Diese Seite entstand auf Grund der zahlreichen Nachfragen zur Umschaltung auf verschlüsselten Mailabruf ab Juli 2006 während der Vertretung des Mail-Administrators und wurde für die neuen Mail-Server aktualisiert (23.01.2012). Seit Oktober 2012 bitte die neuen Server cyrus.ovgu.de (Empfang) und mail.ovgu.de (versenden) verwenden (sunny.ovgu.de soll 2012 abgestellt werden, cyrus1 und cyrus2 werden nicht mehr direkt angesprochen).
Aktuell finden Sie hier die Einstellungen zu
Wenn Sie trotz dieser Erlaeuterungen keine Verbindung zum EMAIL-Server bekommen und trotzdem dringend EMAIL lesen muessen, versuchen Sie einmal den Webmail-Server des URZs.
Mozilla Thunderbird
ist ein freier, open source, grafischer, cross-platform
EMail Client entwickelt von der Mozilla Foundation.
Dieser Mailclient wird von uns fuer grafische Oberflaechen empfohlen.
Hier ein Screenshot fuer die sichere IMAP-Einstellung des EMAIL-Programmes
von Mozilla/Thunderbird/Icedove oder SeaMonkey (alle aehnlich).
Wenn Sie POP3 benutzen wollen, lautet die Portnummer 110.
Hier erneuert auf Thunderbird 3.0 (Seamonkey 1.0
imap+
smtp)
:
Wenn Sie Verschlüsselung und Signaturen für EMAILs
verwenden möchten,
empfehle ich die Thunderbird-Erweiterung Enigmail (OpenPGP).
Falls ältere Mozilla/Thunderbirds
beim öffnen der Mailbox wegen dem unbekannten Zertifikat warnen,
bitte nach Pruefung mit "Accept this certificate permanently" das Zertifikat
dauerhaft akzeptieren.
Hier können Sie zukünftig die LDAP-Einstellung für das
Adressbuch der Uni finden.
Outlook Express (XP) oder Windows Mail (Vista) wird nicht zur Nutzung empfohlen, da es mit Abstand die häufigsten Probleme und die meiste Arbeit bei deren Behebung verursacht. Diese Software ignoriert bestehende Standards und erzwingt damit bei Mailserverbetreibern explizites Abschalten von Sicherheitsfeatures (z.B. FQDN-Pruefung, Stand 2012, s.u.). Ältere Outlook-Versionen (Outlook 2000) beherrschen die Verschlüsselung durch STARTTLS nur mit SMTP, was dort verwirrenderweise als SSL bezeichnet wird. Fuer IMAP/POP3 muss dann SSL und Port 993 bzw. 995 gewählt werden, da STARTTLS über Port 110 bzw. 143 nicht funktioniert. Die unverschlüsselte Übertragung der Passwörter wird aus Sicherheitsgründen nicht mehr unterstützt. Sollten Sie auf Outlook Express bzw. Windows Mail angewiesen sein, finden Sie die notwendigen Einstellungen, um Ihren URZ-EMAIL-Account auf SSL umzustellen, durch klicken auf: Extras - Konten - E-Mail - Konto_ovgu - Eigenschaften - Erweitert - Posteingang-erfordert-SSL. Wenn die Einstellung nicht gleich funktioniert, versuchen Sie es mit Beenden und Neustarten von Outlook Express. Nach der Umstellung auf cyrus (2012) wurden die Einstellungen mangels Verfügbarkeit alter Mailprogramme nicht neu getestet (mit Fragezeichen gekennzeichnet). Bitte geben Sie ihre Erfahrungen ggf. an mich weiter. Wenn Sie weitere Probleme haben, machen sie bitte ein Screenshot (Drucktaste - Paint öffnen - Bearbeiten - Einfügen) und schicken diesen möglichst als PNG oder JPG an mich (Joerg.Schulenburg@urz... oder besser unseren Windows-Spezialisten Jens.Kraszewsky@ovgu... bzw. an das URZ-Ticketsystem: it-service@ovgu.de)
Wenn Sie statt IMAP POP3 benutzen, ist die zugehoerige Portnummer 995.
