Thunderbird impossible à configurer

Bonjour @MichelT23
Quels éléments de configurations as-tu utilisé pour configurer Thunderbird :
* en POP ou IMAP ?
* en SMTP ?

Serveurs, ports, protocole, etc.

mail Ovh
IMAP ssl0.ovh.net 993 SSL/TLS
SMTP ssl0.ovh.net 587 STARTTLS (Si échec, essayer 465 et SSL)

Merci pour votre réponse,

Entrant: POP3/ssl0.ovh.net/port 995/SSL-TSL

Sortant: SMPT/ssl0.ovh.net/port 465/SSL-TSL

Nom,+ identifiant + adr electr, avec mon adresse mail concernée/

Merci pour la réponse.
J'ai essayé suivant votre proposition cela ne fonctionne pas mieux...

avec tes paramètres, tu arrives à te connecter sur le webmail?

Merci pour la réponse.
Je me connecte sans problème avec l'adresse mail, et le mot de passe qui y est rattaché.

rien dans ton réseau ou Pc qui pourrait expliquer un blocage?

Peut-être y a-t-il quelque chose, puisque la raison de ma "migration" sur thunderbird est le "plantage de Windows Live Mail qui reçoit les messages mais ne les affiche plus. Peut-être est ce lié. Mais là, j'avoue que mes déjà maigres compétences sont de loin dépassées, pour pouvoir expliquer ce blocage...
Cordialement.

> Peut-être y a-t-il quelque chose

j'ai le doute...

antivirus? à désactiver?

tu peux tester Thunderbird sur un autre Pc?
dans un autre réseau?

J'ai essayé en désactivant l'antivirus Windows Defender, rien n'y fait. J'ai rajouté l'application Thunderbird dans l'autorisation du parfeux, rien n'y fait.
Il faudrait que j'essaie effectivement sur mon PC de bureau, pour voir. Je ferai ça plus tard, là j'ai un boulot à finir.
Merci en tout cas pour la réponse.

Si c'est la version 78.4 de Thunderbird, il faut aller dans les outils,options, général, puis tout en bas dans "éditeur de configuration".
Là, cliquer sur "je prends le risque" puis aller dans "security.tls.version.min" et changer le paramètre de 3 à 1.
rebooter thunderbird.

Merci @LouisC2

> Si c'est la version 78.4 de Thunderbird, il faut

seulement en dernier recours et cela sous-entendrait que Ovh ne prendrait pas en charge TLSv1.2 ...?
c'est surprenant... (mais je n'ai pas la réponse)

vérifier aussi dans ce cas la nécessité de passer `security.tls.version.enable-deprecated` à _true_

> Et ca marche plus des que je reviens à "false"

donc il a y bien un souci de protocole déprécié...
ce qui pourrais expliquer de nombreux soucis avec Apple depuis des mois ou années

ET
ce n'est pas un souci TB78 mais de fournisseur
(je l'utilise sans soucis avec d'autres fournisseurs sachant gérer les mails)

(@Fritz2cat pour info)

laisse comme tu as modifié
ou changer de fournisseur

je n'ai aucun avis sur la question, laisse la tienne

(et méfie toi d'un fournisseur qui ne sait pas évoluer sur les protocoles de sécurité?)

il y en a d'autres...
et des francophones aussi

(@Fritz2cat pour info)

Intéressant. Merci

Bonjour,

vous utilisez quoi comme adresse de serveur dans votre Thunderbird ?

Car sur les Offre MX Plan mon Thunderbird (configuré en POPS/IMAPS) ne me crache aucune erreur par rapport à TLS, ce qui me semble normale dans le sens ou OVH propose bien du TLS1.0/1.1/1.2 avec un certificat RSA4096 en SHA2 (Cf : https://tls.imirhil.fr/tls/ssl0.ovh.net:995) ce qui respecte toute les "normes" que Apple impose (Cf : https://support.apple.com/fr-ca/guide/security/sec100a75d12/web).

Cordialement, janus57

https://tls.imirhil.fr/tls/ssl0.ovh.net:995

995 c'est juste POP3 SSL

465 c'est SMTP SSL et ça a l'air de supporter TLS 1.2

le plus compliqué à analyser c'est 587 SMTP STARTTLS ; la conversation démarre en clair et puis bascule en sécurisé.
Du coup l’initialisation de la session est en clair, le site est incapable de tester les paramètres de cette connexion sécurisée.

Merci pour l'adresse tls.imirhil.fr , je ne la connaissais pas.

