Sichere Einstellung Verbindung u. Authentifizierung [erl.]

  • Hallo zusammen,


    ich verwende TB Version 10.0 auf Ubuntu 11.10. Mit TB rufe ich per IMAP e-mails meherer Anbieter ab: googlemail, web.de (Club), t-online.de. TB verwende ich schon längere Zeit und e-mails abrufen und verwalten klappt sehr gut. Nun habe ich jedoch eine Frage zur Sicherheit, wo ich selbst nicht weiterkomme bzw. mich zu wenig auskenne. Habe bereits gegoogelt, die TB-mail Seite nebst Forum durchsucht und auf ubuntuusers nachgelesen und hoffe, dass ich keinen wertvollen Eintrag übersehen habe (ansonsten weist mich bitte darauf hin!). Auf jeden Fall habe ich nichts gefunden, was mich restlos und verständlich aufklärt.
    Meine Fragen drehen sich um Verbindungssicherheit und Authentifizierungsmethode in den Kontoeinstellungen des Posteingangs- und –ausgangsserver.
    Meine Einstellungen bzw. die, die TB standardmäßig beim Einrichten eines Kontos erstellt:


    web.de und t-online.de:
    Posteingang: SSL/TLS, Passwort normal
    Postausgang: STARTTLS, Passwort normal
    Googlemail.com:
    Posteingang: SSL/TLS, Passwort normal
    Postausgang: SSL/TLS, Passwort normal


    So wie ich verstanden habe, sind diese Einstellungsoptionen für den Transport meiner Daten von meinem Rechner zum Mailserver da.
    Nun möchte ich meine Daten natürlich möglichst sicher zum Mailserver samt Passwort übertragen, bzw. von ihm abholen.
    Deshalb quälen mich folgende Fragen:
    SSL/TLS ist denke ich, optimal (verschlüsselter Inhalt). Das ist bei jedem meiner Konten im Eingangsserver eingestellt und funktioniert auch so.
    Wie ist nun aber STARTTLS im Postausgangsserver zu bewerten? Nachdem ich in Wikipedia unter dem Begriff STARTTLS nachgelesen habe, scheint mir diese Verbindungsvariante unsicherer (was ich laienhaft verstehe) als SSL, da sie unverschlüsselt beginnt. Wenn ich jedoch bei diesen Konten im Postausgangsserver manuell auf SSL/TLS stelle, funktioniert der Versand von e-mails nicht mehr. Ist das damit (STARTTSL) wirklich unsicherer? Und hat man denn eine Wahl?


    Nun zum Passwort: hier wäre ich beruhigter, ich könnte die Option „Passwort verschlüsselt“ wählen. Wenn ich dies aber für den Postausgangsserver vornehme, funktionert der Versand nicht mehr. TB gibt hier direkt sogar eine entsprechende Meldung aus -Man solle „Passwort normal“ austesten-.
    Stelle ich im Posteingangsserver auf „Passwort verschlüsselt“ kann ich zwar problemlos abrufen, aber TB hat beim Versand von e-mails Probleme, die mail in den Ordner „Gesendet“ zu kopieren. Andere Einstellungen in der Authehtifizierungsmethode habe ich noch nicht ausprobiert; erscheinen mir aber auch abwegig. Also hier ebenfalls die Frage: Was bedeutet das für die Praxis? Habe ich überhaupt eine Wahl bzw. andere Einstellungsmöglichkeit.


    Zusammengefasst stellt sich mir die Frage: Ist STARTTLS und Passwort unverschlüsselt sicher genug, oder kann hier jemand auf dem Weg vom Rechner zum Mailserver Daten (Inhalt, Passwörter) auslesen oder ähnliches. Gibt es alternative Einstellungen, die funktionieren. Dass man Mails zusätzlich verschlüsseln kann, ist mir bekannt. Damit möchte ich mich dann im Nachgang beschäftigen.


    Könnte mir bitte jemand den Sachverhalt auf einfache Weise näher bringen.


    Vielen lieben Dank, Grüße Flash

    4 Mal editiert, zuletzt von flashdoebi ()

  • Hallo,

    "flashdöbi" schrieb:

    Und hat man denn eine Wahl?


    Kurz und knapp: Nur die, die dein Mail-Provider dir anbietet.

  • Hallo Thomas,


    vielen Dank für Deine Rückmeldung. Also ist meine Vermutung richtig, dass STARTTLS schlechter ist als TLS und verschlüsselte Passwörter wären auch besser. Aber nur die Einstellungen, die TB sowieso schon automatisch für den jeweiligen e-mail Provider vornimmt, passen, und es es gibt auch keine Alternativen.
    Aber welche Sicherheitslücken können nun hier in der Praxis enstehen? Bzw. ist das wirklich relevant. Googlemail.com, web.de usw. verwenden doch sicherlich viele Leute.


    Danke und Grüße
    Flash

  • Liebe Thunderbird User,


    irgendjemand hier wird doch wie ich googlemail, web.de oder t-online als Mail Provider haben. Man kann nur die Einstellungen in puncto Verbindungssicherheit und Authentifizierung wählen, die einem vom Mail Provider angeboten werden.


