: Login: user=<>, method=PLAIN, rip=<>, lip=<>, mpid=16629, TLS, session=<dPxFjN92uLAgAwDMi9phAOiHpCphmlfH>          
Sep 27 19:43:07 imap-login: Info: Login: user=<>, method=PLAIN, rip=<>, lip=<>, mpid=16630, TLS, session=<lnxMjN92t7AgAwDMi9phAOiHpCphmlfH>          
Sep 27 19:43:07 imap(): Info: Connection closed (UID FETCH finished 0.132 secs ago) in=660 out=2832                                                                                                             
Sep 27 19:43:08 imap(): Info: Connection closed (LIST finished 1.039 secs ago) in=23 out=3477

Wenn man es mit OpenSSL versucht bekommt man eine erfolgreiche Verbindung zustande:

Code

SSL handshake has read 3061 bytes and written 412 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-ECDSA-AES256-GCM-SHA384
Server public key is 384 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-ECDSA-AES256-GCM-SHA384
    Session-ID: 56321718[...]
    Session-ID-ctx:
    Master-Key: EA7217[...]
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - 7f f2 71 cf c9 78 bf 4d-9b 54 7c 4d 13 0d 67 90   ..q..x.M.T|M..g.

    Start Time: 1538080113
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN] Dovecot ready.

Display More

Wenn man das erweiterte Logging von TLS-Verbindungen aktiviert, zeigt sich dass Thunderbird nach dem Handshake etwas Seltsames versucht:

Code

Sep 27 20:33:29 imap-login: Debug: SSL: where=0x10, ret=1: before/accept initialization                                                                                                            
Sep 27 20:33:29 imap-login: Debug: SSL: where=0x2001, ret=1: before/accept initialization                                                                                                       
[...] 
Sep 27 20:33:29 imap-login: Debug: SSL: where=0x20, ret=1: SSL negotiation finished successfully                                                                                                  
Sep 27 20:33:29 imap-login: Debug: SSL: where=0x2002, ret=1: SSL negotiation finished successfully                                                                                             
Sep 27 20:33:29 imap-login: Debug: SSL error: SSL_read() failed: error:1404C412:SSL routines:ST_OK:sslv3 alert bad certificate: SSL alert number 42                                                                                        
Sep 27 20:33:29 imap-login: Warning: SSL alert: where=0x4004, ret=554: fatal bad certificate                                                                                                    
Sep 27 20:33:29 imap-login: Debug: SSL alert: close notify
Sep 27 20:33:29 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=<>, lip=<>, TLS: SSL_read() failed: error:1404C412:SSL routines:ST_OK:sslv3 alert bad certificate: SSL alert number 42, session=<BTB2QOB2opAgAwDMi9phAB+xXsODvW0a

Andere Clients handeln die Sache schon besser aus:

Code

Sep 27 20:31:24 imap-login: Debug: SSL: where=0x10, ret=1: before/accept initialization                                                                                                                                 
Sep 27 20:31:24 imap-login: Debug: SSL: where=0x2001, ret=1: before/accept initialization                                                                                                                                   
[...]                                                                                                                                            
Sep 27 20:31:24 imap-login: Debug: SSL: where=0x20, ret=1: SSL negotiation finished successfully                                                                                                                            
Sep 27 20:31:24 imap-login: Debug: SSL: where=0x2002, ret=1: SSL negotiation finished successfully                                                                                                                          
Sep 27 20:31:24 imap-login: Info: Login: user=<>, method=PLAIN, rip=<>, lip=<>, mpid=16767, TLS, session=<yMoAOeB2AJtXrKSt>

Die TLS-relevanten Einstellung von Dovecot sind:

Code

# SSL protocols to use
ssl_protocols = !SSLv3 !TLSv1

# SSL ciphers to use
ssl_cipher_list = HIGH:!CAMELLIA:!SSLv3

# Prefer the server's order of ciphers over client's.
ssl_prefer_server_ciphers = yes

Der Server verlangt vom Client also nicht das Unmögliche. Jedoch habe ich es mit allen möglichen Einstellungen versucht, sowohl unter Linux als auch unter Windows. Weitere Clients, welche eine Verbindung zustande bekommen sind: Aquamail, der Android Standard-Mailclient, K9 Mail, Roundcube, mutt und (nicht unbedingt ein Client) OpenSSL mit Terminalbefehlen (Login und Listing von INBOX).

Betreibt hier jemand selbst einen Mailserver und kann seine Einstellungen hier teilen? Danke schon mal im Voraus.

Schönen Abend,

Kalionda

muzel · Sep 28th 2018

Moin,

ich hab mich nicht tiefer damit befaßt, aber die Suche nach "thunderbird dovecot" bringt einige zu Tage, was deinem Problem ähnelt.

Gruß, muzel

Solaris · Sep 28th 2018

Gemäß der Fehlermeldung akzeptiert der Thunderbird das Zertifikat nicht bzw. hält es für fehlerhaft. Thunderbird ist nach meinem Kenntnisstand in dieser Beziehung strikter als andere Programme.

Für den Fall dass es sich bei dem Zertifikat um ein selbst erzeugtes handelt, würde ich den Fehler dort vermuten. Mir fällt dazu insbesondere das OCSP-Stapling ein, das standardmäßig aktiv ist. Bei eigenen Zertifikaten wird das wohl in den meisten Fällen zu einem Fehler führen.

Kalionda · Sep 29th 2018

Ich hatte das OCSP-Stapling nicht im Verdacht. Thunderbird gibt für das Zertifikat in seiner UI keinen Fehler aus sondern scheint einfach einen SSL-Alert an den Server zu senden und erklärt die Sache für beendet. Nicht gerade hilfreich bei der Fehlersuche.

Das Zertifikat beinhaltet in der Tat das OCSP Must-Staple-Flag, ist aber von Let'sEncrypt.

Vielen Dank für den Fingerzeig.

Fehlerhafter Verbindungsaufbau zu IMAP-Server über IMAPS

Community-Bot Oct 6th 2018

Thunderbird 102.7.2 veröffentlicht