Einstellungen für Uni-Mailserver (cyrus und mail, alt: sunny, cyrus1)

Diese Seite entstand auf Grund der zahlreichen Nachfragen zur Umschaltung auf verschlüsselten Mailabruf ab Juli 2006 während der Vertretung des Mail-Administrators und wurde für die neuen Mail-Server aktualisiert (23.01.2012). Seit Oktober 2012 bitte die neuen Server cyrus.ovgu.de (Empfang) und mail.ovgu.de (versenden) verwenden (sunny.ovgu.de soll 2012 abgestellt werden, cyrus1 und cyrus2 werden nicht mehr direkt angesprochen).

Aktuell finden Sie hier die Einstellungen zu

Wichtig ist dabei nur die Auswahl einer sicheren Verbindung. Sie koennen, je nach Vorliebe, weiterhin eines der Protokolle POP3 oder IMAP waehlen, wobei wir IMAP empfehlen. Fuer Hinweise und Screenshots zu weiteren EMAIL-Programmen, die ich den anderen Nutzern hier zur Verfuegung stellen kann, bin ich dankbar. Wenn Sie AntiSpam-Programme (z.B. Spammihilator) verwenden, muessen Sie die Aenderungen am AntiSpam-Programm (server=cyrus) und nicht am EMAIL-Programm (server=localhost) vornehmen. Lesen Sie bitte auch unten die FAQ. Erfahrene Nutzer finden hier eine Kurzuebersicht.

Wenn Sie trotz dieser Erlaeuterungen keine Verbindung zum EMAIL-Server bekommen und trotzdem dringend EMAIL lesen muessen, versuchen Sie einmal den Webmail-Server des URZs.

Einstellung für Mozilla-artige Mailprogramme (Mai08,Feb12)

Mozilla Thunderbird ist ein freier, open source, grafischer, cross-platform EMail Client entwickelt von der Mozilla Foundation. Dieser Mailclient wird von uns fuer grafische Oberflaechen empfohlen.
Hier ein Screenshot fuer die sichere IMAP-Einstellung des EMAIL-Programmes von Mozilla/Thunderbird/Icedove oder SeaMonkey (alle aehnlich). Wenn Sie POP3 benutzen wollen, lautet die Portnummer 110.
Hier erneuert auf Thunderbird 3.0 (Seamonkey 1.0 imap+ smtp) :


Wenn Sie Verschlüsselung und Signaturen für EMAILs verwenden möchten, empfehle ich die Thunderbird-Erweiterung Enigmail (OpenPGP).
Falls ältere Mozilla/Thunderbirds beim öffnen der Mailbox wegen dem unbekannten Zertifikat warnen, bitte nach Pruefung mit "Accept this certificate permanently" das Zertifikat dauerhaft akzeptieren. Hier können Sie zukünftig die LDAP-Einstellung für das Adressbuch der Uni finden.

Outlook Express 6 (XP) / Windows Mail (Vista)

Outlook Express (XP) oder Windows Mail (Vista) wird nicht zur Nutzung empfohlen, da es mit Abstand die häufigsten Probleme und die meiste Arbeit bei deren Behebung verursacht. Diese Software ignoriert bestehende Standards und erzwingt damit bei Mailserverbetreibern explizites Abschalten von Sicherheitsfeatures (z.B. FQDN-Pruefung, Stand 2012, s.u.). Ältere Outlook-Versionen (Outlook 2000) beherrschen die Verschlüsselung durch STARTTLS nur mit SMTP, was dort verwirrenderweise als SSL bezeichnet wird. Fuer IMAP/POP3 muss dann SSL und Port 993 bzw. 995 gewählt werden, da STARTTLS über Port 110 bzw. 143 nicht funktioniert. Die unverschlüsselte Übertragung der Passwörter wird aus Sicherheitsgründen nicht mehr unterstützt. Sollten Sie auf Outlook Express bzw. Windows Mail angewiesen sein, finden Sie die notwendigen Einstellungen, um Ihren URZ-EMAIL-Account auf SSL umzustellen, durch klicken auf: Extras - Konten - E-Mail - Konto_ovgu - Eigenschaften - Erweitert - Posteingang-erfordert-SSL. Wenn die Einstellung nicht gleich funktioniert, versuchen Sie es mit Beenden und Neustarten von Outlook Express. Nach der Umstellung auf cyrus (2012) wurden die Einstellungen mangels Verfügbarkeit alter Mailprogramme nicht neu getestet (mit Fragezeichen gekennzeichnet). Bitte geben Sie ihre Erfahrungen ggf. an mich weiter. Wenn Sie weitere Probleme haben, machen sie bitte ein Screenshot (Drucktaste - Paint öffnen - Bearbeiten - Einfügen) und schicken diesen möglichst als PNG oder JPG an mich (Joerg.Schulenburg@urz... oder besser unseren Windows-Spezialisten Jens.Kraszewsky@ovgu... bzw. an das URZ-Ticketsystem: it-service@ovgu.de)

