dlippert
Goto Top

GMX-Mail via Apple Mail (v6.6) unter Mac OS X 10.8.5 "Mountain Lion" einrichten - So geht es

Da GMX-Mail und einige andere Mail-Anbieter inzwischen die unsicheren TLS-Versionen 1.0 und 1.1 abgeschaltet haben, kommt es zu Problemen, wenn man weiterhin mit älteren Mail-Clients wie z.B. Apples eigenem Mail-Programm arbeitet.

Eine Lösung wäre ein System-Update, aber wir kennen es alle: Leider gibt es viele Gründe, warum dies noch nicht passiert ist bzw. die nächsten Tage ebenfalls nicht passieren wird. Sind wir ehrlich zueinander: Das Verständnis dafür mag sich als Admin in Grenzen halten. Dennoch kennen wir alle die Situation. Die gibt es oft. Zu oft. Mit zu vielen Gründen.

Daher hier eine ausführliche Schritt-für-Schritt-Anleitung, um GMX (oder andere Anbieter, die alte TLS-Versionen abgeschaltet haben) wieder unter dem gewohnten Mail-Client zum Laufen zu bringen:


back-to-topSchritt 1: Command Line Tools aktualisieren


Mithilfe eines Developer-Accounts (gratis mit einer Apple ID erstellbar) kann man bei Apple die neueste Version der Entwicklertools für Mac OS X Mountain Lion herunterladen.

https://developer.apple.com/xcode/resources/

Dort geht man unten auf "Additional Downloads" und loggt sich mit seiner Apple ID ein.
Nun sucht man am besten direkt nach den 'Command Line Tools (OS X Mountain Lion) for Xcode - April 2014'
Diese müssen als erstes heruntergeladen und installiert werden.

Mithilfe einer Terminal-Sitzung kann man schnell mit dem Befehl 'clang -v' die Versionsnummern überprüfen:

clang -v
Apple LLVM version 5.1 (clang-503.0.40) (based on LLVM 3.4svn)
Target: x86_64-apple-darwin12.6.0
Thread model: posix

Sollte dies die Ausgabe sein, ist soweit alles korrekt installiert.

back-to-topSchritt 2: OpenSSL 1.02u installieren


Hier kommt man zum Download der passenden Version:

https://www.openssl.org/source/old/1.0.2/

Hier am besten die neueste 1.0.2u downloaden. Die dazugehörige SHA256-Datei auch downloaden.


Terminal öffnen und damit in den Ordner mit den beiden Downloads navigieren.

Folgende Befehle zur Überprüfung ausführen:

openssl dgst -sha256 openssl-1.0.2u.tar.gz
more openssl-1.0.2u.tar.gz.sha256

Wenn die angezeigten Prüfsummen nicht übereinstimmen, sollte man die Dateien erneut herunterladen.
Sind die Prüfsummen identisch, geht es weiter mit:

tar -xzvf openssl-1.0.2u.tar.gz
cd openssl-1.0.2u
./configure darwin64-x86_64-cc
make
make test
sudo make install

Hier muss man sein Administrator-Kennwort vom Mac eingeben.
Nach diesem Vorgang hat man erfolgreich OpenSSL 1.02u installiert.


back-to-topSchritt 3: stunnel 5.42 installieren


Hier kommt man zum Download der passenden Version:

http://ftp.vim.org/networking/stunnel/archive/5.x/

Hier die Version 5.42 und die dazugehörige SHA256-Datei downloaden.


Terminal öffnen und damit erneut in den Ordner mit den beiden Downloads navigieren.

Folgende Befehle zur Überprüfung ausführen:

openssl dgst -sha256 stunnel-5.42.tar.gz
more stunnel-5.42.tar.gz.sha256

Wenn die angezeigten Prüfsummen nicht übereinstimmen, sollte man die Dateien erneut herunterladen.
Sind die Prüfsummen identisch, dann geht es hier weiter:

cd stunnel-5.42
./configure && make && make check && sudo make install

Auch hier ist wieder die Eingabe des Administrator-Kennworts vom Mac erforderlich.
Nun ist auch stunnel 5.42 erfolgreich installiert und einsatzbereit.


back-to-topSchritt 4: Root-Zertifikate aktualisieren


Damit stunnel anstandslos funktioniert, braucht es eine Zertifikatsdatei mit gültigen aktuellen Root-Zertifikaten.
Um diese zu erhalten gibt es verschiedene Wege.

Die einfachste ist es, einen neueren Mac zur Hand zu haben, auf dem ein Mac OS X ab 10.13 oder neuer läuft.
Falls dies der Fall ist, kann man hier im Ordner Dienstprogramme die Schlüsselbundverwaltung öffnen, und dort links im Fenster bei Schlüsselbunde auf 'System-Roots' klicken, und darunter bei der Kategorie auf 'Zertifikate'.

Nun sieht man eine Liste aller Zertifikate, die in 'System-Roots' enthalten sind. Diese markiert man jetzt alle und wählt im Menü 'Ablage' die Funktion 'Objekte exportieren…' aus.

Die so gesicherte Datei kann man dann in 'stunnel.pem' umbenennen. Diese Datei kopiert man dann auf den Mac mit dem OS X 10.8.5, und zwar in den Ordner '/usr/local/etc/stunnel'. Dort wird sie später für die Konfiguration von stunnel benötigt.

