[Gelöst]Verbindungssicherheit u. Authentifizierungsmethode

  • Thunderbird-Version: alle Versionen
    Betriebssystem + Version: Linux
    Kontenart (POP / IMAP): POP
    Postfachanbieter (z.B. GMX):t-online.de
    Hallo,
    ich habe in Thunderbird einen POP3-Account mit den Einstellungen:

    Code
    1. Verbindungssicherheit: keine
    2. Authentifizierungsmethode: Passwort, ungesichert übertragen


    Wenn ich das auf

    Code
    1. Verbindungssicherheit: STARTTLS bzw. SSL/TLS
    2. Authentifizierungsmethode: Verschlüsseltes Passwort bzw. Passwort, normal


    umändere, funktioniert TB nicht mehr.


    Wenn ich einen neuen Account anlege (POP oder IMAP) wird mir

    Code
    1. Verbindungssicherheit: SSL/TLS
    2. Authentifizierungsmethode: Passwort, normal


    angeboten.
    Warum kann ich meinen existierenden Account nicht umstellen?


    Muß ich mit den existierenden Einstellungen Sicherheitsrisiken befürchten?


    Gruß
    Ch. Hanisch

    2 Mal editiert, zuletzt von Hanisch ()

  • Hallo,
    einfach umstellen geht natürlich nicht. Du musst genau die Einstellungen verwenden, die dein Provider anbietet - oder das Konto mittels Assistenten neu anlegen.
    Bei T-Online ändert sich z.B. der Servername auf securepop.t-online.de.
    Dazu findest du bestimmt nähere Angaben auf der T-0-Seite.

    Zitat

    Muß ich mit den existierenden Einstellungen Sicherheitsrisiken befürchten?


    Man könnte dein Passwort "mitlesen", z.B. wenn du in einem offenen WLAN bist oder sonst jemand es schafft, sich in den Netzwerkverkehr einzuklinken.
    Die Verschlüsselung des Mailverkehrs durch SSL oder STARTTLS ist eher nur "symbolisch", weil sie nur die Teilstrecke bis zu deinem Provider betrifft, der weitere Transport erfolgt dann i.d.R. unverschlüsselt - wobei es da aufgrund der aktuellen Entwicklungen auch gerade Bestrebungen gibt, die gesamte Strecke mit SSL zu verschlüsseln.
    HTH, muzel

  • Hallo Ch.,


    Grundsätzlich kann ein Client nur Funktionen fordern, welche ein Server auch anbietet. Mitunter - aber keinesfalls immer ! - sind auch "untergeordnete" Funktionen möglich. So gestatten mittlerweile fast alle Mailserver eine unverschlüsselte Verbindung, bieten aber TLS/SSL an. Und manche Provider verlangen eine verschlüsselte Verbindung.
    Aber die obere Grenze setzt eben die vom Provider festgelegte von der Sicherheit höherwertige Verbindung.


    Um das maximal mögliche an Verbindungssicherheit einzustellen kannst du zweierlei tun:
    1.) Einfach austesten ... .
    2.) Auf der Webseite des Providers informieren.


    Zitat

    Warum kann ich meinen existierenden Account nicht umstellen?


    Ganz einfach:
    Dein magentafarbener Provider hat auch hier wieder eine seiner Eigenheiten: Er benutzt für die verschlüsselten und für die unverschlüsselten Verbindungen jeweils andere Mailserver! Einmal "securepop.t-online.de" und im anderen Fall heißt der Server (wenn ich mich recht erinnere!) "pop.t-online.de", oder so ähnlich. Auf jeden Fall ohne "secure".
    Eigentlich ist das gar nicht mal so schlecht. So kann es kein "versehentliches" Verstellen nach unten geben. Aber sicherlich war das nicht der Grund dafür, eher die bei unverschlüsselter Verbindung geringere Prozessorlast, oder was auch immer.
    Und wenn du mit Hilfe des Kontoassis ein neues Konto anlegst, dann bietet dieser natürlich immer die bessere (sicherere) Verbindung an.
    Wenn du also die Servernamen (beide!) änderst, kannst du auch bei einem vorhandenen Konto die Verbindungssicherheit ändern.


    Was die Art der Authentisierung anbelangt, gilt prinzipiell das gleiche. Aber im Internet hat sich als "Quasi-Standard" das unverschlüsselte Übertragen des PW durchgesetzt. In Firmennetzen kommen auch die anderen (gesicherten) Methoden zum Einsatz. Ich selbst hatte einen derartigen Fall zwar noch nicht erlebt, aber andere haben hier von derartigen Providern berichtet. "Passwort, normal" ist also "normal".


    Zitat

    Muß ich mit den existierenden Einstellungen Sicherheitsrisiken befürchten?


