Erhalte verschlüsselte Nachricht - kann keine senden.

Nachtigaller

Thunderbird-Version: 31.2.0
Betriebssystem + Version: WIN 7 Prof SP1
Kontenart (POP / IMAP): POP3
Postfachanbieter (z.B. GMX): Netcologne
S/MIME oder PGP: S/MIME SSL-Client-Zertifikat StartCom Class 1 Primary Intermediate Client CA

Hallo zusammen,

ich erhalte eine verschlüsselte Nachricht, kann aber keine verschlüsselte Nachricht an Absender senden bzw. antworten. Ich versende grundsätzlich meine Signatur, so auch an den Absender. Hier ein Auszug des Quelltextes. Namen habe ich ersetzt durch XX etc..
1. Ist das überhaupt eine verschlüsselte Nachricht? Mich irritiert der Eintrag X-Encrypt: 0.

In TB wird sie normal angezeigt und ich kann sie lesen.
2. Funktioniert eine einseitige Verschlüsselung?
3. Besteht die Möglichkeit darauf verschlüsselt zu antworten? Gibt es eine Signatur des Absenders? Wie kann ich sie extrahieren?

Code

From - Tue Nov 04 11:34:54 2014
X-Account-Key: account1
X-UIDL: 1115975231.7944
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <prvs=378bb85a7=x.de>
Delivered-To: <xx.de>
Received: from cc-deliver4.netcologne.de
	by cc-deliver4.netcologne.de (Dovecot) with LMTP id JEtgLhiLWFRMBwAA52AAaA
	for <xx.de>; Tue, 04 Nov 2014 09:16:18 +0100
Received: from cc-mx2.netcologne.de (cc-mx2.netcologne.de [89.1.8.142])
	by cc-deliver4.netcologne.de (Postfix) with ESMTP id 80FDC11DA8
	for <xx.de>; Tue,  4 Nov 2014 09:16:18 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
	by cc-mx2.netcologne.de (Postfix) with ESMTP id 72C2D11DB7
	for <xxx.de>; Tue,  4 Nov 2014 09:16:18 +0100 (CET)
Received: from [194.113.247.100] (helo=cc-mx2.netcologne.de)
	by localhost with ESMTP (eXpurgate 4.0.2)
	(envelope-from <prvs=378bb85a7=x.de>)
	id 54588b52-0a90-7f0000012729-7f00000186a2-1
	for <xxx.de>; Tue, 04 Nov 2014 09:16:18 +0100
Received: from fwcl.duesseldorf.de (fwcl.duesseldorf.de [194.113.247.100])
	(using TLSv1 with cipher RC4-SHA (128/128 bits))
	(No client certificate requested)
	by cc-mx2.netcologne.de (Postfix) with ESMTPS
	for <xxx.de>; Tue,  4 Nov 2014 09:16:18 +0100 (CET)
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AvYGAJ2KWFQKZId5/2dsb2JhbABcg2JYAYMFvBOPSIdNHoEaAQEBAQF9hAQofjUCBFsTGogSAx+2OY5PIoYkAQEBAQEFAQEBAQEBARuQIwsRATWDGTaBHgWONpc7kllrgQ+BPAEBAQ
X-IPAS-Result: AvYGAJ2KWFQKZId5/2dsb2JhbABcg2JYAYMFvBOPSIdNHoEaAQEBAQF9hAQofjUCBFsTGogSAx+2OY5PIoYkAQEBAQEFAQEBAQEBARuQIwsRATWDGTaBHgWONpc7kllrgQ+BPAEBAQ
X-IronPort-AV: E=Sophos;i="5.07,312,1413237600"; 
   d="scan'208";a="68575298"
To: "yy" <xxx.de>
MIME-Version: 1.0
Subject: WG: Moulin zz
X-Mailer: Lotus Notes Release 8.5.3FP3 November 16, 2012
From: x.de
Message-ID: <OF037C174A.C093B2C8-ONC1257D86.002D6C70-C1257D86.002D6F39@cc.local>
Date: Tue, 4 Nov 2014 09:16:15 +0100
X-Encrypt: 0
X-Form: Memo
X-FromDomain: DUESSELDORF@HUB@cc.local
X-MIMETrack: Serialize by Router on notessmtp1/smtp(Release 8.5.3FP6HF134 | February 4, 2014) at
 04.11.2014 09:16:17,
	Serialize complete at 04.11.2014 09:16:17
Content-Type: multipart/alternative; boundary="=_alternative 002D6F38C1257D86_="
X-purgate-ID: 153929::1415088978-00000A90-C20E743D/0/0
X-NetCologne-Spam: L
X-purgate: clean




Dies ist eine mehrteilige Nachricht im MIME-Format.
--=_alternative 002D6F38C1257D86_=
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: base64




