Einstellungen für Uni-Mailserver (cyrus und mail, alt: sunny, cyrus1)
Diese Seite entstand auf Grund der zahlreichen Nachfragen
zur Umschaltung auf verschlüsselten Mailabruf ab Juli 2006
während der Vertretung des Mail-Administrators und wurde
für die neuen Mail-Server aktualisiert (23.01.2012).
Seit Oktober 2012 bitte die neuen Server cyrus.ovgu.de (Empfang)
und mail.ovgu.de (versenden) verwenden
(sunny.ovgu.de soll 2012 abgestellt werden,
cyrus1 und cyrus2 werden nicht mehr direkt angesprochen).
Aktuell finden Sie hier die Einstellungen zu
Wichtig ist dabei nur die Auswahl einer sicheren Verbindung.
Sie koennen, je nach Vorliebe, weiterhin eines der Protokolle
POP3 oder IMAP waehlen, wobei wir IMAP empfehlen.
Fuer Hinweise und Screenshots zu weiteren EMAIL-Programmen,
die ich den anderen Nutzern hier zur
Verfuegung stellen kann, bin ich dankbar.
Wenn Sie AntiSpam-Programme (z.B. Spammihilator) verwenden, muessen Sie
die Aenderungen am AntiSpam-Programm (server=cyrus)
und nicht am EMAIL-Programm (server=localhost) vornehmen.
Lesen Sie bitte auch unten die FAQ.
Erfahrene Nutzer finden hier eine Kurzuebersicht.
Wenn Sie trotz dieser Erlaeuterungen keine Verbindung zum EMAIL-Server
bekommen und trotzdem dringend EMAIL lesen muessen, versuchen Sie
einmal den Webmail-Server
des URZs.
Mozilla Thunderbird
ist ein freier, open source, grafischer, cross-platform
EMail Client entwickelt von der Mozilla Foundation.
Dieser Mailclient wird von uns fuer grafische Oberflaechen empfohlen.
Hier ein Screenshot fuer die sichere IMAP-Einstellung des EMAIL-Programmes
von Mozilla/Thunderbird/Icedove oder SeaMonkey (alle aehnlich).
Wenn Sie POP3 benutzen wollen, lautet die Portnummer 110.
Hier erneuert auf Thunderbird 3.0 (Seamonkey 1.0
imap+
smtp)
:
Wenn Sie Verschlüsselung und Signaturen für EMAILs
verwenden möchten,
empfehle ich die Thunderbird-Erweiterung Enigmail (OpenPGP).
Falls ältere Mozilla/Thunderbirds
beim öffnen der Mailbox wegen dem unbekannten Zertifikat warnen,
bitte nach Pruefung mit "Accept this certificate permanently" das Zertifikat
dauerhaft akzeptieren.
Hier können Sie zukünftig die LDAP-Einstellung für das
Adressbuch der Uni finden.
Outlook Express (XP) oder Windows Mail (Vista) wird nicht zur
Nutzung empfohlen, da es mit Abstand
die häufigsten Probleme und die meiste Arbeit bei deren Behebung
verursacht.
Diese Software ignoriert bestehende Standards und erzwingt damit bei
Mailserverbetreibern explizites Abschalten von Sicherheitsfeatures (z.B.
FQDN-Pruefung, Stand 2012, s.u.).
Ältere Outlook-Versionen (Outlook 2000) beherrschen die
Verschlüsselung durch STARTTLS nur mit SMTP, was dort
verwirrenderweise als SSL bezeichnet wird.
Fuer IMAP/POP3 muss dann SSL und Port 993 bzw. 995 gewählt werden,
da STARTTLS über Port 110 bzw. 143 nicht funktioniert.
Die unverschlüsselte Übertragung der Passwörter wird
aus Sicherheitsgründen nicht mehr unterstützt.
Sollten Sie auf Outlook Express bzw. Windows Mail angewiesen sein,
finden Sie die notwendigen Einstellungen, um Ihren URZ-EMAIL-Account
auf SSL umzustellen, durch
klicken auf: Extras - Konten - E-Mail - Konto_ovgu
- Eigenschaften - Erweitert - Posteingang-erfordert-SSL.
Wenn die Einstellung nicht gleich funktioniert, versuchen Sie es mit
Beenden und Neustarten von Outlook Express.
Nach der Umstellung auf cyrus (2012) wurden die Einstellungen
mangels Verfügbarkeit alter Mailprogramme nicht neu
getestet (mit Fragezeichen gekennzeichnet).
Bitte geben Sie ihre Erfahrungen ggf. an mich weiter.
Wenn Sie weitere Probleme haben, machen sie bitte ein Screenshot
(Drucktaste - Paint öffnen - Bearbeiten - Einfügen)
und schicken diesen möglichst als PNG oder JPG an mich
(Joerg.Schulenburg@urz... oder besser unseren Windows-Spezialisten
Jens.Kraszewsky@ovgu... bzw. an das
URZ-Ticketsystem: it-service@ovgu.de)
Wenn Sie statt IMAP POP3 benutzen, ist die zugehoerige Portnummer 995.
Falls Sie nun bei jedem Programmstart eine Warnung zum Zertifikat
des MAIL-Servers bekommen, muss das Rootzertifikat erst importiert werden.
Im Normalfall sollte Windows das Zertifikat bereits kennen.
Eine Anleitung zum importieren finden Sie hier fuer
WinXP
und fuer Vista.
Verschicken Sie bitte keine HTML oder DOC Dokumente, da diese Formate
klassische Einfallstore fuer Schadsoftware sind. Verwenden Sie statt
dessen Textformat und Bildformate (JPG, PNG).
Bitte nutzen Sie keinesfalls Outlook mit Secure Password Authentification
(SPA) zur Anmeldung, da es zum einen nicht
mit der Uni funktioniert und zum anderen ein Sicherheitsproblem darstellt.
Achtung: Outlook 2000, 2002 und 2003 kennt scheinbar kein STARTTLS als
Option, hier muessen Sie
fuer POP3/IMAP SSL Verschluesselung (und Port 993 bzw. 995) waehlen
und nach Beendigung und Neustart von Outlook
in einigen Faellen das gespeicherte Passwort neu eingeben
(wahrscheinlich ein Fehler des Programms).
Nachtrag: Outlook 2013 scheint die gleichen Probleme mit TLS zu haben,
obwohl TLS bei SMTP funktioniert (Der Sinn dieser Teileinschraenkung
bleibt mir verschlossen).
Sie finden die notwendigen Einstellungen, um Ihren URZ-EMAIL-Account
auf auf SSL umzustellen, durch
klicken auf: Extras - Kontoeinstellungen - E-Mail - Konto_ovgu
- Aendern - Weitere Einstellungen - Erweitert -
verschluesselter Verbindungstyp = TLS.
Wenn Sie Probleme haben, versuchen Sie bitte zuerst Outlook zu beenden und
neu zu starten.
Wenn Sie weiterhin Probleme haben, machen sie bitte ein Screenshot
(Drucktaste - Paint oeffnen - Bearbeiten - Einfuegen)
und schicken diesen moeglichst als PNG oder JPG an mich (Joerg)
oder besser unseren Windows-Spezialisten (Jens).
Fuer den Mailversand (SMTP) waehlen Sie bitte Verschluesselung
mit STARTTLS (in aelteren Outlook als SSL bezeichnet) und Port 587.
Zusaetzlich muessen Sie beim Postausgangsserver
"erfordert Authentifizierung" aktivieren.
Verschicken Sie bitte keine HTML oder DOC Dokumente, da diese Formate
klassische Einfallstore fuer Schadsoftware sind. Verwenden Sie statt
dessen Textformat und Bildformate (JPG, PNG).
Bitte nutzen Sie keinesfalls Outlook mit Secure Password Authentification
(SPA) bzw. gesicherter Kennwortauthentifizierung zur Anmeldung, da es nicht
mit der Uni funktioniert und ein Sicherheitsproblem darstellt.
Nachtrag Feb2012: Outlook 2000, 2007, 2010, Outlook-Express 6
und Windows7-LiveMail senden statt dem
"fully qualified hostname" (fqdn) nur einen modifizierten
Kurznamen (ohne Minuszeichen), deshalb muss die fqdn-Pruefung am
Mailserver deaktiviert werden, was den Missbrauch erleichtert.
Vielen Dank an MS fuer ihre Ignoranz gegenueber Standards.
Netscape 7 (Juni 2003) hat Probleme mit der Verarbeitung der Zertifikate.
Es erscheint ein Abbruch-Fehler -8155 und man bekommt keine Verbindung.
Die gesamte Zertifikatskette muss per Hand importiert werden,
damit Netscape-EMail funktioniert.
Herr Riewald hat bereits eine Loesung des Problems gefunden und mir
eine Beschreibung zur Verfuegung gestellt (2011 wieder entfernt).
Die folgenden Einstellungen und Bilder wurden mir freundlicherweise von
F. Kaefert zur Verfügung gestellt.
-
1. Telekom-root-Zertifikat (neu Mai2008)
runterladen
-
2. The Bat! Öffnen und dann das Adressbuch wählen.
-
3. Im Adressbuch unter "Ansicht" die "Zertifikatsdatenbank" aktivieren.
-
4. "Trusted Root CA" auswählen.
