Fetchmail POP3-Abruf über securepop.t-online.de
Übersicht:
Eine sehr gute Übersicht kann man auf dieser Seite bekommen. Dort sind auch andere Mailserver aufgelistet:
http://www.gtkdb.de/index_33_1370.html
1. Abruf des Server-Zertifikates
Erzeugen von SSL Speicher Directory
mkdir -p /etc/ssl/certs
2. Abruf des Server-Zertifikates
echo "quit" | openssl s_client -connect securepop.t-online.de:995 -showcerts 2>/dev/null | sed -ne '/BEGIN/,/END/p' >/etc/ssl/certs/securepop.t-online.de.pem
echo "quit" |openssl s_client -connect pop3.web.de:995 -showcerts 2>/dev/null | sed -ne '/BEGIN/,/END/p' >/etc/ssl/certs/pop3.web.de.pem
3. Server-Zertifikat prüfen:
openssl verify -CApath /etc/ssl/certs -verbose securepop.t-online.de.pem
openssl verify -CApath /etc/ssl/certs -verbose pop3.web.de.pem
4. T-Online / web-de Root-Zertifikat
MD5-Fingerprints / hash
wget http://www.telesec.de/downloads/DT-Root-CA-2.cer -O /etc/ssl/fetchmaild/certs/Deutsche_Telekom_Root_CA_2.pem
MD5-Fingerprints / hash
wget https://www.telesec.de/assets/downloads/PKI-Repository/T-TeleSec_GlobalRoot_Class_2.cer -O /etc/ssl/fetchmaild/certs/Deutsche_Telekom_Root_CA_2.cer
openssl x509 -in /etc/ssl/fetchmaild/certs/Deutsche_Telekom_Root_CA_2.cer -outform PEM -out /etc/ssl/fetchmaild/certs/Deutsche_Telekom_Root_CA_2.pem
Für die Erweiterunge der Konfigurationsdatei /etc/fetchmailrc wird dort der MD5-Fingerprints von dem Server-Zertifikat benötigt:
openssl x509 -in /etc/ssl/certs/securepop.t-online.de.pem -fingerprint -noout -md5
MD5 Fingerprint=F1:5F:F4:E5:D6:4C:B8:87:6F:9B:CF:00:F7:FE:44:82
openssl x509 -in /etc/ssl/certs/pop3.web.de.pem -fingerprint -noout -md5
MD5 Fingerprint=49:E7:36:66:55:10:A9:CF:F6:C7:BC:14:03:80:2A:65
Damit Fetchmail die Zertifikate unter /etc/ssl/certs/ verwenden kann, müssen diese mit dem Befehl c_rehash "gehasht" werden
c_rehash /etc/ssl/certs/
Doing /etc/ssl/certs/ VeriSign_G1_PCAs_Class3_Public_Primary_CA.pem => 7651b327.0 securepop.t-online.de.pem => 4a189553.0 pop3.web.de.pem => cc459efa.0 pop3.web.de.pem => 4804495f.0
6. Fetchmail-Konfigurationsdatei anpassen und Testen
Fetchmail stopen
/etc/init.d/fetchmail stop
/etc/fetchmailrc zum Bearbeiten.
vi /etc/fetchmailrc
Erweiterung der Datei mit den Optionen ssl, sslfingerprint, sslcertck und sslcertpath.
poll popmail.t-online.de proto pop3 envelope t-online.de aka net-cry.de zarafa.net-cry.de local localhost user "a@t-online.de" pass "secret" is a@net-cry.de nokeep no fetchall ssl sslfingerprint "CE:CF:FE:44:69:3A:EF:EF:73:42:97:60:B0:41:95:35" sslcertck sslcertpath /etc/ssl/certs/
poll pop3.web.de proto pop3 envelope web.de aka net-cry.de zarafa.net-cry.de local localhost user "al@web.de" pass "secret" is w@net-cry.de nokeep no fetchall ssl sslfingerprint "49:E7:36:66:55:10:A9:CF:F6:C7:BC:14:03:80:2A:65" sslcertck sslcertpath /etc/ssl/certs/
Sobald Sie die Konfigurationsdatei angepasst wurde, kann ein Testdurchlauf gestartet werden
sed -e s/^set/#set/ /etc/fetchmailrc >/tmp/fetchmailrc
chown fetchmail /tmp/fetchmailrc
chmod 600 /tmp/fetchmailrc
su fetchmail -s /bin/sh -c "fetchmail -v -a -k -f /tmp/fetchmailrc"
Der Befehl sollte folgenden "Output" anzeigen:
fetchmail: Server-Zertifikat: fetchmail: Herausgeber-Organisation: VeriSign, Inc. fetchmail: Herausgeber-CommonName: VeriSign Class 3 International Server CA - G3 fetchmail: Subjekt-CommonName: securepop.t-online.de fetchmail: Subject Alternative Name: securepop.t-online.de fetchmail: Subject Alternative Name: popmail.t-online.de fetchmail: Subject Alternative Name: pop-mail.t-online.de fetchmail: Subject Alternative Name: secure-pop.t-online.de fetchmail: Subject Alternative Name: multipop.t-online.de fetchmail: Subject Alternative Name: pop.t-online.de fetchmail: popmail.t-online.de-Schlüssel-Fingerabdruck: CE:CF:FE:44:69:3A:EF:EF:73:42:97:60:B0:41:95:35 fetchmail: popmail.t-online.de-Fingerabdrücke stimmen überein. fetchmail: POP3< +OK T-Online POP3 Server fpopd securepop.t-online.de ready
Erscheint die Meldung "Fingerabdrücke stimmen überein", konnte eine SSL-Verbindung zum Mailserver hergestellt werden und alle Daten wurden verschlüsselt übertragen werden.
Fetchmail starten
/etc/init.d/fetchmail start
Artikelaktionen