Erweitert-SSL Server-IMAP

Wenn Sie statt IMAP POP3 benutzen, ist die zugehoerige Portnummer 995.

Falls Sie nun bei jedem Programmstart eine Warnung zum Zertifikat des MAIL-Servers bekommen, muss das Rootzertifikat erst importiert werden. Im Normalfall sollte Windows das Zertifikat bereits kennen. Eine Anleitung zum importieren finden Sie hier fuer WinXP und fuer Vista.
Verschicken Sie bitte keine HTML oder DOC Dokumente, da diese Formate klassische Einfallstore fuer Schadsoftware sind. Verwenden Sie statt dessen Textformat und Bildformate (JPG, PNG). Bitte nutzen Sie keinesfalls Outlook mit Secure Password Authentification (SPA) zur Anmeldung, da es zum einen nicht mit der Uni funktioniert und zum anderen ein Sicherheitsproblem darstellt.

MS Office Outlook 2007

Achtung: Outlook 2000, 2002 und 2003 kennt scheinbar kein STARTTLS als Option, hier muessen Sie fuer POP3/IMAP SSL Verschluesselung (und Port 993 bzw. 995) waehlen und nach Beendigung und Neustart von Outlook in einigen Faellen das gespeicherte Passwort neu eingeben (wahrscheinlich ein Fehler des Programms). Nachtrag: Outlook 2013 scheint die gleichen Probleme mit TLS zu haben, obwohl TLS bei SMTP funktioniert (Der Sinn dieser Teileinschraenkung bleibt mir verschlossen).

Sie finden die notwendigen Einstellungen, um Ihren URZ-EMAIL-Account auf auf SSL umzustellen, durch klicken auf: Extras - Kontoeinstellungen - E-Mail - Konto_ovgu - Aendern - Weitere Einstellungen - Erweitert - verschluesselter Verbindungstyp = TLS. Wenn Sie Probleme haben, versuchen Sie bitte zuerst Outlook zu beenden und neu zu starten. Wenn Sie weiterhin Probleme haben, machen sie bitte ein Screenshot (Drucktaste - Paint oeffnen - Bearbeiten - Einfuegen) und schicken diesen moeglichst als PNG oder JPG an mich (Joerg) oder besser unseren Windows-Spezialisten (Jens).

outlook12-TLS

Fuer den Mailversand (SMTP) waehlen Sie bitte Verschluesselung mit STARTTLS (in aelteren Outlook als SSL bezeichnet) und Port 587. Zusaetzlich muessen Sie beim Postausgangsserver "erfordert Authentifizierung" aktivieren.

outlook12-UTF8

Verschicken Sie bitte keine HTML oder DOC Dokumente, da diese Formate klassische Einfallstore fuer Schadsoftware sind. Verwenden Sie statt dessen Textformat und Bildformate (JPG, PNG). Bitte nutzen Sie keinesfalls Outlook mit Secure Password Authentification (SPA) bzw. gesicherter Kennwortauthentifizierung zur Anmeldung, da es nicht mit der Uni funktioniert und ein Sicherheitsproblem darstellt.

Nachtrag Feb2012: Outlook 2000, 2007, 2010, Outlook-Express 6 und Windows7-LiveMail senden statt dem "fully qualified hostname" (fqdn) nur einen modifizierten Kurznamen (ohne Minuszeichen), deshalb muss die fqdn-Pruefung am Mailserver deaktiviert werden, was den Missbrauch erleichtert. Vielen Dank an MS fuer ihre Ignoranz gegenueber Standards.

Netscape7

Netscape 7 (Juni 2003) hat Probleme mit der Verarbeitung der Zertifikate. Es erscheint ein Abbruch-Fehler -8155 und man bekommt keine Verbindung. Die gesamte Zertifikatskette muss per Hand importiert werden, damit Netscape-EMail funktioniert. Herr Riewald hat bereits eine Loesung des Problems gefunden und mir eine Beschreibung zur Verfuegung gestellt (2011 wieder entfernt).