Falls Sie nun bei jedem Programmstart eine Warnung zum Zertifikat
des MAIL-Servers bekommen, muss das Rootzertifikat erst importiert werden.
Im Normalfall sollte Windows das Zertifikat bereits kennen.
Eine Anleitung zum importieren finden Sie hier fuer
WinXP
und fuer Vista.
Verschicken Sie bitte keine HTML oder DOC Dokumente, da diese Formate
klassische Einfallstore fuer Schadsoftware sind. Verwenden Sie statt
dessen Textformat und Bildformate (JPG, PNG).
Bitte nutzen Sie keinesfalls Outlook mit Secure Password Authentification
(SPA) zur Anmeldung, da es zum einen nicht
mit der Uni funktioniert und zum anderen ein Sicherheitsproblem darstellt.
Achtung: Outlook 2000, 2002 und 2003 kennt scheinbar kein STARTTLS als Option, hier muessen Sie fuer POP3/IMAP SSL Verschluesselung (und Port 993 bzw. 995) waehlen und nach Beendigung und Neustart von Outlook in einigen Faellen das gespeicherte Passwort neu eingeben (wahrscheinlich ein Fehler des Programms). Nachtrag: Outlook 2013 scheint die gleichen Probleme mit TLS zu haben, obwohl TLS bei SMTP funktioniert (Der Sinn dieser Teileinschraenkung bleibt mir verschlossen).
Sie finden die notwendigen Einstellungen, um Ihren URZ-EMAIL-Account auf auf SSL umzustellen, durch klicken auf: Extras - Kontoeinstellungen - E-Mail - Konto_ovgu - Aendern - Weitere Einstellungen - Erweitert - verschluesselter Verbindungstyp = TLS. Wenn Sie Probleme haben, versuchen Sie bitte zuerst Outlook zu beenden und neu zu starten. Wenn Sie weiterhin Probleme haben, machen sie bitte ein Screenshot (Drucktaste - Paint oeffnen - Bearbeiten - Einfuegen) und schicken diesen moeglichst als PNG oder JPG an mich (Joerg) oder besser unseren Windows-Spezialisten (Jens).
Fuer den Mailversand (SMTP) waehlen Sie bitte Verschluesselung mit STARTTLS (in aelteren Outlook als SSL bezeichnet) und Port 587. Zusaetzlich muessen Sie beim Postausgangsserver "erfordert Authentifizierung" aktivieren.
Verschicken Sie bitte keine HTML oder DOC Dokumente, da diese Formate klassische Einfallstore fuer Schadsoftware sind. Verwenden Sie statt dessen Textformat und Bildformate (JPG, PNG). Bitte nutzen Sie keinesfalls Outlook mit Secure Password Authentification (SPA) bzw. gesicherter Kennwortauthentifizierung zur Anmeldung, da es nicht mit der Uni funktioniert und ein Sicherheitsproblem darstellt.
Nachtrag Feb2012: Outlook 2000, 2007, 2010, Outlook-Express 6 und Windows7-LiveMail senden statt dem "fully qualified hostname" (fqdn) nur einen modifizierten Kurznamen (ohne Minuszeichen), deshalb muss die fqdn-Pruefung am Mailserver deaktiviert werden, was den Missbrauch erleichtert. Vielen Dank an MS fuer ihre Ignoranz gegenueber Standards.
Netscape 7 (Juni 2003) hat Probleme mit der Verarbeitung der Zertifikate. Es erscheint ein Abbruch-Fehler -8155 und man bekommt keine Verbindung. Die gesamte Zertifikatskette muss per Hand importiert werden, damit Netscape-EMail funktioniert. Herr Riewald hat bereits eine Loesung des Problems gefunden und mir eine Beschreibung zur Verfuegung gestellt (2011 wieder entfernt).
Die folgenden Einstellungen und Bilder wurden mir freundlicherweise von F. Kaefert zur Verfügung gestellt.
