Verschlüsselungsversion (TLS) in Mail.app beeinflussen - wie?

F

FritzSt

Mitglied
Thread Starter
Dabei seit
22.05.2010
Beiträge
50
Reaktionspunkte
2
Wie kann man die Verschlüsselungsversion von Mail.app - Version 9.3 (3124) aus ElCapitan Version 10.11.6 (15G20015) beeinflussen?
Gefordert wird vom Provider TLS 1.1 (strong) oder TLS 1.2 (perfect) für POP3, IMAP, SMTP.

In Mail.app kann man lediglich SSL und zusätzlich MD5, NTLM, Kerberus, Extern TLS Clientzertifikat aussuchen.

Oder würde Mail.app wenn man den Haken bei SSL weg nimmt aber den entsprechenden HighPort verwendet, TLS automatisch nehmen?

Und wie ließe sich das überprüfen?

Mein Provider hatte kurz SSL 3.0 und TLS 1.0 deaktiviert. Da war weder mit Mail.app noch mit Outlook.app (von MS Office 2011 Version 14.7.7 (170905) eine Verbindung möglich.

Mein Provider verwendet Mailenable auf Windows Server.
Anderere Mailprovider wie z.B. GMX hatten keine Probleme.

Daraus kann man nicht schließen in wie weit das auch für ElCapitan zutrifft:
https://apple.stackexchange.com/questions/85593/mail-app-connect-to-imap-server-with-starttls
https://serverfault.com/questions/750871/tls1-2-not-possible-with-ios-mail
https://support.apple.com/en-us/HT203995

Wie kann man die vom macOS unterstütze TLS Versionen herauslesen?

Mein MBP unterstützt kein neueres macOS als ElCapitan mehr!
 
naja, du kannst die openssl version im terminal abfragen mit
openssl version
von der kannst du die unterstützten sachen ableiten.

entweder musst du den mail client wechseln oder halt einen tunnel aufbauen mit TLS 1.2, so dass der abruf über den tunnel erfolgt …
 
$ openssl version
OpenSSL 1.0.2o 27 Mar 2018

Hier „spuckt“ offensichtlich MacPorts drein:confused:
$ /opt/local/bin/openssl version
OpenSSL 1.0.2o 27 Mar 2018

$ /usr/bin/openssl version
OpenSSL 0.9.8zh 14 Jan 2016

Die Frage ist, welche Version nehmen nun Mail.app oder Outlook.app?

Ich will aber die beiden Clients momentan nicht wechseln. Sierra oder High Sierra scheiden auf dieser Hardware aus!

Einen Tunnel aufzubauen, das klingt für mehrere Mailboxen auf den Server dieses Providers mühsam.

Seltsam - GMX, A1 (Telekom Austria), etc. erzwingen derzeit noch kein TLS 1.1 / TLS 1.2
 
mail.app scheint nur gegen frameworks gelinkt zu sein, zumindest auf 10.13 …
otool -L /Applications/Mail.app/Contents/MacOS/Mail

da wird das austauchen der openssl version wohl nicht so einfach …
 
...TLS ist doch eigentlich nur die Folgebezeichnung von SSL ab 3.0: https://de.wikipedia.org/wiki/Transport_Layer_Security

Eigentlich sollte es reichen, den Haken bei SSL zu setzen - produziert das bei Dir irgend eine Fehlermeldung? (mal in der Konsole nachsehen?) Apple Mail mag zwar so seine Eigenheiten haben, aber mir ist nicht bekannt daß es an neueren TLS-Spezifikationen scheitert...
 
https://discussions.apple.com/thread/7299638 schrieb:
As of latest OS X 10.11 and latest iOS 9.2.1 the Mail apps that ship with OS X or iOS do not support TLS v1.1 or TLS v1.2.
Zum Vergrößern anklicken....

Also wenn das nur halbwegs der Wahrheit entspricht ist das ziemlich gruselig. TLS 1.0 (i.e. SSL3) ist seit Jahren kaputt. Da sind einige Systemadmins deren Mailserver verbindung zu Apple Mail auch kaputt gegangen ist nachdem sie die unsicheren ausgemacht haben.

@FritzSt: Du kannst dir selbst eine email schicken, und dann in den Headers nachschauen welche Verbindung der Mailserver und dein Apple Mail ausgehandelt haben.

Unter Received steht da bei mir z.B:

from ppp-182-174-128-136.dynamic.mnet-online.de ([182.174.128.136] helo=[182.178.5.43]) by domain.de with esmtpsa (TLS1.2:ECDHE-RSA-AES128-GCM-SHA256:128) (Exim 4.84_2) (envelope-from <adresse@domain.de>) id 1fOkUb-00006x-BN for adresse@domain.de; Fri, 01 Jun 2018 15:53:21 +0200
Zum Vergrößern anklicken....

