1. Home
  2. News
  3. Download
    1. Thunderbird Release Version
    2. Thunderbird 140 ESR
    3. Thunderbird 128 ESR
    4. Thunderbird 115 ESR
    5. Thunderbird Beta Version
    6. Language Pack (User Interface)
    7. Dictionaries (Spell Check)
  4. Help & Lexicon
    1. Instructions for Thunderbird
    2. Questions & Answers (FAQ) about Thunderbird
    3. Help for this Website
  5. Forums
    1. Unresolved Threads
    2. Latest Posts
    3. Threads of the last 24 hours
  • Login
  • Register
  • 
  • Search
This Thread
  • Everywhere
  • This Thread
  • This Forum
  • Forum
  • Lexicon
  • Articles
  • Pages
  • More Options
  1. Thunderbird Mail DE
  2. Forum
  3. Hilfe zu E-Mail und allgemeines Arbeiten
  4. Allgemeines Arbeiten / Konten einrichten / Installation & Update

Fehlerhafter Verbindungsaufbau zu IMAP-Server über IMAPS

  • Kalionda
  • September 27, 2018 at 11:01 PM
  • Closed
  • Thread is Resolved
  • Kalionda
    Member
    Posts
    5
    Member since
    27. Sep. 2018
    • September 27, 2018 at 11:01 PM
    • #1

    Umgebung:

    • Thunderbird-Version: 60.0 (64-bit)
    • Betriebssystem + Version: Linux revival 4.18.9-arch1-1-ARCH #1 SMP PREEMPT Wed Sep 19 21:19:17 UTC 2018 x86_64 GNU/Linux
    • Kontenart (POP / IMAP): IMAP
    • Postfach-Anbieter (z.B. GMX): Eigener Server
    • Eingesetzte Antiviren-Software: Keine
    • Firewall (Betriebssystem-intern/Externe Software): iptables
    • Router-Modellbezeichnung (bei Sende-Problemen): Irrelevant

    Guten Abend zusammen,

    als Mailersatz für KMail sollte Thunderbird dienen um auch die Konten zwischen Linux und Windows jeweils identisch zu halten (KMail existiert nicht unter Windows). Leider scheint Thunderbird als einziger Mailclient mit den TLS-Einstellungen des Servers (Dovecot) nicht klar zu kommen.

    Server-Eintrag bei TB:

    Code
    Sep 27 20:11:54 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=<>, lip=<>, TLS: SSL_read() failed: error:1404C412:SSL routines:ST_OK:sslv3 alert bad certificate: SSL alert number 42, session=<ebU+8992yo8gAwDMi9phAB+xXsODvW0a>

    Server-Eintrag bei KMail:

    Code
    Sep 27 19:43:06 imap-login: Info: Login: user=<>, method=PLAIN, rip=<>, lip=<>, mpid=16629, TLS, session=<dPxFjN92uLAgAwDMi9phAOiHpCphmlfH>          
    Sep 27 19:43:07 imap-login: Info: Login: user=<>, method=PLAIN, rip=<>, lip=<>, mpid=16630, TLS, session=<lnxMjN92t7AgAwDMi9phAOiHpCphmlfH>          
    Sep 27 19:43:07 imap(): Info: Connection closed (UID FETCH finished 0.132 secs ago) in=660 out=2832                                                                                                             
    Sep 27 19:43:08 imap(): Info: Connection closed (LIST finished 1.039 secs ago) in=23 out=3477

    Wenn man es mit OpenSSL versucht bekommt man eine erfolgreiche Verbindung zustande:

    Code
    SSL handshake has read 3061 bytes and written 412 bytes
    Verification: OK
    ---
    New, TLSv1.2, Cipher is ECDHE-ECDSA-AES256-GCM-SHA384
    Server public key is 384 bit
    Secure Renegotiation IS supported
    Compression: NONE
    Expansion: NONE
    No ALPN negotiated
    SSL-Session:
        Protocol  : TLSv1.2
        Cipher    : ECDHE-ECDSA-AES256-GCM-SHA384
        Session-ID: 56321718[...]
        Session-ID-ctx:
        Master-Key: EA7217[...]
        PSK identity: None
        PSK identity hint: None
        SRP username: None
        TLS session ticket lifetime hint: 7200 (seconds)
        TLS session ticket:
        0000 - 7f f2 71 cf c9 78 bf 4d-9b 54 7c 4d 13 0d 67 90   ..q..x.M.T|M..g.
    
        Start Time: 1538080113
        Timeout   : 7200 (sec)
        Verify return code: 0 (ok)
        Extended master secret: no
    ---
    * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN] Dovecot ready.
    Display More

    Wenn man das erweiterte Logging von TLS-Verbindungen aktiviert, zeigt sich dass Thunderbird nach dem Handshake etwas Seltsames versucht:

    Code
    Sep 27 20:33:29 imap-login: Debug: SSL: where=0x10, ret=1: before/accept initialization                                                                                                            
    Sep 27 20:33:29 imap-login: Debug: SSL: where=0x2001, ret=1: before/accept initialization                                                                                                       
    [...] 
    Sep 27 20:33:29 imap-login: Debug: SSL: where=0x20, ret=1: SSL negotiation finished successfully                                                                                                  
    Sep 27 20:33:29 imap-login: Debug: SSL: where=0x2002, ret=1: SSL negotiation finished successfully                                                                                             
    Sep 27 20:33:29 imap-login: Debug: SSL error: SSL_read() failed: error:1404C412:SSL routines:ST_OK:sslv3 alert bad certificate: SSL alert number 42                                                                                        
    Sep 27 20:33:29 imap-login: Warning: SSL alert: where=0x4004, ret=554: fatal bad certificate                                                                                                    
    Sep 27 20:33:29 imap-login: Debug: SSL alert: close notify
    Sep 27 20:33:29 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=<>, lip=<>, TLS: SSL_read() failed: error:1404C412:SSL routines:ST_OK:sslv3 alert bad certificate: SSL alert number 42, session=<BTB2QOB2opAgAwDMi9phAB+xXsODvW0a

