Direkt zum Inhalt | Direkt zur Navigation

Benutzerspezifische Werkzeuge

This is SunRain Plone Theme

Sektionen

Sie sind hier: Startseite / Unix / SSL / Fetchmail POP3-Abruf über securepop.t-online.de

Fetchmail POP3-Abruf über securepop.t-online.de

Übersicht:

Eine sehr gute Übersicht kann man auf dieser Seite bekommen. Dort sind auch andere Mailserver aufgelistet:

http://www.gtkdb.de/index_33_1370.html

1. Abruf des Server-Zertifikates

Erzeugen von SSL Speicher Directory

mkdir -p /etc/ssl/fetchmaild/certs

2. Abruf des Server-Zertifikates

openssl s_client -connect securepop.t-online.de:995 -showcerts 2>/dev/null | sed -ne '/BEGIN/,/END/p' >/etc/ssl/fetchmaild/certs/securepop.t-online.de.pem
openssl s_client -connect pop3.web.de:995 -showcerts 2>/dev/null | sed -ne '/BEGIN/,/END/p' >/etc/ssl/fetchmaild/certs/pop3.web.de.pem

3. Server-Zertifikat prüfen:

openssl verify -CApath /etc/ssl/fetchmaild/certs -verbose securepop.t-online.de.pem
openssl verify -CApath /etc/ssl/fetchmaild/certs -verbose pop3.web.de.pem

4. T-Online / web-de Root-Zertifikat

wget http://www.telesec.de/downloads/DT-Root-CA-2.cer -O /etc/ssl/fetchmaild/certs/Deutsche_Telekom_Root_CA_2.pem5. MD5-Fingerprints / hash

Für die Erweiterunge der Konfigurationsdatei /etc/fetchmailrc wird dort der MD5-Fingerprints von dem Server-Zertifikat benötigt:

openssl x509 -in /etc/ssl/fetchmaild/certs/securepop.t-online.de.pem -fingerprint -noout -md5

MD5 Fingerprint=CE:CF:FE:44:69:3A:EF:EF:73:42:97:60:B0:41:95:35

openssl x509 -in /etc/ssl/fetchmaild/certs/pop3.web.de.pem -fingerprint -noout -md5

MD5 Fingerprint=49:E7:36:66:55:10:A9:CF:F6:C7:BC:14:03:80:2A:65

Damit Fetchmail die Zertifikate unter /etc/ssl/fetchmaild/certs/ verwenden kann, müssen diese mit dem Befehl c_rehash "gehasht" werden

c_rehash /etc/ssl/fetchmaild/certs/

Doing /etc/ssl/fetchmaild/certs/
VeriSign_G1_PCAs_Class3_Public_Primary_CA.pem => 7651b327.0
securepop.t-online.de.pem => 4a189553.0
pop3.web.de.pem => cc459efa.0
pop3.web.de.pem => 4804495f.0

6. Fetchmail-Konfigurationsdatei anpassen und Testen

Fetchmail stopen

/etc/init.d/fetchmail stop

/etc/fetchmailrc zum Bearbeiten.

vi /etc/fetchmailrc

Erweiterung der Datei mit den Optionen ssl, sslfingerprint, sslcertck und sslcertpath.

poll popmail.t-online.de
    proto pop3
    envelope t-online.de
    aka net-cry.de zarafa.net-cry.de local localhost
    user "a@t-online.de"
    pass "secret"
    is a@net-cry.de
    nokeep
    no fetchall
    ssl
    sslfingerprint "CE:CF:FE:44:69:3A:EF:EF:73:42:97:60:B0:41:95:35"
    sslcertck
    sslcertpath /etc/ssl/fetchmaild/certs/

poll pop3.web.de
    proto pop3
    envelope web.de
    aka net-cry.de zarafa.net-cry.de local localhost
    user "al@web.de"
    pass "secret"
    is w@net-cry.de
    nokeep
    no fetchall
    ssl
    sslfingerprint "49:E7:36:66:55:10:A9:CF:F6:C7:BC:14:03:80:2A:65"
    sslcertck
    sslcertpath /etc/ssl/fetchmaild/certs/

Sobald Sie die Konfigurationsdatei angepasst wurde, kann  ein Testdurchlauf gestartet werden

sed -e s/^set/#set/ /etc/fetchmailrc >/tmp/fetchmailrc
chown fetchmail /tmp/fetchmailrc
chmod 600 /tmp/fetchmailrc
su fetchmail -s /bin/sh -c "fetchmail -v -a -k -f /tmp/fetchmailrc"

Der Befehl sollte folgenden "Output" anzeigen:

fetchmail: Server-Zertifikat:
fetchmail: Herausgeber-Organisation: VeriSign, Inc.
fetchmail: Herausgeber-CommonName: VeriSign Class 3 International Server CA - G3
fetchmail: Subjekt-CommonName: securepop.t-online.de
fetchmail: Subject Alternative Name: securepop.t-online.de
fetchmail: Subject Alternative Name: popmail.t-online.de
fetchmail: Subject Alternative Name: pop-mail.t-online.de
fetchmail: Subject Alternative Name: secure-pop.t-online.de
fetchmail: Subject Alternative Name: multipop.t-online.de
fetchmail: Subject Alternative Name: pop.t-online.de
fetchmail: popmail.t-online.de-Schlüssel-Fingerabdruck: CE:CF:FE:44:69:3A:EF:EF:73:42:97:60:B0:41:95:35
fetchmail: popmail.t-online.de-Fingerabdrücke stimmen überein.
fetchmail: POP3< +OK T-Online POP3 Server fpopd securepop.t-online.de ready

Erscheint die Meldung "Fingerabdrücke stimmen überein", konnte eine SSL-Verbindung zum Mailserver hergestellt werden  und alle Daten wurden verschlüsselt übertragen werden.

Fetchmail starten

/etc/init.d/fetchmail start

Artikelaktionen