S/MIME Signatur kann beim Mail.app Empf. nicht verif. werden

  • Hallo liebe Leute,


    habe als langjähriger Thunderbird-User (z.Zt. auf 2.0.0.21) kürzlich damit begonnen, mich mit S/MIME und X.509 Zertifikaten zu beschäftigen.
    Bei Thawte ein Zertifikat beantragt, installiert, automatisches Signieren (aber zunächst nicht Verschlüsseln) der ausgehenden Nachrichten eingestellt. Klappt alles 1A, und die meisten Empfänger können auch die Korrektheit der Signatur feststellen (Webmail bei web.de und gmx.de; andere Thubi-User, usw.).


    Allerdings habe ich einen Freund mit einem @aol.com Email-Account, den er über Apple Mail.app abruft.
    (Habe selbst leider keinen Mac für weitere Tests.)


    Bei ihm sieht es analog zu diesen Bildern aus (Bilder sind von http://joar.com/certificates geborgt):


    [IMG:http://joar.com/certificates/images/SignatureFailure.png]


    [IMG:http://joar.com/certificates/images/DescriptionSheet.png]


    Hat jemand eine Idee, was man tun kann, um das Problem einzugrenzen?

    • An meinem Thunderbird (ausgehende Mails) scheint es nicht zu liegen, zumindest bekomme ich von web.de und gmx.de usw. Empfängern eine positive Bestätigung der Signatur.
    • Ruft von Euch jemand seine AOL Mails mit Thunderbird ab, und kann mir sagen, ob dort signierte Emails normalerweise korrekt ankommen? Wenn mgl. würde ich gerne ausschließen oder bestätigen, ob die AOL Mailserver etwas damit zu tun haben. (Ist es sinnvoll, die Quelltext der angekommenen Mail mit dem der abgesendeten Mail zu vergleichen??)
    • Bei Apple Mail scheint es auf die Groß-/Kleinschreibung der Email-Adresse anzukommen, aber hier sollte in meinem Fall das Problem nicht zu liegen, Zertifikat und meine Absende-Adresse sind identisch...


    Kurzum: Wäre für jeden Tipp, wie ich das Problem weiter eingrenzen kann, sehr dankbar!
    (Falls das zu off-topic hier ist, bitte ich vielmals um Entschuldigung!)


    Herzlichen Dank und viele Grüße,
    Carsten

  • Hi Carsten,


    und willkommen im Forum!
    Ich frage mal sicherheitshalber, ob du meinen Beitrag zu diesem Thema in unseren FAQ gelesen hast? (Das erspart weitere Unklarheiten ...)


    Die Hauptursache bei fehlender Verifizierung ist das Fehlen der so genannten Vertrauenskette. Das bedeutet, dass der empfangende Client das Herausgeberzertifikat der ausstellenden CA importiert und diesem das Vertrauen ausgesprochen hat. Gleiches gilt für evtl. vorhandene Zwischenzertifikate.
    So ergibt sich eine Kette des Vertrauens von Herausgeberzeirtifikat bis zum Zertifikat des Nutzers.


    Sehr viele Herausgeber von qualifizierten oder zumindest fortgeschrittenen Zertifikaten (so genannte etablierte Trustcenter oder CA) sind in den meisten Browsern und Mailprogrammen oder auch Betriebssystemen schon integriert und ersparen dem Nutzer das Aussprechen des Vertrauens in diesen Hersteller. Die gemeinsame Integration von Herausgebern für so genannte "Kostnix-Zertifikate" unter die etablierten Trustcenter ist eigentlich nicht ganz sachgemäß. Begründung: es erfolgt durch diese Herausgeber keine vorschriftsmäßige Personenidentifizierung.
    Manche Softwarehersteller halten sich an die Regeln, und manche eben nicht ... .


    Du solltest also überprüfen, ob die Vertrauenskette vorhanden ist und evtl. das fehlende Herausgeberzertifikat nachinstallieren. (Das ist dann eine korrekte Lösung, denn der Benutzer spricht bewusst diesem Hersteller das Vertrauen aus, auch wenn er weiß, dass evtl. keine richtige Personenidentifizierung stattfindet.)


    Eine weitere Ursache einer fehlerhaften Signaturprüfung kann natürlich auch eine tatsächlich korrumpierte Mail sein. Da reicht schon ein Zugriff durch einen Virenscanner oder ein Mailgateway aus.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Peter,


    besten Dank für Deine schnelle Antwort und tolle Erklärung!


    "Peter_Lehmann" schrieb:

    Ich frage mal sicherheitshalber, ob du meinen Beitrag zu diesem Thema in unseren FAQ gelesen hast? (Das erspart weitere Unklarheiten ...)


    Du meinst http://www.thunderbird-mail.de…l%C3%BCsselung_mit_S/MIME ?
    Klar! :D


    Zitat

    [...] Du solltest also überprüfen, ob die Vertrauenskette vorhanden ist und evtl. das fehlende Herausgeberzertifikat nachinstallieren.


    Ok, danke, mach' ich!


    Zitat

    Eine weitere Ursache einer fehlerhaften Signaturprüfung kann natürlich auch eine tatsächlich korrumpierte Mail sein. Da reicht schon ein Zugriff durch einen Virenscanner oder ein Mailgateway aus.


    Um das festzustellen müsste ein Vergleich der Email-Quelltexte (gesendet vs. empfangen) doch ausreichen, oder?


    Viele Grüße,
    Carsten

  • "CarstenF" schrieb:


    Um das festzustellen müsste ein Vergleich der Email-Quelltexte (gesendet vs. empfangen) doch ausreichen, oder?


    Wenn du einen bitgenauen Vergleich des Contents machst, ja. Einfaches Drüberschauen reicht nicht, da im Hashwert ja auch Leerzeichen und andere "unsichtbare" mitgezählt werden. Die Erzeugung eines Hashwertes ist aber in wenigen Sekunden möglich, und "Hashwertgeneratoren" gibt es doch zu Hauf.


    In der Regel erkennt man im QT schon, wenn zum Bsp. ein übereifriges Mailgateway sich im Mailtext mit einem sinnlossen Spruch verewigt hat (... Mail wurde gescannt, kein Schadcode gefunden ...).


    Aber schau erst mal nach dem Herausgeberzertifikat, bevor wir uns hier sinnlose Gedanken machen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!