X19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fDQpHaXNlbGEgU2No
dWx0ZS1Eb3JuYmVyZw0KRGlnaXRhbGVzIEt1bnN0LSB1bmQgS3VsdHVyYXJjaGl2IETDvHNzZWxk
b3JmIChkOmt1bHQpDQpaZW50cmFsZSBEaWVuc3RlICg0MS8xKQ0KS3VsdHVyYW10IGRlciBMYW5k
 ....
... cyBMaWViZSANCkdyZWdvciBtaXQgQ29ybmVsaWENCg0KDQo=
--=_alternative 002D6F38C1257D86_=
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: base64




Es folgt noch ein weiterer Block mit ähnlichem Inhalt. Er endet so:




... PGJyPg0KR3JlZ29yIG1pdCBDb3JuZWxpYTxicj4NCjxicj4NCjwvZm9udD48L3R0Pg0K
--=_alternative 002D6F38C1257D86_=--

Alles anzeigen

Ich habe ansonsten gute Erfahrung mit der Verschlüsselung gemacht. Sie funktioniert einwandfrei.

Bitte um Antwort meiner drei Fragen und einen Hinweis, wie und ob ich verschlüsselt mit dem Absender e-mailen kann. Vielen Dank und Grüße aus Köln.

edit:
Ich habe mir mal erlaubt, deinen Text in Codetags zu setzen, wegen der besseren Lesbarkeit.
Mod. Pe_Le

SusiTux

Hallo Nachtigaller,

Zitat von "Nachtigaller"

1. Ist das überhaupt eine verschlüsselte Nachricht?

Nein. Eine S/MIME verschlüsselte Nachricht erkennst Du im Quelltext an:

Code

Content-Type: application/pkcs7-mime; name="smime.p7m"; smime-type=enveloped-data
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7m"
Content-Description: S/MIME Encrypted Message

Zitat von "Nachtigaller"

2. Funktioniert eine einseitige Verschlüsselung?

Was meinst Du damit?

Zitat von "Nachtigaller"

3. Besteht die Möglichkeit darauf verschlüsselt zu antworten?

Nicht, wenn Du den öffentlichen Schlüssel des Absenders nicht bereits hast. Ich sehe keine Signatur in der E-Mail. Im Quelltext erkennst Du sie an:

Code

Content-Type: multipart/signed; protocol="application/pkcs7-signature"

Außerdem zeigt der TB mit dem Symbol eines Briefes bzw. eines Schlosses an, ob eine E-Mail signiert und/oder verschlüsselt ist.

Zitat von "Nachtigaller"

Ich habe ansonsten gute Erfahrung mit der Verschlüsselung gemacht. Sie funktioniert einwandfrei.

Und dann hast Du die Symbole noch nicht entdeckt?

Gruß

Susanne

Peter_Lehmann

Hallo Nachtigaller,

bei einer Nachricht, von der der Quelltext nur in Bruchstücken zitiert wird, kann man natürlich nichts verbindliches sagen. Auf jeden Fall habe ich nichts gefunden, was (sicher) auf eine Verschlüsselung hinweist. Allerdings auch keinen Klartext ... .
Hier siehst du mal den kleinen Auszug aus dem Quelltext einer garantiert verschlüsselt und signiert übertragenen E-Mail:

Code

...
Content-Type: application/pkcs7-mime; name="smime.p7m"; smime-type=enveloped-data
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7m" <=== DAS ist der kryptierte Container!
Content-Description: S/MIME Encrypted Message <======== und das ist der Hinweis darauf
User-Agent: Djigzo for Android 1.4.5 (GT-I9300, 4.3) <======= und hier hat sich mein Smartphone verewigt
... und was jetzt folgt, ist ein kleiner Teil des Inhalts der smime.p7m:
 uzdLoY4YS1S3oKmFHFhrMh4Fp5k+PtiGp8jVilKN0LvA/HFwztqPQVi/05zghUN/wq7yg/aBY
 fZZkc9WEsVcO8oXIQ7nkb/ysjk03rLfdQw93wpcntiYWVWIVJD/6U7m3x1ibYFq8zWpFOUvSe
 zn6sChcKkzND1ZpkMuQNjmAb4Nd23y/PkuUOz0/fhebP7MHRUbNm7ZBrVKoU+p0NuYMJ6i8T/
 2RyRnGKCojDJNrhE6gRy/qSd4iYMIMUpxNmI2E7MZ68EwP/TZti8isqziea9/OJha1t22gIV/

Alles anzeigen

Du siehst also, dass im Quelltext eindeutige Hinweise mitgesendet werden, natürlich ohne meine Anmerkungen. Und du erkennst den p7m-Container eindeutig als rechteckigen Block von ASCII-Zeichen.
Aber es ist gar nicht nötig, wenn du auf Ansicht >> Nachrichten-Sicherheit gehst, dann wird dir doch ganz klar angezeigt, ob die Nachricht verschlüsselt und signiert ist. Dann zeigt der TB ja auch für Verschlüsselung und Signatur einer erhaltenen E-Mail jeweils ein eigenes Icon an (oder macht das bei mir ein Add-on? k.A.)