    Andere Clients handeln die Sache schon besser aus:

    Code
    Sep 27 20:31:24 imap-login: Debug: SSL: where=0x10, ret=1: before/accept initialization                                                                                                                                 
    Sep 27 20:31:24 imap-login: Debug: SSL: where=0x2001, ret=1: before/accept initialization                                                                                                                                   
    [...]                                                                                                                                            
    Sep 27 20:31:24 imap-login: Debug: SSL: where=0x20, ret=1: SSL negotiation finished successfully                                                                                                                            
    Sep 27 20:31:24 imap-login: Debug: SSL: where=0x2002, ret=1: SSL negotiation finished successfully                                                                                                                          
    Sep 27 20:31:24 imap-login: Info: Login: user=<>, method=PLAIN, rip=<>, lip=<>, mpid=16767, TLS, session=<yMoAOeB2AJtXrKSt>

    Die TLS-relevanten Einstellung von Dovecot sind:

    Code
    # SSL protocols to use
    ssl_protocols = !SSLv3 !TLSv1
    
    # SSL ciphers to use
    ssl_cipher_list = HIGH:!CAMELLIA:!SSLv3
    
    # Prefer the server's order of ciphers over client's.
    ssl_prefer_server_ciphers = yes

    Der Server verlangt vom Client also nicht das Unmögliche. Jedoch habe ich es mit allen möglichen Einstellungen versucht, sowohl unter Linux als auch unter Windows. Weitere Clients, welche eine Verbindung zustande bekommen sind: Aquamail, der Android Standard-Mailclient, K9 Mail, Roundcube, mutt und (nicht unbedingt ein Client) OpenSSL mit Terminalbefehlen (Login und Listing von INBOX).

    Betreibt hier jemand selbst einen Mailserver und kann seine Einstellungen hier teilen? Danke schon mal im Voraus.

    Schönen Abend,

    Kalionda

  • muzel
    Guest
    • September 28, 2018 at 3:19 PM
    • #2

    Moin,

    ich hab mich nicht tiefer damit befaßt, aber die Suche nach "thunderbird dovecot" bringt einige zu Tage, was deinem Problem ähnelt.

    Gruß, muzel

  • Solaris
    Guest
    • September 28, 2018 at 8:57 PM
    • #3

    Gemäß der Fehlermeldung akzeptiert der Thunderbird das Zertifikat nicht bzw. hält es für fehlerhaft. Thunderbird ist nach meinem Kenntnisstand in dieser Beziehung strikter als andere Programme.

    Für den Fall dass es sich bei dem Zertifikat um ein selbst erzeugtes handelt, würde ich den Fehler dort vermuten. Mir fällt dazu insbesondere das OCSP-Stapling ein, das standardmäßig aktiv ist. Bei eigenen Zertifikaten wird das wohl in den meisten Fällen zu einem Fehler führen.

  • Kalionda
    Member
    Posts
    5
    Member since
    27. Sep. 2018
    • September 29, 2018 at 9:46 AM
    • #4

    Ich hatte das OCSP-Stapling nicht im Verdacht. Thunderbird gibt für das Zertifikat in seiner UI keinen Fehler aus sondern scheint einfach einen SSL-Alert an den Server zu senden und erklärt die Sache für beendet. Nicht gerade hilfreich bei der Fehlersuche.

    Das Zertifikat beinhaltet in der Tat das OCSP Must-Staple-Flag, ist aber von Let'sEncrypt.

    Vielen Dank für den Fingerzeig.

  • Community-Bot September 3, 2024 at 8:40 PM

    Closed the thread.

Current app version

  • Thunderbird 140.0.1 veröffentlicht

    Thunder July 11, 2025 at 4:34 AM

Current 140 ESR version

  • Thunderbird 140.0.1 ESR veröffentlicht

    Thunder July 11, 2025 at 4:43 AM

Current 128 ESR version

  • Thunderbird 128.12.0 ESR veröffentlicht

    Thunder July 1, 2025 at 10:16 PM

No Advertisements

There are no advertisements here. Maybe you give the website owner (Alexander Ihrig - aka "Thunder") instead something to be able to finance these sites in the long run. Many Thanks!

Thank you for the support!

Coffee to be spent?

Donate now via Paypal*

*Forwarding to PayPal.Me

Thunderbird Mail DE
  1. Imprint & Contact
  2. Privacy Policy
    1. Cookie Policy
  3. Terms of Use
  4. Donation Call for Thunderbird
Help for this website
  • All website support articles
  • How to use website search
  • How to create a forums user account
  • How to create and edit a forums thread
  • How to reset your forums password
Copyright © 2003-2025 Thunderbird Mail DE

You are NOT on an official page of the Mozilla Foundation. Mozilla®, mozilla.org®, Firefox®, Thunderbird™, Bugzilla™, Sunbird®, Seamonkey®, XUL™ and the Thunderbird logo are (among others) registered trademarks of the Mozilla Foundation.

Powered by WoltLab Suite™