Automatisch signieren - weiter Identitäten

  • Moin !


    Ich habe unter Thunderbird ein IMAP Konte auf welches ich nutze.


    Sämtliche anderen E-Mail Adressen wie gmx, google, etc. lasse ich auf dieses Konto weiterleiten, daher habe ich auch nur dieses eine Konto im Thunderbird angelegt.


    Um weiterhin z.B. über die GMX Adresse E-Mails verschicken zu können, habe ich diesen SMTP Server als "Weiter Identität" zu meinem einen Konto hinzugefügt.
    Klappt wunderbar.


    Unter S/MIME Settings habe ich auf automatisch signieren gestellt, allerdings wird gilt diese Einstellung nichtr für die weiteren Identitäten.


    Gibt es eine Mögllichkeit auch diese automatisch signieren zu lassen ?

  • Hi Banditbond,


    schön, dass du dich mit S/MIME befasst ... .
    In deinem X.509-Zertifikat ist eine Mailadresse verankert. Du kannst es selbst anschauen, dann siehst du sie.
    Und bei einer elektronischen Signatur wird bestätigt, dass die Mail eben genau von dieser Absenderadresse kommt (Stark vereinfacht gesagt!). Umkehrschluss - bei einer anderen Absenderadresse geht es eben nicht. Du musst also sicherstellen, dass das Zertifikat zur Absenderadresse passt.


    OK?


    MfG "Peter"

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Uiiii.... ich noch nie darauf geachtet, weil ich mit mehreren Identitäten für ein Konto nicht achte... Aber bei genauerer Betrachtung bietet TB bei weiteren Identitäten anscheinend gar ncht an, das man dann mit einem anderen Zertifikat arbeiten möchte. Wäre ja potentiell möglich!

  • Ja klar wäre das möglich. Aber wie weit wollen wir es treiben?
    Fakt ist, das das eine, in den Kontoeinstellungen festgelegte Zertifikat zu der darüber eingetragenen Adresse passen sollte.
    Man könnte ja mal testen ob es funktioniert, ein Zertifikat einzutragen, welches zu einem Alias kompatibel ist. Ist zwar praktisch Nonsens, würde aber unter Umständen (wenn es funktioniert) genau das von mir gesagte bestätigen.


    Viel wichtiger wäre mir in diesem Zusmmenhang die Realisierung meines letzten großen Wunsches an den TB:
    Unter Konten > S/MIME-Sicherheit > Verschlüssselung noch eine dritte Auswahlmöglichkeit. Also nicht nur "Nie" und "Notwendig", sondern zusätzlich noch "Immer, wenn ein Empfängerzertifikat vorhanden ist".
    Begründung dürfte selbsterklärend sein.


    Bei Enigmail gibt es ja so etwas. Ein entsprechender Hinweis an die Entwickler wurde leider abgewürgt. Und in der 2.0 ... ist es auch nicht drin. Schade ... . Leider ist Programmierung nicht meine Baustelle. Aber vielleicht liest jemand mit, der ein Betätigungsfeld sucht. Könnte ja sein.


    MfG "Peter"

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Moin !


    Peter : Das die entsprechenden E-Mail Adressen mit in dem Zertifikat enthalten sein müssen ist mir schon klar. Habe ein Thawte Zertifikat welches meinen Namen und alle meine aktuellen Mail Adressen enthält. Hatte früher für jede Mail Adresse unter Thunderbird ein Konto angelegt und dort jeweils das Zertifikat eingebunden. Da ich jetzt aber nur noch die Identitäten zum senden benutzt, komme ich mit einem Konto hin.
    Wäre alo top wenn Thunderbird für die Identitäten den S/MIME Status verwalten könnte.
    Aber du hast shon recht, dann könnt man sich noch viel mehr überlegen was sinnvoll wäre.


    Von daher erstmal danke für die Antworten, falls jemand noch einen Trick kennt wie es doch geht, bitte melden.


    Gruß, Banditbond


    P.S. Die Einstellung zum auto. verschlüsseln wäre wirklich ein top Feature.

  • Hallo zusammen!


    Ich habe exakt das gleiche Problem.


    Ich nutze diverse Mail-Adressen, die auf ein einziges Konto zusammenlaufen. Dass es bisher keine Option gibt, auch für andere Identitäten Zertifikate anzugeben wurde hier ja schon angesprochen. Das wäre auf jeden Fall ein sinnvolles Feature!


    Daher habe ich mir nun ein Zertifikat angelegt (CAcert), das die relevanten Email-Adressen enthält und das bei meinem Konto im TB eingetragen. Schicke ich eine Mail mit meiner Haupt-Identität klappt auch alles wunderbar, aber sobald ich eine andere verwende (deren Mail-Adresse im Zertifikat enthalten ist!) verhält sich TB so als wäre kein Zertifikat vorhanden und fordert mich auf, eines anzugeben. Selbst wenn ich dann das Zertifikat erneut angebe fängt das ganze Spielchen trotzdem wieder von vorne an.


    Das ist doch so sicher nicht gewollt.... oder irre ich mich?



    Grüße,
    Maethorenon

  • Obwohl ich meine Meinung ja schon genannt habe, will ich noch einmal antworten.


    Ja, schön wäre es ... .
    Aber man muss eben Prioritäten setzen.
    Vielleicht solltet ihr euch auch von der GnuPG-Mentalität trennen.
    Wenn wir S/MIME mal von der professionellen Seite her betrachten (wo es ja eigentlich auch herkommt), dann hat dort jeder Nutzer _ein_ Zertifikat (meist auf Chipkarte). Und da steht das Problem eben nicht. (Prioritäten ...) Und ein richtiges Zertifikat (schon das fortgeschrittene, vom qualifizierten ganz zu schweigen) kostet auch richtig Geld, so dass dort dieses "Problem" echt gegen Null geht.
    Ich will aber nicht den Eindruck erwecken, dass ich das von euch erwähnte Problem nicht anerkenne. Auch ich habe (privat) mehrere Mailadressen und selbstverständlich auch mehrere Zertifikate ... .