Mit Thunderbird als E-Mail Client. Und bei Thunderbird kann man natürlich ne Cipher Favoritenliste erstellen, als auch einzelne Cipher ausschalten. Ich hab z.B. alles mit MD5, RC4 und SSL3 aus. Und Thunderbird versucht natürlich ohne Favoritenliste den am meisten sicheren zuerst.

FritzSt schrieb:
Seltsam - GMX, A1 (Telekom Austria), etc. erzwingen derzeit noch kein TLS 1.1 / TLS 1.2
Zum Vergrößern anklicken....

So sicher wär ich mir da nicht. Der Standard ist schon lange TLS 1.2.

Edit:

Ich hab das mal gerade ausprobiert bei GMX. Die haben in der Tat noch TLS 1.0 Support. Aber da wird natürlich idR TLS 1.2 ausgehandelt und ist wohl nur für legacy Systeme:

Code: 
 $ nmap --script ssl-enum-ciphers -p 993 imap.gmx.net

Starting Nmap 6.00 ( http://nmap.org ) at 2018-06-01 16:33 MDT
Nmap scan report for imap.gmx.net (212.227.17.170)
Host is up (0.010s latency).
Other addresses for imap.gmx.net (not scanned): 212.227.17.186
PORT    STATE SERVICE
993/tcp open  imaps
| ssl-enum-ciphers:
|   TLSv1.0
|     Ciphers (10)
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
|     Compressors (1)
|       NULL
|   TLSv1.1
|     Ciphers (10)
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
|     Compressors (1)
|       NULL
|   TLSv1.2
|     Ciphers (22)
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - unknown strength
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - unknown strength
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 - unknown strength
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256 - unknown strength
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - unknown strength
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - unknown strength
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 - unknown strength
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256 - unknown strength
|     Compressors (1)
|       NULL
|_  Least strength = unknown strength

Nmap done: 1 IP address (1 host up) scanned in 13.94 seconds
 
Zuletzt bearbeitet:
Mail.app loggt selbst mit - bei diesem Provider:
Mail.app von ElCapitan verwendet laut Log bei POP3 und SMTP TLSv1
port: 995, security layer: kCFStreamSocketSecurityLevelTLSv1_0
port: 587, security layer: kCFStreamSocketSecurityLevelTLSv1 (Error Domain=NSPOSIXErrorDomain Code=60 "Operation timed out")

bei IMAP STARTTLS
IMAP4REV1 IMAP4 AUTH=LOGIN IDLE CHILDREN UIDPLUS XLIST AUTH=CRAM-MD5 STARTTLS

Ich muss mir noch die Logs der anderen Provider ansehen.
 
Heute kam ein Sicherheitsupdate für ElCapitan, an der Openssl Version oder an der Mail.app hat sich leider nichts geändert:
$ /usr/bin/openssl version
OpenSSL 0.9.8zh 14 Jan 2016

Da fehlt noch die genaue Beschreibung
https://support.apple.com/de-de/HT201222
 
oneOeight schrieb:
mail.app scheint nur gegen frameworks gelinkt zu sein, zumindest auf 10.13 …
otool -L /Applications/Mail.app/Contents/MacOS/Mail

da wird das austauchen der openssl version wohl nicht so einfach …
Zum Vergrößern anklicken....
openssl scheint hier ein Teil eines oder mehrerer Frameworks zu sein.

Man könnte natürlich die Libs von Macports vor den Mac eignen reihen. Das hatte ich schon mal getan, aber nach „Hoppalas“ wieder entfernt.
https://www.cyberciti.biz/faq/appleosx-bash-unix-change-set-path-environment-variable/
Method #2: /etc/paths.d directory
Zum Vergrößern anklicken....
Ob dies alleine genügen würde und tatsächlich auch Auswirkungen auf Mail.app und Outlook.app hätte?

So tief habe ich mich mit Unix und macOS noch nicht befasst.
 
Die aktuelle Postbox.app die mit den neuen TLS Versionen keine Probleme hatte:
$ otool -L /Applications/_Browser\ \&\ Internet\ Tools/Postbox.app/Contents/MacOS/postbox
/Applications/_Browser & Internet Tools/Postbox.app/Contents/MacOS/postbox:
/System/Library/Frameworks/Cocoa.framework/Versions/A/Cocoa (compatibility version 1.0.0, current version 22.0.0)
/usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
/System/Library/Frameworks/AudioToolbox.framework/Versions/A/AudioToolbox (compatibility version 1.0.0, current version 492.0.0)
/System/Library/Frameworks/ExceptionHandling.framework/Versions/A/ExceptionHandling (compatibility version 1.0.0, current version 12.0.0)
@executable_path/libmozglue.dylib (compatibility version 1.0.0, current version 1.0.0)
/usr/lib/libc++.1.dylib (compatibility version 1.0.0, current version 400.9.0)
/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)
/System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.15.0)
......
$ otool -L /Applications/_Browser\ \&\ Internet\ Tools/Postbox.app/Contents/MacOS/postbox-bin
/Applications/_Browser & Internet Tools/Postbox.app/Contents/MacOS/postbox-bin:
/System/Library/Frameworks/Cocoa.framework/Versions/A/Cocoa (compatibility version 1.0.0, current version 22.0.0)
/usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
/System/Library/Frameworks/AudioToolbox.framework/Versions/A/AudioToolbox (compatibility version 1.0.0, current version 492.0.0)
/System/Library/Frameworks/ExceptionHandling.framework/Versions/A/ExceptionHandling (compatibility version 1.0.0, current version 12.0.0)
@executable_path/libmozglue.dylib (compatibility version 1.0.0, current version 1.0.0)
/usr/lib/libc++.1.dylib (compatibility version 1.0.0, current version 400.9.0)
/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)
/System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.15.0)
Zum Vergrößern anklicken....
Postbox bringt aber eine Reihe eigener Libs mit.