    Klares "JAin" ... .
    Eine gesicherte Verbindung bietet dir sicherheitsmäßig zwei Vorteile:
    1.) Sie schützt dich vor dem Mitlesen durch "Dritte" (*), und
    2.) sie zeigt dir deutlich an, wenn sich der Unbefugte als "Man in the Middle" in deine Verbindung eingeklinkt hat.
    Aber sie schützt auch nur das letzte Stückchen des Weges der Mail von dir zum Empfänger. Bereits beim SMTP-Server des eigenen Providers liegt sie wieder unverschlüsselt vor (und kann dort an die staatlichen Behörden bequem "ausgeleitet" werden). Und wie die Mail dann zum Provider des Empfängers und dann wieder zum Empfänger selbst geht, kanst du weder wissen noch beeinflussen.
    Du schützt dich also mehr oder weniger nur innerhalb des eigenen LAN oder WLAN (bis zum Übergabepunkt an die Telekom) vor Mitlesern aus dem eigenen Haus oder der eigenen Firma, Uni usw. Wenn deine Daten erst einmal im Erdkabel sind, kann sie ja kaum noch jemand abgreifen. Die Techniker der T. haben für so was keine Zeit und garantiert auch kein Interesse - und (unser) Staat hat es nicht nötig, denn er bekommt die Mails im Bedarfsfall ja (einschließlich aller deiner Passwörter!) vom Provider auf dem Silbertablett geliefert!


    Die gesicherte Verbindung hat aber auch einen Nachteil: Der für Nutzer der WinDOSe lebenswichtige AV-Scanner kann diesen Datenstrom nicht (oder nur unter Anwendung eines üblen Tricks, indem der Scanner selbst "Man in the Middle" spielt) auf Schadsoftware überwachen.


    Du musst also selber einschätzen (solltest du mal eine WinDOSe benutzen), was für dich wichtiger ist. Für Linux-Nutzer ist diese Frage ja wohl geklärt.


    (*)
    Seit den Informationen, welche E. Snowden uns geliefert hat, kann ggw. zum Thema Sicherheit so wie so niemand eine saubere Aussage treffen. Wenn die US-Amerikanischen Behörden die Provider und Trustcenter per geheimem Gerichtsbeschluss zwingen (können und dürfen), ihre Root- und/oder Serverschlüssel herauszugeben, wenn sie Firmen zwingen, in Hardware (Zufallszahlengeneratoren für Verschlüsselung und sogar direkte Hinterausgänge für die unverschlüsselten Daten in bestimmten Routern!) und in Software geheime Hintertürchen einzubauen, lege ich für kein Verfahren und kein Betriebssystem mehr die Hand ins Feuer und bezeichne es als sicher. Bei den Softwareprodukten bekannter amerikanischer Großkonzerne bin ich recht sicher, dass <aus Gründen des Eigenschutzes zensiert>. Und selbst bei so manchem von uns geliebten Open-Source-Programm habe ich leider Zweifel. Mit viel Geld kann man überall Verräter einschleußen.


    Fast vergessen, deshalb als Ergänzung:
    Wenn du eine gesicherte Verbindung hast, dann erfolgt bei der Verbindungsaufnahme zum Server zuerst die Verschlüsselung. Und erst wenn diese steht, werden die Authentisierungsdaten abgefordert und vom Client gesendet. Damit ist dein Passwort also auch (auf Ebene der Verbindung) verschlüsselt.



    MfG Peter (der wieder mal zu lange getippt hat. Sende aber trotzdem ... .)

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"

    Hallo Ch.,


    Wenn du also die Servernamen (beide!) änderst, kannst du auch bei einem vorhandenen Konto die Verbindungssicherheit ändern.


    Was meinst Du mit "beide"?
    Ich habe als Eingangsserver: popmail.t-online.de auf Port 110
    Ausgangsserver: smtpmail.t-online.de auf Port 25


    Gruß
    Ch. Hanisch

  • Ja, eben diese beiden.

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"

    Ja, eben diese beiden.


    Ok.
    T-Online stellt auf sichere Verbindung um. Daher muß in Thunderbird z.B. folgendes geändert werden:


    Posteingangsserver bei POP3 -> securepop.t-online.de
    Verbindungssicherheit: SSL/TLS Port: 995
    Kein Haken bei "Sichere Authentifizierung verwenden" bzw. Authentifizierungsmethode: Passwort, normal


    Postausgangsserver (SMTP) -> securesmtp.t-online.de
    Verbindungssicherheit: STARTTLS Port: 25
    Authentifizierungsmethode: Passwort, normal


    Bei IMAP ist der Posteingangsserver -> secureimap.t-online.de


    Gruß
    Ch. Hanisch

  • Hallo!


    Und noch einmal ganz klar: Niemand verlangt von seinen Kunden, dass sie vom bisher genutzten und gewohnten POP3 auf IMAP umstellen müssen! Es ist als Angebot zu betrachten, dass jetzt jeder das IMHO hochwertigere IMAP nutzen kann.


    Ich schreibe das, weil wir in den letzten Wochen immer wieder gelesen haben, dass so mancher Nutzer die Umstellung auf gesicherte Verbindungen und die Empfehlung zum Umstieg auf IMAP als Pflicht angesehen haben. Nur das erstgenannte ist Pflicht.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Edit: Vollzitat gelöscht! Bitte zum Antworten die Buttons Antworten oder SchnellAntwort verwenden bzw. bei Einsatz des Buttons Zitieren nur das unbedingt Notwendige aufführen! Mod. graba


    Kann ich nur unterstreichen. Ich benutze für mein e-Mail Konto jeweils IMAP und POP3. Mit POP3 hole ich mir die Nachrichten auf meinen Rechner bzw. hole sie auf meinen Hauptrechner mit Löschung auf dem Server ab.


    Gruß
    Ch. Hanisch