Ich glaube SSLOptions.Mode müsste sslmClient sein, denn unsere Rolle und damit die des IOHandlers ist die des Clients. SSLOptions.VerifyMode sollte wenigstens sslvrfPeer enthalten, denn wir wollen ja, dass sich unser Gegenüber (der Server) per Zertifikat identifiziert. Dazu dürfte in der Doku allerdings gerne mehr stehen als sinngemäß "das ist eine Aufzählung der möglichen Modi" (ach nee )

Jedenfalls wird mit diesen Einstellungen wenigstens schonmal OnVerify aufgerufen. Das Zertifikat von pop.mail.yahoo.com hat danach den Fingerprint 1AB:9F:FE8:33:3E:08:C5:3E:7B:9C:31:FE:09:4A.

Direkt nach dem Verifizieren raucht allerdings immer noch die libeay32.dll mit einer AV ab.