Mutt ist ein textbasiertes Mailprogramm (MUA) mit dem Vorteil, dass es schlank, schnell und dazu noch praktisch auf jedem System laeuft.
.muttrc: mailboxes "imap://mustermann@cyrus.ovgu.de/INBOX" \ "imaps://mustermann@cyrus.ovgu.de/INBOX"
Alpine ist ein sehr zuverlaessiges und sicheres plattformunabhaengiges Mailprogramm fuer den Textmodus und wird unter anderem auch von Linus Torvalds benutzt. Auf dem Zugangsserver connect steht Alpine-1.0 zur Verfuegung. Aendern Sie in der Konfigarionsdatei .pinerc
# Mails (TLS-verschluesselt via IMAP) lesen: inbox-path={cyrus.ovgu.de/imap/tls/validate-cert}inbox # ggf. user="account" anhaengen # alternativ via SSL: # inbox-path={cyrus.ovgu.de/imap/ssl/validate-cert}inbox # .../novalidate-cert/... ist ohne Zertifikatspruefung (unsicher) # # Mails verschicken: smtp-server=mail.ovgu.de:587/tls/validate-cert/user="mustermann" customized-hdrs=From: "Klaus Mustermann" <Klaus.Mustermann@ovgu.de>
Speichern Sie unter SuSE-9 das
Telekom-root-ca-Zertifikat
in /etc/ssl/certs/ und erzeugen Sie dort einen Link mittels
ln -s telekom2008.pem $(openssl x509 -noout -hash -in telekom2008.pem).0
.
Unter Fedora Core (FC6) hängen Sie das Zertifikat bitte an die Datei
/etc/pki/tls/cert.pem
.
Auf der connect.urz.uni-magdeburg.de wurde das Zertifikat am 06.05.2008
unter /etc/pki/tls/cert.pem
eingefuegt.
Alternativ koennen Sie aktuelle Zertifikate via
openssl s_client -starttls smtp -port 587 -host mail.ovgu.de > file.pem
speichern. Fingerprints sind weiter unten zu finden.
# Mailserver des URZ: mail.ovgu.de (versenden) # Mailboxen des URZ: cyrus.ovgu.de (empfangen) # SMTP - Mail versenden # Server: mail.ovgu.de # IMAP/POP3 - Mail abrufen (IMAP ist das modernere Protokoll) # Server: cyrus.ovgu.de # TLS - Kurzbezeichnung von STARTTLS, eine SSL/TLS-Verbindung ueber normalen Port (25/143/110/587) # SSL - transparente SSL/TLS Verschluesselung ueber separaten Port (993/995) SMTP: server=mail.ovgu.de port=587 TLS auth=CLEARPASS,GSSAPI IMAP: server=cyrus.ovgu.de port=143 TLS auth=CLEARPASS,GSSAPI # alternativ ist auch kerberos/GSSAPI nutzbar SSL/TLS-2048bit-Server-Zertifikate (Fingerprints): mail.ovgu.de 2016-10-26 SHA1=C6:B4:4E:50:B8:92:B0:B7:EF:47:C4:57:C6:48:19:19:C2:B0:EF:C5 cyrus1.ovgu.de 2016-07-26 SHA1=3F:C4:CD:F3:A0:DB:B2:C2:6C:47:0D:F7:DA:78:77:5B:DE:55:D5:BA (not in use) cyrus2.ovgu.de 2016-07-26 SHA1=41:C4:13:BA:1C:63:F6:D1:B5:EE:4F:B8:32:F2:FF:2C:88:E7:0B:C5 (not in use) cyrus#.ovgu.de 2017-05-15 SHA1=7F:EC:F2:A5:9E:E1:F7:B3:2E:5C:08:07:90:F7:60:79:20:C2:4C:B8 (HA-use 2012-05-16)
Beachten Sie, dass POP3 unsere Server und Logfiles je nach Einstellung durch haeufige Logins erheblich belastet. Benutzen Sie bitte wenn moeglich IMAP, dort bekommen Sie ohne minuetliche Logins zeitnah neue EMAILs zugestellt.
