IMAP mit STARTTLS, Kaspersky Antivirus und Thunderbird…
Heute haben wir fast einen ganzen Tag lang damit verbracht, einen Fehler in unserem SSL Code zu finden. Während unser IMAP-Server prima funktionierte und alles reibungslos bis zum Umschalten per STARTTLS auf den verschlüsselten SSL-Modus funktionierte, wollte dies einfach nicht gelingen.
Nachdem wir ca. acht Stunden lang den Code durchgeschaut und ca. 50 neue Builds versucht hatten, mittlerweile auch andere Mailclients wie Pegasus Mail und den neuen 3er Thunderbird versucht hatten, kamen wir zu der Erkenntnis, dass das Problem von etwas anderem ausgelöst werden musste. Nach einer netten Google-Suche kamen wir dann dem Problem auf die Schliche: Kaspersky Antivirus. Dieser scheint bei IMAP in Verbindung mit dem Umschalten von einer unverschlüsselten zu einer verschlüsselten Verbindung Probleme zu haben und der SSL Parameteraustausch wird dabei abgebrochen. Prima!
Übrigens funktionieren SSL-Verbindungen, die direkt über den Port 993 mit SSL Version 3 aufgebaut werden, ohne Probleme. Lediglich beim Umschalten mittels STARTTLS kommt es zu dem oben beschriebenen Problem und das NUR bei dem IMAP Server. Bei SMTP und POP3 funktioniert STARTTLS bzw. STLS ohne Probleme, daher haben wir den Kaspersky auch nicht in den Problemkreis mit einbezogen. Das mit dem IMAP Server scheint nicht der einzige Fall zu sein, wie wir bei der Google-Suche feststellten. Daher könnte diese Information ggf. jemandem nochmal helfen, deswegen dieser Blogeintrag.
Ansonsten gibt es hier an der WinGroupware-Front jede Menge Neuigkeiten, aber leider nichts, was wir jetzt schon verraten können. Es dauert ja nicht mehr lange… einen guten Wochenstart aus Rödermark!
Du kannst alle Antworten zu diesem Eintrag via RSS 2.0 Feed erfolgen. Du kannst einen Kommentar hinterlassen, oder einen Trackback von deiner eigenen Seite.
Hi.
Mir ging es ähnlich. Nur das ich den Fehler in einer recht komplexen Anwendung plus GnuTLS gesucht habe und der Fehler bei IMAP SSL (Port 993) auftrat – nicht STARTTLS.
Symptommatisch war, das das TLS Handshaking nicht funktioniert und entweder mit einem “Encryption failed” Alarm bzw. “Unexpected Response Length” fehlschlug. Dies allerdings hauptsächlich bei einem bestimmten Server und wenn man den Debug-Level anhob, dann funktionierte es plötzlich wunderbar….
Deshalb ging ich erst von einer Race-Condition aus und habe bestimmt einige Tage mit dem Debugging verbracht, da einige Foreneintrage nahelegten, dass es evtl. einen solchen Fehler in GnuTLS geben könnte.
Kaum hatte ich Kasperskys Überwachung für die Ports abgeschaltet, lief es wie geschmiert.
Danke für den Blogeintrag; hätte ich ihn nur früher gefunden…