> Voici un site d'analyse externe certifiant la version en place : ssllabs

ridicule, c'est le test du port 80

> he25.mail.ovh.net

c'est quoi ce serveur?
comme dit plus haut, utiliser ssl0.ovh.net

```text
curl --head https://he25.mail.ovh.net/
HTTP/1.1 200 OK
server: Apache/2.2.16 (Debian)
x-powered-by: PHP/5.3.3-7+squeeze3
set-cookie: roundcube_sessid=hrqkse0u81si2ipakgau2srv24; path=/; secure; HttpOnly
```

pas récent les roundcube chez Ovh
Debian squeeze... les mails sont en sécurité :/

Bonjour,

comme dit plus haut le test via ssllabs pour le coup n'est que de la poussière aux yeux vu que visiblement ils ont mis un frontale avec une bonne couche niveau TLS.

Voici ce que donne un autre test qui là peu confronter le support à leur serveur vieillissant (car je pense que soit vous êtes sur une veille infra soit une infra réservé au client OVH Télécom vu qu'on est dans la partie OVH télécom du forum) :

cadeau pour @Fritz2cat SMTP avec STARTTLS sur 587
[code]
./testssl.sh -t smtp he25.mail.ovh.net:587

###########################################################
testssl.sh 3.1dev from https://testssl.sh/dev/
(ac99fbe 2020-11-14 11:11:10 -- )

This program is free software. Distribution and
modification under GPLv2 permitted.
USAGE w/o ANY WARRANTY. USE IT AT YOUR OWN RISK!

Please file bugs @ https://testssl.sh/bugs/

###########################################################

Using "OpenSSL 1.0.2-chacha (1.0.2k-dev)" [~183 ciphers]
on vps01:./bin/openssl.Linux.x86_64
(built: "Jan 18 17:12:17 2019", platform: "linux-x86_64")


Start 2020-11-17 20:02:59 -->> 5.135.57.20:587 (he25.mail.ovh.net) <<--

rDNS (5.135.57.20): he25.mail.ovh.net.
Service set: STARTTLS via SMTP

Testing protocols via sockets

SSLv2 not offered (OK)
SSLv3 offered (NOT ok)
TLS 1 offered (deprecated)
TLS 1.1 not offered
TLS 1.2 not offered and downgraded to a weaker protocol
TLS 1.3 not offered and downgraded to a weaker protocol

Testing cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) offered (NOT ok)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES, RC[2,4], MD5 (w/o export) offered (NOT ok)
Triple DES Ciphers / IDEA offered
Obsoleted CBC ciphers (AES, ARIA etc.) offered
Strong encryption (AEAD ciphers) with no FS not offered
Forward Secrecy strong encryption (AEAD ciphers) not offered


Testing server's cipher preferences

Has server cipher order? no (NOT ok)
Negotiated protocol TLSv1
Negotiated cipher DHE-RSA-AES256-SHA, 1024 bit DH (limited sense as client will pick)
Cipher per protocol

