Apple Mail 9.3 - IMAP nur noch ohne SSL

[francwalter]

Hallo
Ich habe einen uralten MacBook Pro mit OS 10.11.6 noch (siehe Sig.) darauf lauft das ebenso uralte Apple Mail 9.3 (3124), für das es natürlich schon ewig keine Updates mehr gibt.
An für sich bin ich mit Apple Mail ja zufrieden, allerdings habe ich jetzt Probleme mit dem SSL, aber nur mit meinem eigenen IMAP-Server. Der läuft mit Dovecot 2.3.15 (0503334ab1) auf Ubuntu 18.04 LTS.
Mail kann offenbar keine SSL Verbindung mehr herstellen, im Log lese ich:

...
Jun 23 07:58:30  Mail[1057] <Debug>: ERROR: Reading failed from socket: 0x7ffabdd35dc0, error: Error Domain=NSPOSIXErrorDomain Code=60 "Operation timed out"
Jun 23 07:58:45  Mail[1057] <Debug>: ERROR: Connecting failed for socket: 0x7ffabcb0f220, error: Error Domain=NSOSStatusErrorDomain Code=-9806 "errSSLClosedAbort: connection closed via error "
Jun 23 07:59:45  Mail[1057] <Debug>: ERROR: Reading failed from socket: 0x7ffabd8f9ff0, error: Error Domain=NSPOSIXErrorDomain Code=60 "Operation timed out"
Jun 23 08:00:39  Mail[1057] <Debug>: ERROR: Connecting failed for socket: 0x7ffabcd453b0, error: Error Domain=NSOSStatusErrorDomain Code=-9806 "errSSLClosedAbort: connection closed via error "
...

Unter "Mailverbindung prüfen" lese ich bei dem Konto:

Die Verbindung zu diesem IMAP-Server ist fehlgeschlagen. Überprüfen
Sie die Netzwerkverbindung und ihre Angaben in der Einstellung
"Accounts". Prüfen Sie ebenfalls ob der Server SSL untertützt. Falls
nicht, deaktivieren Sie in der Einstellung "Accounts" im Bereich
"Erweitert" die Option "SSL verwenden"

Ohne SSL geht es dann tatsächlich, aber das ist ja keine Option, da kann ja jeder mitlesen und auch mein Passwort abgreifen, der bei mir im Netz mit drin ist.

Weiß jemand dazu was, wie ich das reparieren kann oder so?

Lustigerweise geht es ja mit GMX oder GMail (beide auch IMAP und SSL) problemlos, scheint also eine zu strenge Einstellung meines IMAP-Servers (Dovecot) zu sein, aber da fallt mir nichts ein dazu.

Danke für Tipps

franc

 

[oneOeight]

Guck mal welche TLS Version da erlaubt ist.
Inzwischen ist alles unter 1.2 meist abgeschaltet.

 

[tocotronaut]

Versuche mal Thunderbird, das kann auch unter El Capitan neuere TLS Versionen.

El Capitan kann zwar TLS 1.2, aber nur im System nicht in der Mail.app

 

[francwalter]

Versuche mal Thunderbird, das kann auch unter El Capitan neuere TLS Versionen.

El Capitan kann zwar TLS 1.2, aber nur im System nicht in der Mail.app

Welche TLS Version kann denn Mail.app noch?

Ich habe ja gar nichts geändert, an der TLS Anforderung von Dovecot, das Update war auch unspektatulär, auf 2.3.15, vorher war es 2.3.14. Ich kann mir nicht recht vorstellen, dass da mit der Mindestversion was hoch gesetzt worden wäre, zumindest finde ich dazu nichts.

Allerdings hatte ich schon ein paar Wochen ein bisschen Probleme mit dem Konto: wenn ich den MacBook aufgeklappt hatte war dieses Konto erst mal mit Ausrufezeichen versehen (so wie jetzt dauernd bei SSL aktiviert). Klickte ich dann aber drauf, ging es doch.
Jetzt aber gar nicht mehr mit aktiviertem SSL.

 

[oneOeight]

Guck mal in der dovecot config nach
ssl_min_protocol = TLSv1.2
Oder
ssl_protocols = !SSLv3 !TLSv1 !TLSv1.1

 

[francwalter]

Ich habe ssl_min_protocol gar nicht in meinen Konfigurationen und ssl_protocols auch nicht gesetzt. Das gibt es gerade mal, aber auskommentiert in der /etc/dovecot/conf.d/10-ssl.conf.ucf-dist

Könnte wohl sein, dass durch das Update die Standardeinstellung von ssl_min_protocol erhöht wurde
Immerhin lese ich auf Github > Dovecot:

...
# Minimum SSL protocol version to use. Potentially recognized values are SSLv3,
# TLSv1, TLSv1.1, TLSv1.2 and TLSv1.3, depending on the OpenSSL version used.
#
# Dovecot also recognizes values ANY and LATEST. ANY matches with any protocol
# version, and LATEST matches with the latest version supported by library.
#ssl_min_protocol = TLSv1.2
...

Ich setze das jetzt mal, nämlich auf TLSv1.1

 

[Tealk]

Ich setzt das jetzt mal, nämlich auf TLSv1.1

Dann kann man das ganze auch ganz weg lassen und ohne TLS die Verbindung aufbauen.

 

[tocotronaut]

naja so nun auch nicht...
da kann ja jeder mitlesen

 

[oneOeight]

Sonst halt neueres openssl drauf auf El Capitan und tunneln.

 

[francwalter]

...

...
# Minimum SSL protocol version to use. Potentially recognized values are SSLv3,
# TLSv1, TLSv1.1, TLSv1.2 and TLSv1.3, depending on the OpenSSL version used.
#
# Dovecot also recognizes values ANY and LATEST. ANY matches with any protocol
# version, and LATEST matches with the latest version supported by library.
#ssl_min_protocol = TLSv1.2
...

Ich setze das jetzt mal, nämlich auf TLSv1.1

Ich musste bis TLSv1 runter gehen, damit es ging

Aber diese Einstellung verringert ja nur die Sicherheit des Clients.
Wenn der Client nur TLSv1 kann, kann er halt leichter abgehört werden. Aber immer noch bei weitem nicht so leicht, wie ganz ohne TLS.
GMX etc. werden es ja so auch haben.
Da mein MacBook mittlerweile nur noch im WLAN daheim unterwegs ist, ist die Gefahr überschaubar

 

[oneOeight]

Wo steht denn der IMAP Server? Auch daheim?

 

[xentric]

Und was ist mit der ganzen anderen Software?

RCE wie diese hier in Webkit: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1844 ohne Fix für deine Kiste, ..

Ich würd da ja ein supported OS drauf installieren, oder ab in die Tonne damit.

 

[francwalter]

Wo steht denn der IMAP Server? Auch daheim?

Im Netz.

 

[francwalter]

Und was ist mit der ganzen anderen Software?

RCE wie diese hier in Webkit: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1844 ohne Fix für deine Kiste, ..

Ich würd da ja ein supported OS drauf installieren, oder ab in die Tonne damit.

Ich benutz den so lange es noch geht. Ich benutze nur Firefox da drauf und surfe auch gar nicht so viel, besonders nicht auf unbekannte Seiten.
Aber du hast schon recht, es ist ein Wagnis, früher oder später kann es mich erwischen...
Allerdings ist die Kiste jetzt fast 12 Jahre alt und ich benutze sie oft, d.h. der MacBook wird auch mal herkömmlich abrauchen
Will ich nicht hoffen, aber es wird passieren und dann kommt halt ein neuer mit aktuellem OS.

Danke für den Link (und die Warnung damit).