Signieren funktioniert nicht

  • Hallo,
    ich habe thawte-Zertifikate (freemail) für zwei unterschiedliche Email-Adressen installiert. Beim Senden von einem Account an den anderen wird die Nachricht als richtig signiert beim Sender angezeigt, allerdings beim Empfänger behauptet, dass die Nachricht verändert worden sei.


    Wo kann der Fehler liegen?

  • Ist es eventuell möglich, dass es sich bei der Empfängeradresse um eine Weiterleitungsadresse oder eine Alias-Adresse handelt?

  • Gutan Abend,
    schönen Dank für die Reaktion.


    - Das "Vertrauen" habe ich ausgesprochen.
    - Ja, eine der Adressen ist eine "zweite" Adresse eines GMX-Accounts.
    Wie wirkt sich das aus?


    mfg
    mans

  • Na ja, du schickst eine Mail an ABC@gmx.de und diese wird vom GMX-Server umgesetzt zu DEF@gmx.de. Was haben wir damit??? Eine Veränderung der E-Mail, da im Header rumgepfuscht wird. Unterm Strich: Die E-Mail wurde verändert! Works as designed!

  • Guten Abend,
    mir war nicht klar, dass Wirkung einer digitalen Signatur sich auch auf den Header und nicht nur auf den Inhalt auswirkt. (Was ist eigentlich mit Zusätzen die auf dem Weg durchs Netz hinzugesetzt werden?)


    Dies heißt denn ja wohl, für solche Zweit-Email-Adressen ist eine digitale Signatur nicht brauchbar.


    Schönen Dank für die Antwort.

  • Guten Tag
    ein Fazit für mich: Auch nachdem ich das Versenden _nur_ über Hauptadressen getestet habe - und zwar ohne Erfolg - bleibt der Versuch, Zertifkate einzusetzen, erfolglos. Schade.

  • "mans" schrieb:

    ...Was ist eigentlich mit Zusätzen die auf dem Weg durchs Netz hinzugesetzt werden?...


    Na ja, das sind erwartete Zusätze. Allerdings bin ich mir noch nicht so sicher, das die Aussagen, die ich weiter oben getroffen habe auf deinen Fall zutreffen. Ich glaube, ich muss mir auch mal so eine Adresse zulegen und mal schauen, wie sich das verhält.


    Aufgeben würde ich allerdings ehrlich gesagt noch nicht! Die Zertifikate werden auf der ganzen Welt mit Erfolg eingesetzt (und sind immerhin standardisiert).

  • Hi mans,


    was verstehst du unter den "Zusätzen, die auf dem Weg durchs Netz..."?
    Wenn du damit die zusätzlichen Headereinträge meinst, dann kann ich dich beruhigen: es wird bei der Mail lediglich der Hashwert des Contents (also des Mailinhaltes) ermittelt und mit dem geheimen Schlüssel des Absenders verschlüsselt (= Signieren).
    Ich kann dir auch versichern, dass dieses Verfahren beim TB problemlos funktioniert. Habe es selbst mit einigen 1000 Mails praktiziert. Und zwar unabhängig, davon, von welchem Mailclient und an welchen Mailclient die Mail ging bzw. kam.


    Es wird also mit Sicherheit an falschen Einstellungen, Vertrauenseinstellungen oder ähnlichen Problemen liegen. Selbstverständlich muss die Mailadresse und weitere im Zertifikat eingetragene Angaben (cn usw.) exakt mit den im TB verwendeten Angaben übereinstimmen. Die Anzeige, dass etwas nicht in Ordnung ist, bedeutet nicht unbedingt, dass die Prüfung des Hashwertes nicht erfolgreich war. Es ist mehr eine Art "Sammelfehlermeldung".


    Kleiner Tipp: Schau dir mal einige meiner vielen Beiträge zum Thema an, vielleicht ist schon eine passende Antwort dabei.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!