Leider habe ich noch keinen vernünftigen Weg gefunden, die Mails aus Outlook.app und Mail.app nach Postbox zu transferieren.
Ich besitze noch ein 2. MacBook, dort werde ich mal mit einer aktuellen MS Office Trial testen ob das aktuelle Outlook schon damit klar kommt.
Mein Mailprovider hat temporär wieder TLS1.0 und SSL3 erlaubt. Vielleicht hat er einen Testserver mit nur TLS1.1 TLS1.2
 
FritzSt schrieb:
Heute kam ein Sicherheitsupdate für ElCapitan, an der Openssl Version oder an der Mail.app hat sich leider nichts geändert:
$ /usr/bin/openssl version
OpenSSL 0.9.8zh 14 Jan 2016
Zum Vergrößern anklicken....

Ich kann dir da nicht weiterhelfen. Ich hab kein Mac OS mehr, aber ich bin mir sicher, für deine OS X version wird da auch kein neueres OpenSSL mehr kommen. Und die OpenSSL v0.9.8 wird seit 3 Jahren nicht gewartet und ist ursprünglich von 2005. Und die hat in der Tat kein TLS 1.1 und kein TLS 1.2, über 10 Jahre alte, sicherheitsrelevante Technik nicht vorhanden.

Aber das ist auch nichts neues. Die ganzen UNIX Tools in OS X sind aus der Steinzeit. Trotzdem kommen die immer in der Werbung mit ihrem UNIX (TM).

Nach meinem kurzen googlen scheint Apple in High Sierra von OpenSSL auf eine sehr viel aktuellere LibreSSL gewechselt zu haben.

Ich glaub aber irgendwie eh nicht (ohne irgendwelche Beweise zu haben), dass Apple einfach auf die openssl libs linkt. Die haben wahrscheinlich irgendwas in ihrem Frameworks.
 
  • Gefällt mir
Reaktionen: FritzSt
Hat indirekt mit dem Thema zu tun. Gibt es auf den MS Seiten irgendwo versteckt eine Testversion von Office 2016 für Mac (inklusive Outlook!) zum Herunterladen.
Ich meine nicht Office 365 auf das mich MS Seiten andauernd „hinbugsieren“ wollen.

Hintergrund - ich will das mit Outlook 2016 testen.
 
Das würde viele alte Software obsolet machen - und damit auch alte Geräte für die es kein OS Upgrade mehr gibt!

Postbox scheint (laut Test) TLS 1.2 zu beherrschen. Aber wie alle lokalen Mails von Outlook.app (Office 2011) und Mail.app lokal nach Postbox zu schaufeln?
Postbox bietet in der neuen Version noch keine Möglichkeit Thunderbird AddOns einzubinden. Thunderbird will ich aus anderen Gründen nicht verwenden.
Über eine IMAP Mailbox beim Provider wäre mir etwas zu mühsam, da der Upstream deutlich weniger als der Downstream ist. Ein möglicher Ausweg, gleich einen lokalen IMAP Server zu installieren (z.B. auf einem RasPi oder meinem alten MacMini 2.1).
 
kann das nicht mal mbox import? wirbt doch sonst mit etlichen features, aber eins der gebräuchlichsten gibt es nicht?
 
Was wird in mbox alles gesichert? Nur die Mails an sich, oder auch die Metadaten, wie z.B. die IMAP-Flags (gelesen, markiert etc.) und -Keywords (manche Clients legen Tags als IMAP-Keywords ab, wie z.B. Thunderbird und MailMate)? Wenn es nur die Mails enthält und einem die Flags und Keywords wichtig sind, dann sollte man direkt von IMAP zu IMAP migrieren. Im Falle der Keywords ist aber wichtig zu wissen, daß es IMAP-Server gibt, die keine Custom-Keywords erlauben (z.B. Exchange-IMAP) bzw. ein (meist ungenanntes) Limit haben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten