Fetchmail und Postfix mit T-Online

Fetchmail und Postifx mit T-Online

Um Fetchmail und Postfix zusammen mit einem T-Online-Account zu verwenden, sind einige Kniffe nötig. Diese gehören zwar in das Repertoire des versierten Linux-Anwenders, ich habs trotzdem hier mal zusammengeschrieben.

Erstellen eines E-Mail-Passworts

Um bei T-Online ein externes E-Mail-Programm verwenden zu können, muss man im Kundencenter ein separates E-Mail-Passwort vergeben. Dies ist nicht mehr automatisch das gleiche wie das T-Online-Passwort!

Datei .fetchmailrc

  • Hier ist es wichtig, den korrekten Benutzernamen und das E-Mail-Passwort einzutragen. Wie man zum SSSL-Fingerprint kommt, wird im n√§chsten Schritt erkl√§rt.
poll popmail.t-online.de port 995
    proto pop3
    user "chris123@t-online.de"
    pass "qaywsx12"
    is chrissie here
    nokeep
    fetchall
    ssl
    sslfingerprint "F1:5F:F4:E5:D6:4C:B8:87:6F:9B:CF:00:F7:FE:44:82"
    sslcertck
    sslcertpath /etc/ssl/fetchmaild/certs/

Zertifikate installieren

  • Zertifikat von securepop abrufen. Diese Datei muss danach editiert werden
# echo "quit"|openssl s_client -connect securepop.t-online.de:995 -showcerts >/etc/ssl/fetchmaild/certs/securepop.t-online.de.pem
  • dass sie so aussieht, insgesamt befinden sich dann 3 Zertifikate in dieser Datei
-----BEGIN CERTIFICATE-----
MIIItjCCB56gAwIBAgIQOaTDJsasgp6pONvZpM3/4TANBgkqhkiG9w0BAQsFADCB
3zELMAkGA1UEBhMCREUxJTAjBgNVBAoMHFQtU3lzdGVtcyBJbnRlcm5hdGlvbmFs
[...]
HiTsgAgb4tA25OVpObntLgbs88/yZ54SoP5NMJ4SD2HGXnsh3k8s3sRi7vuWrfD4
7K3GiMFoxJlxNxHvi0cs+1a6JAjXZ9Q6JzOZ2ljPZ1UPwElOn/w1HQST2waeGjYS
u9TBoyMqGuTEA3GmvkiJswztne1RP3qVnVM=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFwDCCBKigAwIBAgIIfjnHrR3Z8EMwDQYJKoZIhvcNAQELBQAwgYIxCzAJBgNV
BAYTAkRFMSswKQYDVQQKDCJULVN5c3RlbXMgRW50ZXJwcmlzZSBTZXJ2aWNlcyBH
[...]
9noHV8cigwUtPJslJj0Ys6lDfMjIq2SPDqO/nBudMNva0Bkuqjzx+zOAduTNrRlP
BSeOE6Fuwg==
-----END CERTIFICATE-----
  • Telekom Root-Zertifikat installieren

das .cer muss zu einem .pem umgewandelt werden. Danach m√ľssen alle Zertifikate ge-rehashet werden. Achtung - Die Download-Adresse des Telekom Global Root Class 2 kann dich √§ndern - heute war es dort zu finden. U. u. ist die Suche zu bem√ľhen!

# cd /etc/ssl/fetchmaild/certs
# wget https://www.telesec.de/assets/downloads/PKI-Repository/T-TeleSec_GlobalRoot_Class_2.cer
# openssl x509 -inform der -in T-TeleSec_GlobalRoot_Class_2.cer -out T-TeleSec_GlobalRoot_Class_2.pem
# c_rehash /etc/ssl/fetchmaild/certs
  • Kontrolle der Hashes, YMMV
# ls -lha
[...]
1e09d511.0 -> T-TeleSec_GlobalRoot_Class_2.pe
cbb4e309.0 -> securepop.t-online.de.pem
[...]
  • Erstellen des Fingerprints, dass in die .fetchmailrc-Datei einzutragen ist:
chrissie@fehmarn ~ $ openssl x509 -in /etc/ssl/fetchmaild/certs/securepop.t-online.de.pem -fingerprint -noout -md5
MD5 Fingerprint=F1:5F:F4:E5:D6:4C:B8:87:6F:9B:CF:00:F7:FE:44:82

Postifx-Konfiguration testen

  • Die Konfiguration von Postifx beschreibe ich ein andermal, momentan gehe ich davon aus, das man eine funktionierende Postifx-Instanz hat.
  • Wenn dieser Test nicht erfolgreich ist, kann fetchmail die Mails nicht lokal zustellen. Man kann aber auch einen anderen fetchmail-Transport w√§hlen, es muss nicht postfix sein
chrissie@fehmarn ~ $ telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 fehmarn.x-tra-designs.org ESMTP Postfix (3.5.6)
EHLO how_are_you
250-fehmarn.x-tra-designs.org
250-PIPELINING
250-SIZE 536870912
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250-SMTPUTF8
250 CHUNKING
MAIL FROM: test@t-online.de
250 2.1.0 Ok
RCPT TO: chrissie@localhost
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Test-Mail

.
250 2.0.0 Ok: queued as F2B60200130
QUIT
221 2.0.0 Bye
Connection closed by foreign host.
  • Endlich: Mails mit fetchmail abholen!
chrissie@fehmarn ~ $ fetchmail
20 messages for chris123@t-online.de at popmail.t-online.de (376618 octets).
reading message chris123@t-online.de@popmail.t-online.de:1 of 20 (17311 octets) flushed
[...]
  • Und mit mutt lesen!
chrissie@fehmarn ~ $ mutt -f /var/spool/mail/chrissie

Fehler und deren Behebung

  • Allgemein kann man immer fetchmail -v aufrufen, also Verbose. Man erh√§lt zus√§tzliche Fehlerinformationen.

  • SMTP Error: Temporary lookup failure

Dies tritt auf, wenn Postfix nicht korrekt konfiguriert ist. Er kann dann die Mails nicht lokal zustellen

fetchmail: SMTP error: 451 4.3.0 <chrissie@fehmarn.x-tra-designs.org>:
Temporary lookup failure
reading message chris123@t-online.de@popmail.t-online.de:18 of 20 (17376 octets) not flushed
  • fetchmail: Missing trust anchor certificate

Das tritt auf, wenn das Telekom-Root-Zertifikat vergessen wurde, falsch importiert wurde oder aus einem anderen Grund nicht verwendbar ist. Leider wird das immer wieder mal geändert, und die Download-Adresse ändert sich auch.

chrissie@fehmarn ~ $ fetchmail
fetchmail: Server certificate verification error: self signed certificate in certificate chain
fetchmail: Missing trust anchor certificate: /C=DE/O=T-Systems Enterprise
Services GmbH/OU=T-Systems Trust Center/CN=T-TeleSec GlobalRoot Class 2
fetchmail: This could mean that the root CA's signing certificate is not in
the trusted CA certificate location, or that c_rehash needs to be run on the
certificate directory. For details, please see the documentation of
--sslcertpath and --sslcertfile in the manual page. See README.SSL for details.
fetchmail: OpenSSL reported: error:1416F086:SSL
routines:tls_process_server_certificate:certificate verify failed
fetchmail: popmail.t-online.de: SSL connection failed.
fetchmail: socket error while fetching from
chris123@t-online.de@popmail.t-online.de
  • fetchmail: Authorization failure on

Zugriff von externen Mail-Programmen via E-Mail-Passwort wurde nicht freigeschaltet, oder es wurde bei der Passwort-Eingabe vertippt.

chrissie@fehmarn ~ $ fetchmail
fetchmail: Authorization failure on chris123@t-online.de@popmail.t-online.de
fetchmail: For help, see http://www.fetchmail.info/fetchmail-FAQ.html#R15
fetchmail: Query status=3 (AUTHFAIL)
Artikel erstellt am: 09 October 2020 , aktualisiert am 09 October 2020