Het is verstandig om zoveel mogelijk connecties over een veilige verbinding te laten lopen. Toen ik vanmorgen mijn ‘syslog’ logging van mijn Debian server aan het bekijken was viel mij op dat het ophalen van email van mijn Provider niet over een veilige verbinding ging:

Jan 5 07:36:02 Webserver fetchmail[21200]: Warning: the connection is insecure, continuing anyways. (Better use --sslcertck!)
Jan 5 07:36:02 Webserver fetchmail[21200]: No mail for henri at mail.matthijsseninfo.nl

Zoals in eerdere blogs (hier en hier) beschreven gebruik ik Dovecot in combinatie met fetchmail voor de diverse email-accounts in ons gezin. De ‘syslog’ hierboven geeft aan dat het ophalen van de email bij mijn Provider niet over een veilige verbinding gaat. Dat is natuurlijk niet goed want met een netwerk-sniff kun je dan in plain text je communicatie zien.

Om wat meer informatie te verkrijgen heb ik de email eens opgehaald met verbose logging door het commando:

fetchmail -v

Je krijgt dan het volgende te zien:

Jan 5 10:08:49 localhost fetchmail[16678]: 6.3.26 querying mail.matthijsseninfo.nl (protocol POP3) at Thu 05 Jan 2017 10:08:49 AM CET: poll started
Jan 5 10:08:49 localhost fetchmail[16678]: Trying to connect to 86.109.6.219/110...connected.
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< +OK Hello there. <101987.1483607327@localhost.localdomain>
Jan 5 10:08:49 localhost fetchmail[16678]: POP3> CAPA
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< +OK Here's what I can do:
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< SASL LOGIN CRAM-MD5 CRAM-SHA1 CRAM-SHA256 PLAIN
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< STLS
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< USER
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< TOP
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< LOGIN-DELAY 10
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< PIPELINING
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< UIDL
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< IMPLEMENTATION Courier Mail Server
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< . Jan 5 10:08:49 localhost fetchmail[16678]: POP3> STLS
Jan 5 10:08:49 localhost fetchmail[16678]: POP3< +OK Begin SSL/TLS negotiation now.
Jan 5 10:08:49 localhost fetchmail[16678]: Server certificate:
Jan 5 10:08:49 localhost fetchmail[16678]: Issuer Organization: COMODO CA Limited
Jan 5 10:08:49 localhost fetchmail[16678]: Issuer CommonName: COMODO RSA Domain Validation Secure Server CA
Jan 5 10:08:49 localhost fetchmail[16678]: Subject CommonName: *.alphamegahosting.com
Jan 5 10:08:49 localhost fetchmail[16678]: Subject Alternative Name: *.alphamegahosting.com
Jan 5 10:08:49 localhost fetchmail[16678]: Subject Alternative Name: alphamegahosting.com
Jan 5 10:08:49 localhost fetchmail[16678]: Server CommonName mismatch: *.alphamegahosting.com != mail.matthijsseninfo.nl
Jan 5 10:08:49 localhost fetchmail[16678]: mail.matthijsseninfo.nl key fingerprint: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
Jan 5 10:08:49 localhost fetchmail[16678]: Warning: the connection is insecure, continuing anyways. (Better use --sslcertck!)

Deze logging bevat precies de informatie die je nodig hebt om alsnog een secure verbinding te configureren. Als je nl. de fingerprint toevoegt aan je ‘.fetchmailrc’ configuratie-file dan gaat de verbinding wel veilig. Dit ziet er dan als volgt uit:

poll mail.matthijsseninfo.nl proto POP3 user "henri" password "mijn password" fetchall options ssl sslfingerprint 'XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX'
mda "/usr/bin/procmail -d %T"

Je zult nu in de ‘syslog’ logging geen warning meer krijgen dat de verbinding niet over een veilige verbinding gaat.