Hier die Einstellung für "The Bat!"

Die folgenden Einstellungen und Bilder wurden mir freundlicherweise von F. Kaefert zur Verfügung gestellt.

Mutt

Mutt ist ein textbasiertes Mailprogramm (MUA) mit dem Vorteil, dass es schlank, schnell und dazu noch praktisch auf jedem System laeuft.

.muttrc:

 mailboxes "imap://mustermann@cyrus.ovgu.de/INBOX" \
   "imaps://mustermann@cyrus.ovgu.de/INBOX"


Pine und Alpine

Alpine ist ein sehr zuverlaessiges und sicheres plattformunabhaengiges Mailprogramm fuer den Textmodus und wird unter anderem auch von Linus Torvalds benutzt. Auf dem Zugangsserver connect steht Alpine-1.0 zur Verfuegung. Aendern Sie in der Konfigarionsdatei .pinerc

 # Mails (TLS-verschluesselt via IMAP) lesen:
 inbox-path={cyrus.ovgu.de/imap/tls/validate-cert}inbox
 #  ggf. user="account" anhaengen
 # alternativ via SSL:
 #   inbox-path={cyrus.ovgu.de/imap/ssl/validate-cert}inbox
 #  .../novalidate-cert/... ist ohne Zertifikatspruefung (unsicher)
 #
 # Mails verschicken:
 smtp-server=mail.ovgu.de:587/tls/validate-cert/user="mustermann"
 customized-hdrs=From: "Klaus Mustermann" <Klaus.Mustermann@ovgu.de>

Speichern Sie unter SuSE-9 das Telekom-root-ca-Zertifikat in /etc/ssl/certs/ und erzeugen Sie dort einen Link mittels ln -s telekom2008.pem $(openssl x509 -noout -hash -in telekom2008.pem).0.
Unter Fedora Core (FC6) hängen Sie das Zertifikat bitte an die Datei /etc/pki/tls/cert.pem.
Auf der connect.urz.uni-magdeburg.de wurde das Zertifikat am 06.05.2008 unter /etc/pki/tls/cert.pem eingefuegt. Alternativ koennen Sie aktuelle Zertifikate via openssl s_client -starttls smtp -port 587 -host mail.ovgu.de > file.pem speichern. Fingerprints sind weiter unten zu finden.

Kurzfassung sichere Konfiguration fuer EMAIL

  
  #  Mailserver des URZ: mail.ovgu.de (versenden) 
  #  Mailboxen  des URZ: cyrus.ovgu.de (empfangen)
  #  SMTP - Mail versenden
  #    Server: mail.ovgu.de
  #  IMAP/POP3 - Mail abrufen (IMAP ist das modernere Protokoll)
  #    Server: cyrus.ovgu.de
  #  TLS - Kurzbezeichnung von STARTTLS, eine SSL/TLS-Verbindung ueber normalen Port (25/143/110/587)
  #  SSL - transparente SSL/TLS Verschluesselung ueber separaten Port (993/995)

  SMTP: server=mail.ovgu.de   port=587 TLS auth=CLEARPASS,GSSAPI
  IMAP: server=cyrus.ovgu.de  port=143 TLS auth=CLEARPASS,GSSAPI

  # alternativ ist auch kerberos/GSSAPI nutzbar
  SSL/TLS-2048bit-Server-Zertifikate (Fingerprints):
    mail.ovgu.de    2016-10-26 SHA1=C6:B4:4E:50:B8:92:B0:B7:EF:47:C4:57:C6:48:19:19:C2:B0:EF:C5
    cyrus1.ovgu.de  2016-07-26 SHA1=3F:C4:CD:F3:A0:DB:B2:C2:6C:47:0D:F7:DA:78:77:5B:DE:55:D5:BA (not in use)
    cyrus2.ovgu.de  2016-07-26 SHA1=41:C4:13:BA:1C:63:F6:D1:B5:EE:4F:B8:32:F2:FF:2C:88:E7:0B:C5 (not in use)
    cyrus#.ovgu.de  2017-05-15 SHA1=7F:EC:F2:A5:9E:E1:F7:B3:2E:5C:08:07:90:F7:60:79:20:C2:4C:B8 (HA-use 2012-05-16)

  

Beachten Sie, dass POP3 unsere Server und Logfiles je nach Einstellung durch haeufige Logins erheblich belastet. Benutzen Sie bitte wenn moeglich IMAP, dort bekommen Sie ohne minuetliche Logins zeitnah neue EMAILs zugestellt.

Bitte senden Sie nur Textmails (UTF8) und waehlen Sie Textdarstellung. HTML und DOC sind klassische Einfallstore fuer Schadsoftware. Die maximale Laenge von EMAILS betraegt 40MB. Laengere EMAILS werden als Denied of Service Attacken gewertet und erzeugen IP-Sperrungen.

kleine FAQ (haeufige Fragen)

Warum warnt Outlook? - Jeder SSL-Server (z.B. https://webmail.uni-magdeburg.de) hat ein Zertifikat fuer den Server, damit der Nutzer sicher sein kann, den echten Server vor sich zu haben. Das hilft zum Beispiel gegen sogenannte Phishing-Atacken und ist damit mehr als nur ein Schutz gegen Mitlesen der Passwoerter. Manche Programme bestehen darauf und warnen, manche nicht. Die Warnung ist eigentlich positiv zu sehen, da sie auf Schwaechen hinweist. Das Zertifikat wurde von der Uni-eigenen Zertifizierungsstelle ausgestellt. Diese gehoert zusammen mit den anderen Universitaeten und Bildungseinrichtungen zur DFN-Struktur, welche sich seit 2007 an die Zertifikationsstruktur der Deutschen Telekom AG untergeordnet hat. Sie, bzw. Ihr Mailprogramm, muss also dem Rootzertifikat der Deutschen Telekom AG vertrauen. Microsoft liefert das Rootzertifikat mit, so dass Sie nur mit aelteren Windowsversionen Fehlermeldungen bekommen sollten, die Sie durch Import des Rootzertifikates abstellen koennen.

Ich habe bisher POP3 verwendet. Muss ich nun IMAP verwenden? - Nein, POP3 ist auch via SSL/TLS moeglich und kann weiter verwendet werden. IMAP ist das modernere Protokoll und hat mehr Faehigkeiten als POP3.

Ich habe über meinen privaten MailProvider eine "Abholfunktion" fuer alle Uni-Mails eingestellt. Muss ich da auch Änderungen vornehmen? - Diese Funktion erfordert die Weitergabe Ihres Uni-Passwortes an Dritte (MailProvider) und ist vom URZ nicht erwuenscht. Besser und sicherer ist die Weiterleitung der EMAILs von der Uni zu Ihrem Mailprovider-Account. Sie koennen das "Forwarding" mit Websieve einstellen (Achtung: Ggf. untersagt der Arbeitgeber jede Art von Mailweiterleitung an externe Postfaecher).

Tabelle der MS Mail-Varianten (hauptsaechlich) um Verwirrungen mit diversen
"Outlook"-Varianten zu vermeiden. Fehlendes SSL laesst sich mit "stunnel"
leicht nachruesten. SMTP via SSL/TLS wird nicht angeboten!
# Produkt (Version)               IMAP/POP3          SMTP
################################# +STARTTLS +SSL/TLS +STARTTLS +SSL/TLS Bemerkung
Mozilla Thunderbird 3.1.x (2012)  OK        OK       OK        OK       (Test 2011)
Thunderbird Portable 3.1.6 (2010) OK/OK     OK/OK    OK        ?        (Test 2012 mit wine-1.0.1)
MS Outlook 2010 14.0.x            nurIMAP   OK       OK        OK       *1,4 abweichende Bezeichnung: SSL=SSL/TLS TLS=STARTTLS
MS Outlook 2007                   ?         ?        ?         ?        *1
MS Outlook 2003                   ?         ?        OK        ?        *1
MS Outlook 2002                   ?         OK       OK        -        *1,2 
MS Outlook 2000                   ?         OK       OK        -        *1,2 
Windows7-LiveMail (Vista, 2009)   ?         OK       ?         ?        *1
Outlook-Express 6 (XP)            ?         OK       OK        -        *1,3


*1) senden bei SMTP statt FQDN nur Kurznamen, nicht RFC-Konform
*2) SMTP+STARTTLS durch Einstellung SMTP+SSL/TLS (falsche Bezeichnung)
*3) nur mit Send-Einstellung "My Server requires authentification" + Account + noSPA
*4) POP3 bietet kein STARTTLS (Bez: TLS) an, nur SSL/TLS (Bez: SSL)