-
5. Unter "Bearbeiten" den Punkt "Neue Adresse..." wählen.
-
6. Als Nachnahmen und als Darstellung "DFN Root CA" eintragen.
-
7. Die Registerkarte "Zertifikate" auswählen
-
8. Mit "Import" das zuvor herrunter geladene Zertifikat einfügen
und mit OK das Fenster schließen.
Dann das Adressbuch schließen.
-
9. Das URZ-Konto mit der rechten Maustaste auswählen
und dann "Eigenschaften" wählen (ganz unten)
-
10. Unter "Transport"
- Senden auf "Standard" oder "Geschützt auf Standard-Port(STARTTLS)"
stellen. Ihr müßt ausprobieren, welche der beiden
Einstellungen für euch die richtige ist , indem ihr euch selbst mit diesem
Konto etwas schickt. Kommt die Mail an, sind die Einstellungen
korrekt.
-
11. Nach dem schließen des Fensters mit OK,
sollte das Konto funktionieren.
Mutt
ist ein textbasiertes Mailprogramm (MUA) mit dem Vorteil, dass es schlank,
schnell und dazu noch praktisch auf jedem System laeuft.
.muttrc:
mailboxes "imap://mustermann@cyrus.ovgu.de/INBOX" \
"imaps://mustermann@cyrus.ovgu.de/INBOX"
Alpine
ist ein sehr zuverlaessiges und sicheres plattformunabhaengiges Mailprogramm
fuer den Textmodus und wird unter anderem auch von
Linus Torvalds
benutzt. Auf dem Zugangsserver connect steht Alpine-1.0 zur Verfuegung.
Aendern Sie in der Konfigarionsdatei .pinerc
# Mails (TLS-verschluesselt via IMAP) lesen:
inbox-path={cyrus.ovgu.de/imap/tls/validate-cert}inbox
# ggf. user="account" anhaengen
# alternativ via SSL:
# inbox-path={cyrus.ovgu.de/imap/ssl/validate-cert}inbox
# .../novalidate-cert/... ist ohne Zertifikatspruefung (unsicher)
#
# Mails verschicken:
smtp-server=mail.ovgu.de:587/tls/validate-cert/user="mustermann"
customized-hdrs=From: "Klaus Mustermann" <Klaus.Mustermann@ovgu.de>
Speichern Sie unter SuSE-9 das
Telekom-root-ca-Zertifikat
in /etc/ssl/certs/ und erzeugen Sie dort einen Link mittels
ln -s telekom2008.pem $(openssl x509 -noout -hash -in telekom2008.pem).0.
Unter Fedora Core (FC6) hängen Sie das Zertifikat bitte an die Datei
/etc/pki/tls/cert.pem.
Auf der connect.urz.uni-magdeburg.de wurde das Zertifikat am 06.05.2008
unter /etc/pki/tls/cert.pem eingefuegt.
Alternativ koennen Sie aktuelle Zertifikate via
openssl s_client -starttls smtp -port 587 -host mail.ovgu.de > file.pem
speichern. Fingerprints sind weiter unten zu finden.
Kurzfassung
sichere Konfiguration fuer EMAIL
# Mailserver des URZ: mail.ovgu.de (versenden)
# Mailboxen des URZ: cyrus.ovgu.de (empfangen)
# SMTP - Mail versenden
# Server: mail.ovgu.de
# IMAP/POP3 - Mail abrufen (IMAP ist das modernere Protokoll)
# Server: cyrus.ovgu.de
# TLS - Kurzbezeichnung von STARTTLS, eine SSL/TLS-Verbindung ueber normalen Port (25/143/110/587)
# SSL - transparente SSL/TLS Verschluesselung ueber separaten Port (993/995)
SMTP: server=mail.ovgu.de port=587 TLS auth=CLEARPASS,GSSAPI
IMAP: server=cyrus.ovgu.de port=143 TLS auth=CLEARPASS,GSSAPI
# alternativ ist auch kerberos/GSSAPI nutzbar
SSL/TLS-2048bit-Server-Zertifikate (Fingerprints):
mail.ovgu.de 2016-10-26 SHA1=C6:B4:4E:50:B8:92:B0:B7:EF:47:C4:57:C6:48:19:19:C2:B0:EF:C5
cyrus1.ovgu.de 2016-07-26 SHA1=3F:C4:CD:F3:A0:DB:B2:C2:6C:47:0D:F7:DA:78:77:5B:DE:55:D5:BA (not in use)
cyrus2.ovgu.de 2016-07-26 SHA1=41:C4:13:BA:1C:63:F6:D1:B5:EE:4F:B8:32:F2:FF:2C:88:E7:0B:C5 (not in use)
cyrus#.ovgu.de 2017-05-15 SHA1=7F:EC:F2:A5:9E:E1:F7:B3:2E:5C:08:07:90:F7:60:79:20:C2:4C:B8 (HA-use 2012-05-16)
Beachten Sie, dass POP3 unsere Server und Logfiles je nach Einstellung
durch haeufige Logins erheblich belastet. Benutzen Sie bitte wenn moeglich
IMAP, dort bekommen Sie ohne minuetliche Logins zeitnah neue EMAILs zugestellt.