zu 1.)
Wenn du eine Nachricht lesen kannst, dann ist sie entweder vom Absender mit deinem (!) öffentlichen Schlüssel verschlüsselt worden - oder überhaupt nicht. Aber, siehe oben!

zu 2.)
Ich vermute mal, dass du mit "einseitiger Verschlüsselung" meinst, dass jemand an einen Adressaten unverschlüsselt und nur signiert senden kann.
Selbstverständlich geht das. Du kannst, wenn dein TB mit entsprechenden Schlüsseln (eigene) und Zertifikaten (der Mailpartner) versehen ist, jede Mail verschlüsseln (Zertifikat des Mailpartners erforderlich) und/oder signieren (eigener Schlüssel erforderlich).
Du kannst aber nicht an jemanden verschlüsselt senden, wenn du dessen Zertifikat nicht hast.

zu 3.)
Du kannst, wenn du den öffentlichen Schlüssel (das Zertifikat) des Mailpartners in deinem Mailclient importiert hast, an diesen Empfänger verschlüsseln. Und nur dann!
Was du aber unbedingt noch benötigst, ist das Herausgeberzertifikat (das TrustCenter, welches eben jenen Schlüssel signiert hat), und diesem muss auch das Vertrauen ausgesprochen sein. Das ist kein Problem, wenn es sich um einen vertrauenswürdigen Herausgeber handelt, der bereits von Mozilla in den Zertifikatsstore des Thunderbird importiert wurde. In diesem Fall wird sogar das Zertifikat des Mailpartners nach dem Lesen seiner Mail schon unter "Personen" importiert sein.
Handelt es sich aber um einen nicht bereits im TB gelisteten Herausgeber, dann musst du dir zuerst dieses Herausgeberzertifikat besorgen, ihm das Vertrauen aussprechen und danach das Zertifikat des Mailpartners installieren.

OK?

MfG Peter

Nachtigaller

Hallo,

vielen Dank Susanne und Peter.

TB zeigt mir keine Symbole bei dieser Nachricht an. Weder das Schloss noch der Briefumschlag erscheinen und unter Nachrichten-Sicherheit wird 'Nachricht wurde nicht digital unterschrieben. - ...nicht verschlüsselt.' angezeigt.

Obwohl keine Hinweise zur Verschlüsselung vorhanden sind und auch im Quelltext keine Hinweise vorhanden sind, gehe ich davon aus, dass mein Mail-Partner mir eine mit meinem öffentlichen Schlüssel verschlüsselte Nachricht senden kann - seltsam aber erst mal O.K..

Der Hinweis auf das Herausgeberzertifikat ist gut. Da es sich um eine Kommune handelt, bin ich mir nicht sicher, ob etwas Spezielles genutzt wird, das nicht im Zertifikatsstore enthalten ist.

Falls im Forum darüber etwas bekannt ist, bitte ich um einen Hinweis. Ich werde versuchen, näheres zu erfahren und das Ergebnis hier einstellen.

Danke, mfG
Pete

Peter_Lehmann

Hallo Pete,

Sobald ich den öffentlichen Schlüssel irgend einer Person erfolgreich in einen Mailclient importiert habe (also egal, ob dieser von einem etablierten TrustCenter herausgegeben wurde oder von einem unbekannten TC und ich dann erst mal das Herausgeberzertifikat importieren musste), kann ich an diese Person eine verschlüsselte (und mit meinem eigenen Schlüssel) signierte Mail schicken.
Dabei spielt es überhaupt keine Rolle, ob der Empfänger nun schon seinen Mailclient zum Entschlüsseln konfiguriert hat oder nicht. Senden kann ich unter der o.g. Voraussetzung immer - schlimmstenfalls kann der Empfänger diese Mail eben nicht lesen. (Was wiederum anregt, endlich den Mailclient entsprechend zu konfigurieren.)

Wenn jemand Verschlüsselungsdienste anbietet, dann gehört es sich so, dass man auf seiner Webseine zum einen ein paar erklärende Worte (Kurzanleitung), aber auch die öffentlichen Schlüssel der Mailpartner und vor allem auch das/die Herausgeberzertifikat/e veröffentlicht. Oder man macht es so wie ich, dass ich einzelnen Personen diese Zertifikate und eine "kleine" bebilderte Anleitung per Mail verschicke.
Dann schickt mir der Mailpartner ebenso sein eigenes Zertifikat und, falls kein etabliertes TC beteiligt ist, auch dessen Herausgeberzertifikat.
Und wenn dann alles (also alle Herausgeber und die Zertifikate aller Mailpartner und natürlich auch meine eigene Schlüsseldatei zum Signieren und Entschlüsseln) im TB installiert ist, können wir gesichert kommunizieren.

MfG Peter

Erhalte verschlüsselte Nachricht - kann keine senden.

Community-Bot 3. September 2024 um 20:20

Thunderbird 138.0.1 veröffentlicht

Thunderbird 128.10.1 ESR veröffentlicht