Hexcode Cipher Suite Name (OpenSSL) KeyExch. Encryption Bits Cipher Suite Name (IANA/RFC)
-----------------------------------------------------------------------------------------------------------------------------
SSLv2
-
SSLv3 (no server order, thus listed by strength)
x39 DHE-RSA-AES256-SHA DH 1024 AES 256 TLS_DHE_RSA_WITH_AES_256_CBC_SHA
x3a ADH-AES256-SHA DH 1024 AES 256 TLS_DH_anon_WITH_AES_256_CBC_SHA
x35 AES256-SHA RSA AES 256 TLS_RSA_WITH_AES_256_CBC_SHA
x33 DHE-RSA-AES128-SHA DH 1024 AES 128 TLS_DHE_RSA_WITH_AES_128_CBC_SHA
x34 ADH-AES128-SHA DH 1024 AES 128 TLS_DH_anon_WITH_AES_128_CBC_SHA
x2f AES128-SHA RSA AES 128 TLS_RSA_WITH_AES_128_CBC_SHA
x18 ADH-RC4-MD5 DH 1024 RC4 128 TLS_DH_anon_WITH_RC4_128_MD5
x05 RC4-SHA RSA RC4 128 TLS_RSA_WITH_RC4_128_SHA
x04 RC4-MD5 RSA RC4 128 TLS_RSA_WITH_RC4_128_MD5
x16 EDH-RSA-DES-CBC3-SHA DH 1024 3DES 168 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
x1b ADH-DES-CBC3-SHA DH 1024 3DES 168 TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
x0a DES-CBC3-SHA RSA 3DES 168 TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLSv1 (no server order, thus listed by strength)
x39 DHE-RSA-AES256-SHA DH 1024 AES 256 TLS_DHE_RSA_WITH_AES_256_CBC_SHA
x3a ADH-AES256-SHA DH 1024 AES 256 TLS_DH_anon_WITH_AES_256_CBC_SHA
x35 AES256-SHA RSA AES 256 TLS_RSA_WITH_AES_256_CBC_SHA
x33 DHE-RSA-AES128-SHA DH 1024 AES 128 TLS_DHE_RSA_WITH_AES_128_CBC_SHA
x34 ADH-AES128-SHA DH 1024 AES 128 TLS_DH_anon_WITH_AES_128_CBC_SHA
x2f AES128-SHA RSA AES 128 TLS_RSA_WITH_AES_128_CBC_SHA
x18 ADH-RC4-MD5 DH 1024 RC4 128 TLS_DH_anon_WITH_RC4_128_MD5
x05 RC4-SHA RSA RC4 128 TLS_RSA_WITH_RC4_128_SHA
x04 RC4-MD5 RSA RC4 128 TLS_RSA_WITH_RC4_128_MD5
x16 EDH-RSA-DES-CBC3-SHA DH 1024 3DES 168 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
x1b ADH-DES-CBC3-SHA DH 1024 3DES 168 TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
x0a DES-CBC3-SHA RSA 3DES 168 TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLSv1.1
-
TLSv1.2
-
TLSv1.3
-


Testing robust forward secrecy (FS) -- omitting Null Authentication/Encryption, 3DES, RC4

FS is offered (OK) DHE-RSA-AES256-SHA DHE-RSA-AES128-SHA
DH group offered: Postfix (1024 bits)

Testing server defaults (Server Hello)

TLS extensions (standard) "renegotiation info/#65281" "session ticket/#35"
Session Ticket RFC 5077 hint no -- no lifetime advertised
SSL Session ID support yes
Session Resumption Tickets no, ID: yes
TLS clock skew 0 sec from localtime
Signature Algorithm SHA256 with RSA
Server key size RSA 4096 bits (exponent is 65537)
Server key usage Digital Signature, Key Encipherment
Server extended key usage TLS Web Server Authentication, TLS Web Client Authentication
Serial / Fingerprints B47FF9C003DB27F4B03A7F46CFDEC071 / SHA1 28178A7DEC00134C7874FDC7BFC1562B5EF4EE20
SHA256 772CF9F3804EF576D08E9380027CA39B4C23BF2F53462B2FD28FBF08AB211C6A
Common Name (CN) he25.mail.ovh.net
subjectAltName (SAN) he25.mail.ovh.net www.he25.mail.ovh.net
Trust (hostname) Ok via SAN and CN (same w/o SNI)
Chain of trust Ok
EV cert (experimental) no
Certificate Validity (UTC) 166 >= 60 days (2020-05-02 02:00 --> 2021-05-03 01:59)
ETS/"eTLS", visibility info not present
Certificate Revocation List --
OCSP URI http://ocsp.sectigo.com
OCSP stapling not offered
OCSP must staple extension --
DNS CAA RR (experimental) not offered
Certificate Transparency yes (certificate extension)
Certificates provided 3
Issuer Sectigo RSA Domain Validation Secure Server CA (Sectigo Limited from GB)
Intermediate cert validity #1: ok > 40 days (2031-01-01 00:59). Sectigo RSA Domain Validation Secure Server CA <-- USERTrust RSA Certification Authority
#2: ok > 40 days (2038-01-19 00:59). USERTrust RSA Certification Authority <-- USERTrust RSA Certification Authority
Intermediate Bad OCSP (exp.) Ok


Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
ROBOT not vulnerable (OK)
Secure Renegotiation (RFC 5746) supported (OK)
Secure Client-Initiated Renegotiation VULNERABLE (NOT ok), potential DoS threat
CRIME, TLS (CVE-2012-4929) VULNERABLE but not using HTTP: probably no exploit known
POODLE, SSL (CVE-2014-3566) VULNERABLE (NOT ok), uses SSLv3+CBC (check TLS_FALLBACK_SCSV mitigation below)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention NOT supported and vulnerable to POODLE SSL
SWEET32 (CVE-2016-2183, CVE-2016-6329) VULNERABLE, uses 64 bit block ciphers
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=772CF9F3804EF576D08E9380027CA39B4C23BF2F53462B2FD28FBF08AB211C6A could help you to find out
LOGJAM (CVE-2015-4000), experimental VULNERABLE (NOT ok): common prime: Postfix (1024 bits),
but no DH EXPORT ciphers
BEAST (CVE-2011-3389) SSL3: DHE-RSA-AES256-SHA ADH-AES256-SHA AES256-SHA DHE-RSA-AES128-SHA ADH-AES128-SHA AES128-SHA EDH-RSA-DES-CBC3-SHA ADH-DES-CBC3-SHA DES-CBC3-SHA
TLS1: DHE-RSA-AES256-SHA ADH-AES256-SHA AES256-SHA DHE-RSA-AES128-SHA ADH-AES128-SHA AES128-SHA EDH-RSA-DES-CBC3-SHA ADH-DES-CBC3-SHA DES-CBC3-SHA
VULNERABLE -- and no higher protocols as mitigation supported
LUCKY13 (CVE-2013-0169), experimental potentially VULNERABLE, uses cipher block chaining (CBC) ciphers with TLS. Check patches
Winshock (CVE-2014-6321), experimental not vulnerable (OK) - no HTTP or RDP
RC4 (CVE-2013-2566, CVE-2015-2808) VULNERABLE (NOT ok): ADH-RC4-MD5 RC4-SHA RC4-MD5


Running client simulations via sockets

Android 8.1 (native) TLSv1.0 AES128-SHA, No FS
Android 9.0 (native) TLSv1.0 AES128-SHA, No FS
Android 10.0 (native) TLSv1.0 AES128-SHA, No FS
Java 6u45 TLSv1.0 RC4-MD5, No FS
Java 7u25 TLSv1.0 AES128-SHA, No FS
Java 8u161 TLSv1.0 AES256-SHA, No FS
Java 11.0.2 (OpenJDK) TLSv1.0 AES256-SHA, No FS
Java 12.0.1 (OpenJDK) TLSv1.0 AES256-SHA, No FS
OpenSSL 1.0.2e TLSv1.0 DHE-RSA-AES256-SHA, 1024 bit DH
OpenSSL 1.1.0l (Debian) TLSv1.0 DHE-RSA-AES256-SHA, 1024 bit DH
OpenSSL 1.1.1d (Debian) No connection
Thunderbird (68.3) TLSv1.0 DHE-RSA-AES128-SHA, 1024 bit DH


Rating (experimental)

Rating specs (not complete) SSL Labs's 'SSL Server Rating Guide' (version 2009q from 2020-01-30)
Specification documentation https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide
Protocol Support (weighted) 0 (0)
Key Exchange (weighted) 0 (0)
Cipher Strength (weighted) 0 (0)
Final Score 0
Overall Grade T
Grade cap reasons Grade capped to T. Encryption via STARTTLS is not mandatory (opportunistic).
Grade capped to C. Vulnerable to POODLE
Grade capped to C. Vulnerable to CRIME
Grade capped to C. TLS 1.2 is not offered
Grade capped to B. Vulnerable to BEAST
Grade capped to B. TLS 1.0 offered
Grade capped to B. SSLv3 is offered
Grade capped to B. RC4 ciphers offered
Grade capped to A. Does not support TLS_FALLBACK_SCSV

Done 2020-11-17 20:04:14 [ 77s] -->> 5.135.57.20:587 (he25.mail.ovh.net) <<--
[/code]

Cordialement, janus57

cadeau pour @ Fritz2cat SMTP avec STARTTLS sur 587

bon, hé bien pas de tls 1.2 ? 1.3 ?

J'ai donc lancé : https://tls.imirhil.fr/tls/he25.mail.ovh.net:995 ainsi que idem:465.

beaucoup de critique et de fatal dans cette image, je ne serais pas fier d'héberger ça...
Et l'absence de TLS supérieur à 1.0 on se croirait il y a 10 ans ...

> on se croirait il y a 10 ans ...

c'est ça

x-powered-by: PHP/5.3.3-7+squeeze3

> on se croirait il y a 10 ans ...

c'est ça
> x-powered-by: PHP/5.3.3-7+squeeze3

Bonjour,

perso ce qui est le plus "choquant" c'est la présence de SSL3, ça donne presque envie de lancer un petit SOS à l'ANSSI tellement ça fait peur.

Cordialement, janus57