Bitte senden Sie nur Textmails (UTF8) und waehlen Sie Textdarstellung.
HTML und DOC sind klassische Einfallstore fuer Schadsoftware.
Die maximale Laenge von EMAILS betraegt 40MB. Laengere EMAILS werden als
Denied of Service Attacken gewertet und erzeugen IP-Sperrungen.
Warum warnt Outlook? -
Jeder SSL-Server (z.B. https://webmail.uni-magdeburg.de) hat ein
Zertifikat fuer den Server, damit der Nutzer sicher sein kann,
den echten Server vor sich zu haben. Das hilft zum Beispiel gegen
sogenannte Phishing-Atacken und ist damit mehr als nur ein Schutz gegen Mitlesen der
Passwoerter. Manche Programme bestehen darauf und warnen, manche nicht.
Die Warnung ist eigentlich positiv zu sehen, da sie auf
Schwaechen hinweist.
Das Zertifikat wurde von der Uni-eigenen Zertifizierungsstelle
ausgestellt. Diese gehoert zusammen mit den anderen Universitaeten und
Bildungseinrichtungen zur
DFN-Struktur, welche sich seit 2007 an die Zertifikationsstruktur
der Deutschen Telekom AG untergeordnet hat.
Sie, bzw. Ihr Mailprogramm, muss also dem Rootzertifikat der
Deutschen Telekom AG vertrauen.
Microsoft liefert das Rootzertifikat mit, so dass Sie nur mit aelteren
Windowsversionen Fehlermeldungen bekommen sollten, die Sie durch Import
des Rootzertifikates abstellen koennen.
Ich habe bisher POP3 verwendet. Muss ich nun IMAP verwenden? -
Nein, POP3 ist auch via SSL/TLS moeglich und kann weiter verwendet werden.
IMAP ist das modernere Protokoll und hat mehr Faehigkeiten als POP3.
Ich habe über meinen privaten MailProvider eine "Abholfunktion" fuer
alle Uni-Mails eingestellt. Muss ich da auch Änderungen vornehmen? -
Diese Funktion erfordert die Weitergabe Ihres Uni-Passwortes an Dritte
(MailProvider) und ist vom URZ nicht erwuenscht.
Besser und sicherer ist die Weiterleitung der EMAILs von der Uni zu Ihrem
Mailprovider-Account. Sie koennen das "Forwarding" mit
Websieve
einstellen
(Achtung: Ggf. untersagt der Arbeitgeber jede Art von Mailweiterleitung
an externe Postfaecher).
Tabelle der MS Mail-Varianten (hauptsaechlich) um Verwirrungen mit diversen
"Outlook"-Varianten zu vermeiden. Fehlendes SSL laesst sich mit "stunnel"
leicht nachruesten. SMTP via SSL/TLS wird nicht angeboten!
# Produkt (Version) IMAP/POP3 SMTP
################################# +STARTTLS +SSL/TLS +STARTTLS +SSL/TLS Bemerkung
Mozilla Thunderbird 3.1.x (2012) OK OK OK OK (Test 2011)
Thunderbird Portable 3.1.6 (2010) OK/OK OK/OK OK ? (Test 2012 mit wine-1.0.1)
MS Outlook 2010 14.0.x nurIMAP OK OK OK *1,4 abweichende Bezeichnung: SSL=SSL/TLS TLS=STARTTLS
MS Outlook 2007 ? ? ? ? *1
MS Outlook 2003 ? ? OK ? *1
MS Outlook 2002 ? OK OK - *1,2
MS Outlook 2000 ? OK OK - *1,2
Windows7-LiveMail (Vista, 2009) ? OK ? ? *1
Outlook-Express 6 (XP) ? OK OK - *1,3
*1) senden bei SMTP statt FQDN nur Kurznamen, nicht RFC-Konform
*2) SMTP+STARTTLS durch Einstellung SMTP+SSL/TLS (falsche Bezeichnung)
*3) nur mit Send-Einstellung "My Server requires authentification" + Account + noSPA
*4) POP3 bietet kein STARTTLS (Bez: TLS) an, nur SSL/TLS (Bez: SSL)