Bitte senden Sie nur Textmails (UTF8) und waehlen Sie Textdarstellung. HTML und DOC sind klassische Einfallstore fuer Schadsoftware. Die maximale Laenge von EMAILS betraegt 40MB. Laengere EMAILS werden als Denied of Service Attacken gewertet und erzeugen IP-Sperrungen.
Warum warnt Outlook? - Jeder SSL-Server (z.B. https://webmail.uni-magdeburg.de) hat ein Zertifikat fuer den Server, damit der Nutzer sicher sein kann, den echten Server vor sich zu haben. Das hilft zum Beispiel gegen sogenannte Phishing-Atacken und ist damit mehr als nur ein Schutz gegen Mitlesen der Passwoerter. Manche Programme bestehen darauf und warnen, manche nicht. Die Warnung ist eigentlich positiv zu sehen, da sie auf Schwaechen hinweist. Das Zertifikat wurde von der Uni-eigenen Zertifizierungsstelle ausgestellt. Diese gehoert zusammen mit den anderen Universitaeten und Bildungseinrichtungen zur DFN-Struktur, welche sich seit 2007 an die Zertifikationsstruktur der Deutschen Telekom AG untergeordnet hat. Sie, bzw. Ihr Mailprogramm, muss also dem Rootzertifikat der Deutschen Telekom AG vertrauen. Microsoft liefert das Rootzertifikat mit, so dass Sie nur mit aelteren Windowsversionen Fehlermeldungen bekommen sollten, die Sie durch Import des Rootzertifikates abstellen koennen.
Ich habe bisher POP3 verwendet. Muss ich nun IMAP verwenden? - Nein, POP3 ist auch via SSL/TLS moeglich und kann weiter verwendet werden. IMAP ist das modernere Protokoll und hat mehr Faehigkeiten als POP3.
Ich habe über meinen privaten MailProvider eine "Abholfunktion" fuer alle Uni-Mails eingestellt. Muss ich da auch Änderungen vornehmen? - Diese Funktion erfordert die Weitergabe Ihres Uni-Passwortes an Dritte (MailProvider) und ist vom URZ nicht erwuenscht. Besser und sicherer ist die Weiterleitung der EMAILs von der Uni zu Ihrem Mailprovider-Account. Sie koennen das "Forwarding" mit Websieve einstellen (Achtung: Ggf. untersagt der Arbeitgeber jede Art von Mailweiterleitung an externe Postfaecher).
Tabelle der MS Mail-Varianten (hauptsaechlich) um Verwirrungen mit diversen "Outlook"-Varianten zu vermeiden. Fehlendes SSL laesst sich mit "stunnel" leicht nachruesten. SMTP via SSL/TLS wird nicht angeboten! # Produkt (Version) IMAP/POP3 SMTP ################################# +STARTTLS +SSL/TLS +STARTTLS +SSL/TLS Bemerkung Mozilla Thunderbird 3.1.x (2012) OK OK OK OK (Test 2011) Thunderbird Portable 3.1.6 (2010) OK/OK OK/OK OK ? (Test 2012 mit wine-1.0.1) MS Outlook 2010 14.0.x nurIMAP OK OK OK *1,4 abweichende Bezeichnung: SSL=SSL/TLS TLS=STARTTLS MS Outlook 2007 ? ? ? ? *1 MS Outlook 2003 ? ? OK ? *1 MS Outlook 2002 ? OK OK - *1,2 MS Outlook 2000 ? OK OK - *1,2 Windows7-LiveMail (Vista, 2009) ? OK ? ? *1 Outlook-Express 6 (XP) ? OK OK - *1,3 *1) senden bei SMTP statt FQDN nur Kurznamen, nicht RFC-Konform *2) SMTP+STARTTLS durch Einstellung SMTP+SSL/TLS (falsche Bezeichnung) *3) nur mit Send-Einstellung "My Server requires authentification" + Account + noSPA *4) POP3 bietet kein STARTTLS (Bez: TLS) an, nur SSL/TLS (Bez: SSL)