    Hat sich denn aber noch niemand von Euch Gedanken gemacht bzw. kennt sich vielleicht aus, ob z.B. die Option "Passwort normal" (also unverschlüsselt) evtl. eine unsichere praktische Relevanz haben könnte.
    Ich weiß ja, dass ich daran nichts ändern könnte (da vom Provider vorgegeben), und ich will nicht päpstlicher sein als der Papst, aber ich wäre halt mal an Euren Meinungen bzw. einem Gedankenaustausch interessiert. Dieser Sachverhalt wird doch wohl viele betreffen.


    Danke und Grüße

  • Hallo,


    meine unmaßgebliche Meinung zu


    - StarTTLS und SSL/TLS
    Ersteres gauckelt eine nicht wirklich immer vorhandene Sicherheit vor, die bei Zweiterem gerne dazu führt, dass Virenscanner Probleme bereiten, als Preis dafür, dass der Weg bis zum Server verschlüsselt sein kann/ist. Alles danach ist dann offen...
    Meine NullAchtFünfzehn-Mails betrachte ich wie eine Postkarte, jeder kann Sie lesen. Und eine Postkarte lasse ich nicht mehr Panzerwagen zur Postfiliale bringen ;)


    Und wenn ich Mais mit sensiblen Inhalt habe, dann gehören die anständig verschlüsselt und signiert, dann ist der Schutz tatsächlich und auf dem ganzen Weg vorhanden.


    - Passwort
    da ist es natürlich sinnvoll, eine verschlüsselte Übertragung zu verwenden, allein: der Provider muss mitspielen... :cry:

  • Hallo rum,


    vielen lieben Dank für Deine hilfreiche Rückmeldung und Ausführung!! :P


    Ist Dir ein Provider bekannt, der verschlüsselte Passwörter unterstützt?


    Viele Grüße
    Flash

  • Damit ich schließen kann, hier ein kleines Fazit:


    Man kann leider nur die Einstellungen in puncto Verbindungssicherheit und Authentifizierung wählen, die einem der Provider anbietet.
    Wie rum schon gesagt hat: Falls der Dateninhalt mit SSL/TLS verschlüsselt werden kann, ist das gut, gilt aber nur zwischen Server und Computer.
    Sensiblen e-mail Inhalt am besten verschlüsseln ansonsten den Inhalt analog einer Postkarte betrachten.


    Mir ist kein e-mail Provider bekannt, der Passwortverschlüsselung zwischen Computer und Server anbietet. Nicht einmal united domains z.B. bieten so etwas an. Vermutlich müsste man sich da schon einen eigenen Mailserver zulegen. Wahrscheinlich ist ein unverschlüsseltes Passwort nur dann eine Sicherheitslücke, sobald der Server oder der Computer des Anwenders nicht sauber funktionieren (z.B. Befall durch Schadsoftware).


    Grüße Flash

  • Hallo,
    nur kurz zur Info:
    die SSL/TLS Verschlüsselung ist nur bis zum ersten Server aktiv, danach ist alle unverschlüsselt.
    Das Passwort sollte IMHO dabei bis dorthin geschützt sein.


    Und selbst Mozilla Entwickler empfehlen inzwischen das Scannen von Mails und TB-Profilordner zu deaktivieren, wenn das geht. Wenn das nicht geht, sollte man sich eine andere Sicherheitssoftware suchen.
    Genau das machen viele Kenner dieses Problems - ich übrigens auch.


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Hallo mrb,


    wie willst Du das Passwort bis dahin schützen (ich geh' mal von verschlüsseln aus), wenn es kein Provider unterstützt?


    Das mit dem Deaktivieren des Scannens von Mails durch Sicherheitssoftware musst Du mir bitte mal näher erklären. Verstehe den Zusammenhang nicht ganz.


    Danke und Grüße
    flash

  • Weil Virenscanner auf Dauer mehr Probleme als Nutzen bringen.
    Besonders bei verschlüsselten Verbindungen kann ein Virenscanner diese blockieren, da er diese nicht lesen kann.
    Auf jeden Fall verlangsamt er aber die Datenverbindung, so dass ein Timeout möglich ist.
    Das ist besonderen bei größeren Anhängen der Fall, und der Server kappt die Verbindung.


    Warum das Abscannen von ausgehenden Mail außerdem sinnfrei ist, wird hier erklärt


    http://www.thunderbird-mail.de…opic.php?p=227808#p227808


    und warum der Tb-Profilordner vom Scan ebenfalls ausgenommen werden sollte, steht hier:


    http://www.thunderbird-mail.de…-_Grund_f%C3%BCr_Probleme
    http://www.thunderbird-mail.de…e_-_Datenverlust_droht%21
    http://www.thunderbird-mail.de/wiki/Datenverlust_vorbeugen
    http://sicher-ins-netz.info/wuermer/mailbox.html


    Bei mir kommt keine Sicherheitssoftware in die Nähe von Mails, denn gerade bei diesen kann ich mich gut selbst schützen, vor Allem dadurch, dass ich niemals auf Anhänge klicke, die nicht vom Versender angekündigt sind und keine HTML Mails lese, bis auf wenige Ausnahmen.
    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Hallo mrb,


    vielen Dank für Deine Erklärung und die links. Jetzt bin ich wieder etwas schlauer.


    Grüße
    flash