Sollte man keinen neueren Mac zur Hand haben, kann man die nötigen Zertifikate für den GMX-Mailserver auch manuell herunterladen und dann per 'cat'-Befehl zu einer Datei zusammenhängen, welche man dann ebenfalls stunnel.pem nennt und an den angegebenen Ort legt.
Downloadmöglichkeiten für diese Zertifikate finden sich hier:

https://de.ssl-tools.net/subjects/31e4c31bde81d32ad0d8ecacd40c3da4e71aeb ...
https://de.ssl-tools.net/subjects/7d9136a73aadb30e5548e30c7915c9479f234a ...
https://corporate-pki.telekom.de/downloads.html

Erwähnenswert ist noch, dass die Zugriffsrechte der Datei in '/usr/local/etc/stunnel/stunnel.pem' auf -rw-r----- (640) gesetzt werden, damit stunnel sich nicht beschwert, dass diese Datei unsicher sei.


back-to-topSchritt 5: stunnel konfigurieren


Dies ist ein Beispiel, welches bei mir wunderbar funktioniert, man kann also diese Zeilen direkt in eine Datei kopieren und diese als 'stunnel.conf' in /usr/local/etc/stunnel/ abspeichern.

sslVersion = all
ciphers = ALL

[gmx-pop3-out]
client = yes
accept = 127.0.0.1:12110
connect = pop.gmx.net:995
verifyChain = yes
CAfile = /usr/local/etc/stunnel/stunnel.pem
checkHost = pop.gmx.net
OCSPaia = yes

[gmx-smtp-out]
client = yes
accept = 127.0.0.1:12025
connect = mail.gmx.net:465
verifyChain = yes
CAfile = /usr/local/etc/stunnel/stunnel.pem
checkHost = mail.gmx.net
OCSPaia = yes

Zum Überprüfen kann man eine Terminal-Sitzung öffnen und dort einfach nur 'stunnel' eingeben, welches dann starten sollte, ohne eine Meldung auszugeben. Gibt es eine Fehlermeldung, ist es nicht korrekt konfiguriert.

Über die Aktivitätsanzeige (in Dienstprogramme) kann man nun den Prozess 'stunnel' sehen, wenn man danach sucht.
In diesem Fall hat alles bisher funktioniert. Falls nicht, bitte noch einmal die Konfigurationsdate prüfen, ob alle Zeilen korrekt eingetragen sind und die Date am richtigen Ort liegt.


back-to-topSchritt 6: Apple Mail konfigurieren


In Apples Mail muss man nun noch ein paar Änderungen der Konfiguration vornehmen, falls man bisher GMX dort empfangen hat.
Wichtig ist, dass man sowohl beim POP-Server als auch beim SMTP-Server die IP 127.0.0.1 eingibt, also localhost, damit die Verbindung zu stunnel geleitet wird, bevor sie dann von dort aus zum GMX-Server weitergeleitet wird.

Nun deaktiviert man SSL und gibt für POP den Port 12110 und als Authentifizierung die Methode 'Kennwort' ein.
Beim SMTP-Server gibt man den Port 12025 ein, ebenfalls ohne SSL mit 'Kennwort' als Authentifizierungsmehode.

Nach dem Sichern der Änderungen für diesen Account sollte Mail sich wieder wie gehabt verbinden können und alle Mails empfangen und senden können.


back-to-topSchritt 7: stunnel beim Systemstart ausführen


Damit stunnel nun dauerhaft läuft, ist es ratsam, die Software bei jedem Systemstart automatisch auszuführen, so dass sie ständig die 'Brücke' zum GMX-Server hält. Hierfür gibt es unterschiedliche Wege.

Am einfachsten ist es, in Systemeinstellungen bei Nutzer und Gruppen das Programm aus /usr/local/bin/stunnel bei den Anmeldeobjekten zu hinterlegen. Dann startet nach dem Booten eine Terminal-Sitzung und diese startet dann automatisch den stunnel. Leider schließt sich das Fenster nicht wieder, was etwas unschön ist.

Eine sauberere Methode wäre es, im Ordner /Library/LaunchDaemons eine Datei anzulegen mit folgendem Inhalt:

<?xml version="1.0" encoding="UTF-8"?>  
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">  
<plist version="1.0">  
<dict>
	<key>Label</key>
	<string>com.deinname.startstunnel</string>
	<key>ProgramArguments</key>
	<array>
		<string>/usr/local/bin/stunnel</string>
	</array>
	<key>ServiceIPC</key>
	<false/>
	<key>OnDemand</key>
	<false/>
	<key>RunAtLoad</key>
	<true/>
</dict>
</plist>

Einfach bei 'deinname' einen Namen eingeben, und die Datei dann genauso nennen, also z.B. com.deinname.startstunnel.plist
Wichtig ist dann noch, dass die Datei als User root und als Gruppe wheel gehört und die Zugriffsrechte -rw-r--r-- (644) hat.

Wenn man das alles korrekt gemacht hat, startet stunnel unsichtbar bei jedem Systemstart, überprüfbar durch die Aktivitätsanzeige.

Viel Spaß weiterhin mit diesem Weg, GMX zu nutzen!

Vielen Dank auch an colinardo, foxm2k, cykes und altmetaller aus diesem Forum! Ohne eure Hilfe hätte ich diese Lösung nicht gefunden und hätte diese Anleitung nicht schreiben können.


LG, Daniel

Content-ID: 3146060248

Url: https://administrator.de/contentid/3146060248

Printed on: October 10, 2024 at 02:10 o'clock