    MfG "Peter"

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ja das habe ich ja auch zur Kenntnis genommen. :wink:


    Aber darum ging es ja eigentlich in meinem Beitrag nicht!


    Ich habe jetzt nur EIN Zertifikat vorliegen und dieses in den S/MIME Einstellungen des Kontos eingetragen. Dieses Zertifikat enthält insgesamt 3 Email-Adressen. Wenn ich nun eine andere Identität für dieses Konto verwende (NICHT die Haupt-Identität, da bei dieser alles normal klappt), dann akzeptiert TB das Zertifikat nicht bzw. verlangt vom Benutzer die Angabe eines Zertifikates, obwohl es für die ausgewählte Adresse/Identität gültig ist. Mehr als mein eines Zertifikat angeben kann ich nicht! :wink:

  • Der anzuzeigende Name ist bei allen Konten identisch mit dem im Zertifikat eingetragenen cn?
    Und die Mailadressen stehen alle hintereinander im Feld E? Womit getrennt? Mehrere Felder E oder alles in einem?


    Es ist eigentlich ein unüblicher Vorgang, bei der Zertifikatserstellung mehrere Adressen zu schreiben. Was nicht bedeuten soll, dass es die Anbieter kostenloser Zertifikate nicht tun. Muss mal in der x.509-Spezifikation nachsehen, ob es zulässig ist, und wenn ja, wie der Eintrag zu erfolgen hat.


    Was ich nicht weiß ist, wie der TB das Feld E ausliest. Ich glaube auch nicht, dass dir das hier jemand sagen kann. Da solltest du vielleicht mal bei Mozilla nachfragen.

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"

    Der anzuzeigende Name ist bei allen Konten identisch mit dem im Zertifikat eingetragenen cn?


    Ja.


    Zitat von "Peter_Lehmann"

    Und die Mailadressen stehen alle hintereinander im Feld E? Womit getrennt? Mehrere Felder E oder alles in einem?


    Das Zertifikat enthält für jede der 3 Mail-Adressen ein eigenes E-Feld.


    Zitat von "Peter_Lehmann"

    Was ich nicht weiß ist, wie der TB das Feld E ausliest. Ich glaube auch nicht, dass dir das hier jemand sagen kann. Da solltest du vielleicht mal bei Mozilla nachfragen.


    Das werde ich mal tun!


    Danke!

  • Ich habe gerade einen sehr interessanten Thread im Thunderbird Web Forum (MozillaZine) gefunden, der ebenfalls dieses Problem diskutiert:


    http://forums.mozillazine.org/…?t=455694&highlight=smime



    Das Problem der Nutzung der X.509 Zertifikate im TB liegt anscheinend darin, dass für weitere Identitäten eines Kontos über das grafische Interface kein spezifisches Zertifikat eingestellt werden kann. Es wird lediglich die Haupt-Identität geprüft und unterstützt für die Nutzung von S/MIME.


    Dies lässt sich mit dem dort beschriebenen Verfahren umgehen, indem man die TB-config manuell editiert und so für die weiteren Identitäten des Kontos die entsprechenden Zertifikate einträgt.


    Ich habe weiterhin versucht herauszufinden, ob mehrere Email-Adressen innerhalb eines Zertifikates durch die X.509-Spezifikation zulässig sind, aber leider bisher ohne Erfolg....
    Sollte dies nicht der Fall sein, erstelle ich lieber wieder ein eigenes Zertifikat pro Mail-Adresse.

  • Zitat von "Maethorenon"

    ...Ich habe weiterhin versucht herauszufinden, ob mehrere Email-Adressen innerhalb eines Zertifikates durch die X.509-Spezifikation zulässig sind, aber leider bisher ohne Erfolg....


    Ich denke, das sich die Allgemeinheit sehr freut, wenn 'Peter Lehmann' dazu noch einen kurzen Satz verliert *zwinker*


    Bei meinem privaten Kostnix-Zertifikat von Thawte habe ich keine Möglichkeit gefunden (was aber nix heißen soll).

  • Moin !


    Habe das ganze mal mit meinem Thawte Cert. getestet, funktioniert einwandfrei !


    Einfach die angegebenen Werte hinzufügen und es läuft.

  • Sollte ich in den nächsten Tagen keinerlei Probleme feststellen, und die Funktion in der TB 2.0 Beta1 auch fehlen könnte ich evtl. eine kleine Erweiterung basteln die das fehlendes Menü einfügt.
    Mal schauen wieviel Zeit zwischen Weihnachten und Neujahr frei ist.

  • Hallo in die Runde,


    um noch mal zum Ausgangsproblem zurückzukehren ("Weitere Identitäten" lassen sich nicht mit Zertifikaten hinterlegen), meine Problemlösung: Für die jeweiligen Emailadressen eigene Konten erstellen, Posteingangsserver jeweils leer lassen, Posteingang auf globalen Eingang, Zertifikate zuweisen.


    Micha :-D

  • Hi m2h,


    und willkommen im Forum ;-)
    Auch wenn ich lieber jede Adresse mit einem Zertifikat ausrüste, werde ich mal deine Methode testen.


    Viele Grüße @MMMO
    Peter ;-)


    (Wie war das mit dem Apfel und dem Stamm - oder wars doch ein Esel ...?)

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!