Beantwortet

Thunderbird/IMAP/securemail.a1.net/Festnetzkombi

  • 18 April 2017
  • 4 Antworten
  • 4450 Ansichten
E
Rang
Hallo Community!
Bei einem A1 Kunden, dem heute ein Postfach zusätzliches neu eingerichtet wurde (zuvor: Mobilfunkkundenpostfach; jetzt: Festnetzkundenpostfach; Dank freundlicher Unterstützung der A1-Technik), bin ich auf ein neues Problem gestoßen:

Der Thunderbird-Setup-Assistent findet die Einstellungen nur für imap.a1.net und smtp.a1.net, nicht aber für securemail.a1.net. (siehe https://www.a1.net/hilfe-kontakt/article/Vertrag-Services/E-Mail/E-Mail-Sicherheit/SSL-Verschl%C3%BCsselung-Wie-kann-ich-meine-E-Mails-sicher-abrufen-/500000000007408/500000000027543)

Ich habe es von einem Nicht-A1-Anschluss (ISPA-DSL) ausprobiert, wo die Ports ausgehend offen sind.

Zum Debugging - verkürzte Darstellung:
openssl s_client -connect securemail.a1.net:993
[...]
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 8C151BD6C44D692F939EB021DE74675FEA1C58C2EB4A3D819ADA8D4F185385DF
Session-ID-ctx:
Master-Key: 9893BABFA94AA24F04B6F5E63A7C795C58DE33B2B5F325FCF99234D0B723F5C4322F3A09D81F32DF9AB2D6E89308621F
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1492547661
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
* OK [CAPABILITY IMAP4rev1 QUOTA] perdition ready on WARSBL503 000367c0


Gegencheck POP3 mit: openssl s_client -connect securemail.a1.net:995
[...]
---
+OK POP3 perditon ready on WARSBL506 0004ee9b

Es scheint, dass die Credentials des Users bei Verwendung von dem Stand der Technik entsprechender Verschlüsselung nicht akzeptiert werden.

Ist das ein Bug oder ein produktabhängiges (Nicht-)Feature oder mache ich einen Fehler?

Danke!
icon

Beste Antwort von A1_Hermann 23 April 2017, 17:37

Original anzeigen

4 Antworten

P
Rang
Benutzerebene 6
Abzeichen +2
Funktioniert es nur mit dem Assistenten nicht, oder auch wenn du die Daten laut Anleitung bzw. Link manuell eingibst?

IIRC gab es bei einer Ausprägung einen Unterschied bei den User-Credentials. Variante A funktionierte mit aliasadresse wie zb username = Max.mustermann@a1.net - Variante zwei funktionierte nur username = email benutzername = a1.Kundennummer@a1.net

ob das jetzt allerdings bei securemail vs "normal" der Fall war oder bei posteingang vs. postausgang ist eine andere Frage. Beides probieren schadet aber jedenfalls hoffentlich nicht
E
Rang
Hallo @Powerrainscher!

Dein IIRC ist mir bekannt. Eine nette und kompetente, aber mit namentlich unbekannte Dame aus der A1-Technik, hat mir telefonisch zuvor schon jenen Hinweis gegeben, sodass ich den aon-, respektive den a1-Username der gegenständlichen Mailbox benützte (im Format a1.[nummer].[suffix]@a1.net).
Selbstverständlich habe ich zunächst auch die anderen Credentials zum Gegencheck genommen und es zunächst mit dem Assistenten SSL/TLS IMAP Port 993, ohne gesicherte Passwortwortauthentifizierung versucht. Nach dem Fehlschlag habe ich den Assistenten manuell beendet, habe dann die Einstellungen im Sinne des oben verlinkten Beitrags überprüft und sah mich so dann mit einem Timeout konfrontiert. In der Folge habe ich manuelle Debugging-Schritte, wie im Erstposting genannt, gesetzt, ohne jedoch dabei als "humaner IMAP-Client" zu agieren. Ich habe dann erneut mit dem Assistenten weitergetestet und das Ergebnis im Erstposting mit der konkreten Fragestellung veröffentlicht. Da mein Versuch von Extern erfolgte, wie es später auch beim Nutzer z.T. der Fall sein wird (Handy aus dem UPC Mobile-Netz; A1 Festnetz daheim), wäre Verschlüsselung freilich sinnvoll.

Da mir ein ähnliches Fehlerbild vor Jahren bei einem anderen A1 Kunden (ein Freund) auch schon passiert ist - also im Endeffekt das "Securemail" nicht funktionierte und auch in der A1 Community ähnliche Fragestellungen mit älterem Datum zu finden waren, wollte ich somit Zweitmeinungen einholen. Wie sich heute herausgestellt hat, gibt es aber noch andere Probleme beim gegenständlichen Account. Dieser scheint noch im alten Verrechnungssystem erfasst zu sein, weshalb gewisse Dinge anders, oder nicht wie erwartet funktionieren. BTW: Ich selbst nütze Thunderbird mit von mir selbst gewarteten Mailservern unter Verwendung von Letsencrypt + TLS in einer PFS-Konfiguration. Für mich schaut das aufgrund dieser Erfahrungen so aus, also ob bei A1 einfach die entsprechende Berechtigung bei diesem konkreten Nutzer fehlte. Dass es derartige Unterschiede geben soll, darauf deutet die Anleitung nicht hin. So oder so ist entweder die Anleitung oder eine der Konfigurationen fehlerhaft und das zu beheben oder dazu beizutragen, wäre mein Interesse.
Unverschlüsselte Verbindungen erachte ich als nicht dem Stand der Technik entsprechend und daher als grob fahrlässig, insbesondere und vor allem dann, wenn dem POP/IMAP/SMTP-User auch andere Berechtigungen zukommen. Es braucht ja nur jemand über ein nicht abgesichertes WLAN seine Mails checken und der Credentials-Leak ist da...

Ich würde mich über weitere Rückmeldungen freuen, falls deren Fehlerbild dem geschilderten entspricht.
A
Rang
Benutzerebene 7
Abzeichen +4
Hallo @enp

Unterschiede zwischen den Usern sollte es hier eigentlich nicht geben (sofern es keine Sperre o.ä. gibt), bzw. das Verrechnungssystem da keinen Einfluss haben. Schick uns bitte die Infos und die Daten des betroffenen Accounts via www.A1.net/kontaktformular , damit das geprüft werden kann. Meine KollegInnen werden das ggf. natürlich auch gerne an unsere Server Admins weiter leiten.

lg
Hermann
E
Rang
Hallo @A1_Hermann!
Danke für diese Antwort. Sie verwundert mich nur insofern, als ja anscheinend eine Mitarbeiterin der Servertechnik die Mailbox für den Kunden angelegt hat (weil Mobilfunkkunden Ihr Hauptpostfach über das Selfcare Tool Mein A1 weder selber löschen noch umbenennen, noch zu einem anderen, verbundenen Produkt verschieben können).
Diese A1-Mitarbeiterin hat mir ja noch den Hinweis gegeben, ausschließlich das Login und nicht den Alias zur Auth zu verwenden, weil securemail sonst nicht funktioniere...
An der Serviceline hingegen sagte ein Mitarbeiter: securemail wäre definitiv falsch, nur imap und smtp wären richtig, und SSL ginge gar nur bei Businesskunden.

Gerne begebe ich mich nun zurück an den Start und eröffne ein neues Ticket. Ich bin schon gespannt, zu welchem Ergebnis wir diesmal gelangen...
Und was machst Du so in Deiner Freizeit? 🙂

Antworten


Allgemeine Nutzungsbedingungen