Schlägt die Benutzerauthentifizierung gegen Kerio Connect fehl, kann dies abhängig von der Umgebung unterschiedliche Ursachen haben.

Hintergrund: Während die MailStore Benutzer über die Kerio API synchronisiert werden, erfolgt die Authentifizierung der Benutzer über den Kerio IMAP-Server. Versucht sich ein Benutzer an MailStore anzumelden, wird MailStore versuchen, sich mit den übergebenen Zugangsdaten am Kerio-IMAP-Server anzumelden. Ist dieser IMAP-Login-Versuch erfolgreich, kann der Benutzer sich auch an MailStore anmelden.

Problem:  MailStore verbindet sich per IMAP-TLS oder IMAP-SSL zum Kerio IMAP-Server und auf dem Kerio IMAP-Server wird ein nicht vertrauenswürdiges Zertifikat eingesetzt. Der Verbindungsaufbau zum IMAP-Server scheitert bereits und die Zugangsdaten können nicht geprüft werden.

Lösung: Ersetzen Sie das von Kerio verwendete Zertifikat durch ein Vertrauenswürdiges oder aktivieren Sie in den Verzeichnisdienst-Einstellungen unter Authentifizierung die Option Alle Zertifikate akzeptieren.

Problem: Kerio Connect ist mit einem Active Directory synchronisiert und MailStore ist mit Kerio Connect synchronisiert. Die Benutzeranmeldung mit Windows Authentifizierung an MailStore schlägt fehl.

Lösung: MailStores Windows Authentifizierung funktioniert nur, wenn MailStore direkt mit einem Active Directory synchronisiert wird. Sie müssen in diesem Fall die Standard Authentifizierung verwenden. Verwenden Sie den MailStore "Login Name" als Benutzernamen, welcher üblicherweise die E-Mail-Adresse des Benutzers ist.

Problem: Kerio Connect ist mit einem Active Directory synchronisiert und MailStore ist mit Kerio Connect synchronisiert. Die Benutzeranmeldung mit Standard Authentifizierung an MailStore schlägt fehl.

Ursache: Ursache: Wenn sich ein Benutzer an MailStore anmeldet, reicht MailStore dessen Zugangsdaten an den Kerio Connect IMAP-Server weiter. Wenn der IMAP-Server CRAM-MD5 oder DIGEST-MD5 Authentifizierung in seiner Capabilities-Liste angibt, wird MailStore versuchen, diese Methoden anzuwenden. Beide Methoden erfordern, dass Kerio Connect das Passwort im Klartext vorliegt. Wird Kerio Connect mit einem Active Directory synchronisiert, oder die Benutzer in Kerio Connect selbst verwaltet sind, hat Kerio Connect zu keiner Zeit Zugriff auf die Benutzerpasswörter und es können daraus keine Passwörter im Klartext zur Verwendung von CRAM-MD5 oder DIGEST-MD5 abgeleitet werden.

Lösung: Melden Sie sich an Kerio Connects Admin Oberfläche an. Navigieren Sie zu Konfiguration > Sicherheit > Sicherheitsrichtlinien > Aktivierte Authentifizierungsmethoden und deaktivieren Sie die CRAM-MD5 und DIGEST-MD5 Authentifizierungsmethoden. Es muss entweder die Authentifizierungsmethode PLAIN oder LOGIN oder beide aktiviert sein. NTLM wird von MailStore nicht unterstützt, kann aber aktiviert bleiben.

Beachten Sie, dass die Authentifizierungsmethoden PLAIN und LOGIN sämtliche IMAP Clients zwingen, die Passwörter als Klartext zu übertragen. Sie sollten in diesem Fall nur STARTTLS und/oder IMAPS Verbindungen zulassen, die eine zusätzliche Sicherheitsebene hinzufügen.

Artikel-ID: KB20150424-0-DE (English Version)