Sicherheitsfehler / Zertifikat bei TB 2.0.0.9

  • Hallo,


    ich nutze TB mit einem externen Anti-Spam Programm ( spamihilator ). Wenn ich Emails abrufe, dann checkt das Anti-Spam Programm gleichzeitig mit... und greift somit auf 127.0.0.1 ( localhost ) zu.. funktioniert auch, jedoch bringt TB immer die Meldung [IMG:http://feb17.imgshare.us/J4z.jpg]
    Nun ich kann ok drücken dann funktioniert es, wenn ich abbrechen drücke.. bricht es ab .. aber wie kann ich machen, dass ich immer die Antwort ok bei dieser Meldung möchte.. es nervt etwas wenn alle 10 Minuten man ok drücken muss. Hoffe das ich im richtigen Bereich den Thread aufgemacht habe und das ihr mir helfen könnt :D

  • Hi s0r,


    und willkommen im Forum.
    Wer das eine will, muss das andere mögen ... .
    Will damit sagen: Wenn du die Sicherheitsfeatures einer verschlüsselten Verbindung nutzen willst (TLS oder SSL), dann darfst du keinen "Man in the middle" (deinen Antispam-Proxy) einbauen. Thunderbird erkennt eben exakt, dass da "jemand in der Verbindung ist" und warnt dich. Das ist eine sehr exakte, nützliche und zuverlässige Reaktion.


    Lösung: Schalte die Verschlüsselung ab, oder (imho besser) verzichte auf spamihilator.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • mh, blöd... gibst ein anderes programm das auch Anti-Spam ist... aber mit TB besser funktioniert?.. TB erkennt zwar viele aber kommt immer noch extrem viele durch.. bekomm leider sehr viele Spams

  • Hallo,


    ich muss Peter widersprechen, denn technisch gesehen sind 127.0.0.1 und localhost hier das selbe. Allerdings sieht das Zertifikat das natürlich anders, es ist nunmal auf localhost und nicht 127.0.0.1 ausgestellt. Die Fehlermeldung kommt also deswegen, und nicht, weil der Proxy sich in eine verschlüsselte Verbindung einklinkt.
    Als Lösung kannst Du versuchen in den Proxyeinstellungen von Thunderbird 127.0.0.1 mit localhost zu ersetzen.


    Karla

  • "Karla" schrieb:

    Hallo,


    ich muss Peter widersprechen, denn technisch gesehen sind 127.0.0.1 und localhost hier das selbe.


    Hi Karla,


    ich glaube, davon habe ich schon mal was gelesen :-)
    Dann müsste das also bedeuten, dass
    - spamihilator ein eigenes Zertifikat mitbringt (eben das für localhost, von wem auch immer ausgestellt), mit welches es sich gegenüber dem MUA ausweist, und
    - somit der MUA selbst keine Zertifikatsprüfung des Servers mehr durchführt und sich auf die Prüfung (???) durch spamihilator verlässt.


    Ist das so?
    Macht spamihilator wirklich eine Signaturprüfung oder schluckt das Programm jegliche "mitm-Warnungen"?
    Wenn Prüfung, werden die Warnungen an den MUA durchgereicht?


    Nun, man muss eben Prioritäten setzen. Mir persönlich reicht die Qualtät des Junkfilters vom TB. Und ich möchte schon wissen, ob meine Gegenstelle diejenige ist, für die sie sich ausgibt.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    "Peter_Lehmann" schrieb:

    Dann müsste das also bedeuten, dass
    - spamihilator ein eigenes Zertifikat mitbringt (eben das für localhost, von wem auch immer ausgestellt), mit welches es sich gegenüber dem MUA ausweist und


    So sieht es aus. Ich habe auch gerade einen Blickauf die Seite von Spamhilator geworfen, dort heisst es zu SSL/TLS:

    "www.spamhilator.com" schrieb:

    Spamihilator is able to establish secure connections over SSL/TLS (3). The communication between Spamihilator and the mail server will be encrypted, so no one can read your e-mails or spy out your passwords.


    Auch im dazugehörigen Teil der Dokumentation steht nicht viel mehr dazu. Laut einem Forumsbeitrag, der genau die Frage behandelt, die s0r gestellt hat, liefert Spamhilator aber sein eigenes root-Zertifikat mit, um mit dem MUA verschlüsselt zu kommunizieren. Vom Sicherheitsaspekt macht das meiner Meinung nach nicht allzuviel Sinn, es dient wohl eher der "Benutzerfreundlichkeit".


    "Peter_Lehmann" schrieb:

    [...]
    - somit der MUA selbst keine Zertifikatsprüfung des Servers mehr durchführt und sich auf die Prüfung (???) durch spamihilator verlässt.


    Ja, so scheint das auszusehen. Sie nutzen "software developed by the OpenSSL Project for use in the OpenSSL Toolkit.", was ja erstmal ganz gut klingt. Wie aber mit fehlerhaften Zertifikaten umgegangen wird, ob es Fehlermeldungen gibt etc pp, kann ich nicht sagen.


    s0r :
    Mein erster Beitrag oben ist recht sicher nur der erste Teil der Lösung, da Spamhilator sein Zertifikat selbst erstellt hat und du darum gleich mit der nächsten Fehlermeldung konfrontiert wirst. Du hast im Prinzip zwei Möglichkeiten:
    1. Keine verschlüsselte Verbindung zu Spamhilator aufbauen. Ich würde diese Möglichkeit wählen. Es ist nämlich die eindeutig einfachere und es gibt im Prinzip auch keinen Sicherheitsverlust, wenn du auf eine verschlüsselte Verbindung zu einem Programm auf deinem eigenen Rechner verzichtest, dessen Zertifikat vermutlich eh nichts wert ist.
    2. Du importierst das root-Zertifikat von Spamhilator. Wie das genau funktioniert, kannst du im Forum von Spamhilator nachlesen, das würde mir zu sehr vom Thema Thunderbird abkommen.


    Karla

  • "Karla" schrieb:

    Vom Sicherheitsaspekt macht das meiner Meinung nach nicht allzuviel Sinn, es dient wohl eher der "Benutzerfreundlichkeit".


    Vielen Dank, Karla.
    Ist also genau so, wie ich vermutet habe.
    Klar hätte ich auch selbst nachsehen können, aber .... .
    Meine persönlichen Schlussfolgerungen habe ich ja in meinem obigen Beitrag schon genannt.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • hallo,


    danke für die hilfreichen Antworten, ich werde es diese Woche noch ausprobieren und den Erfolg schildern... schaffe es nur heute und morgen nicht, schönen Abend