Installation S/MIME-Zertifikat von S-Trust - Verifizierung

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.3
    * Betriebssystem + Version: WIN 7/64
    * Kontenart (POP / IMAP): IMAP
    * Postfachanbieter (z.B. GMX): Posteo.de
    * S/MIME oder PGP: S/MIME


    Hallo,
    hatte das Gefühl, das in Fortführung des threads "Signierung mail mit PGP bzw. S/MIME" angesprochene Installationsproblem des S/MIME-Zertifikats verdiene einen eigenen thread.


    Edit: Hier der Link zu dem o. g. Thread: Signierung mail mit PGP bzw. S/MIME.  S-Mod. graba


    Bei mir ist Javascript als häufiges Einfallstor für Schadsoftware generell verboten und wird nur fallweise zugelassen, u.a. für diese website.
    Ich nutze das ADD-ON NoScript.
    Im wiki "Mailverschlüsselung_mit_S/MIME" steht, dass für die Übernahme eines Zertifikats in den browser Javascript zugelassen sein muss. Habe es also vor der Übernahme generell zugelassen, also nicht nur für eine spezielle website.
    In NOScript gibt es ein Kontrollkästchen für XSS. Dort blieb das Häkchen allerdings drin.
    Bei der Übernahme des Zertifikats aus dem webmailer (posteo.de) poppte dann die Nachricht hoch, dass ein Zugriff über XSS verhindert wurde.
    Wenn ich mir mein Zertifikat im Firefox ansehe, erscheint die Meldung "Dieses Zertifikat konnte nicht verifiziert werden, da der Aussteller unbekannt ist".
    Mit meinem bescheidenen Wissen hatte ich messerscharf geschlossen, diese ominöse Verfizierung wäre im Wege des XSS erfolgt, wenn sie nicht unterdrückt worden wäre. Kann natürlich Blödsinn sein.


    Witzigerweise erscheint dieselbe Mitteilung bezüglich Verifizierung, wenn ich mir das Aussteller-Zerifikat im Firefox ansehe. Das verstehe ich überhaupt nicht. Wie sieht das bei Euch aus (Zertifikat von Deutscher Sparkassenverlag)?


    Habe versucht, das Vertrauen auszusprechen und "Bearbeiten" angeklickt. Das Häkchen für email sitzt aber bereits, für anderes gilt das Zertifikat ja nicht.


    Angeblich erzeugt das Kryptomodul von Firefox das Schlüsselpaar. Davon habe ich bis jetzt nichts mitgekriegt. Kann ich das überprüfen?


    Gegen die Installation von S/MIME war die Aktivierung von Enigmail im Thunderbird ein Kinderspiel - im Forum klang es aber eher andersherum. Naja, vielleicht wird's ja noch was.


    Ich bin übrigens immer noch auf der Ebene Firefox und nicht etwa im Thunderbird. Das kommt erst, wenn ich die Installation im Firefox kapiert habe.


    Fragen über Fragen, aber das Forum ist ja geduldig.
    Gruß, PGP-Thunder

    Einmal editiert, zuletzt von graba ()

  • Hallo PGP-Thunder,


    also, so richtig habe ich noch nicht verstanden, was du eigentlich machen willst.
    Vermutung:
    Du willst dir bei S-Trust ein persönliches (Kostnix-)Zertifikat für S/MIME erzeugen lassen, und dieses zuerst einmal im Firefox speichern, um die Schlüsseldatei dann später in den Thunderbird zu importieren.
    Habe ich das richtig verstanden?


    MfG Peter


    edit:
    Ich habe gerade gesehen, dass S-Trust keine Kostnix-Zertifikate anbietet, sondern ein IMHO angemessener Betrag dafür fällig ist.
    Ich habe jebenfalls gesehen, dass es da eine sehr gute Anleitung für sämtliche Vorgänge gibt ... .


    edit 2:
    Was heißt hier "eine Anleitung"?
    Es ist in den ausgezeichneten Anleitungen von S-Trust wirklich alles perfekt beschrieben und sogar in kleinen Filmchen dargestellt. Von der Bestellung bei diesem TrustCenter über die Abholung im Broweser, den Export der Schlüsselatei aus dem Browser und deren Import in diverse E-Mailclients. Besser kann man das IMHO wirklich nicht beschreiben.
    Unabhängig davon, beantworte ich natürlich alle deine Fragen.

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    4 Mal editiert, zuletzt von Peter_Lehmann ()

  • Hallo PGP-Thunder,


    Ich nutze das ADD-ON NoScript.


    Dachte ich es mir doch.


    Angeblich erzeugt das Kryptomodul von Firefox das Schlüsselpaar. Davon habe ich bis jetzt nichts mitgekriegt. Kann ich das überprüfen?


    Ja, indem Du sowohl das Herausgeberzertifikat als auch Deines in den TB importierst und dann benutzt,


    ich bin übrigens immer noch auf der Ebene Firefox und nicht etwa im Thunderbird. Das kommt erst, wenn ich die Installation im Firefox kapiert habe.


    Das hättest Du mal in Deinen ersten Faden erwähnen sollen. Da Du dort von "Importieren" geschrieben hast, bin ich natürlich davon ausgegangen, dass Du in den TB importierst. Im Firefox nutzt Dir dieses Zertifikat ja nichts. Er wird nur zur Erzeugung und zum Export des Zertifikats benötigt. Das findet übrigens deshalb auf Deinem Rechner statt, weil sonst der Herausgeber und alle Mitlesenden ja Deinen privaten Schlüssel (Dein Geheimnis) kennen würden.


    Gegen die Installation von S/MIME war die Aktivierung von Enigmail im Thunderbird ein Kinderspiel


    Das kann ich nicht nachvollziehen. Meiner Meinung nach ist das Importieren der Zertifikate wesentlich einfacher als GPG und Enigmail zu installieren, sich die Schlüsselpaare zu erzeugen und diese zu importieren.
    In Deinem Fall standest Du Dir wohl selbst ein wenig im Weg. Zum einen durch das Blockieren durch NoScript und zum anderen, weil Du die Zertifikate ja noch gar nicht in den TB importiert hast.
    Die Anleitungen auf deren Seite sind wirklich gut. Wegen der Ungewissheit bzgl. NoScript wäre mein Rat, mit Hilfe dieser Anleitungen von vorn zu beginnen, ohne NoScrpt. Dann sollte das alles in 15 Minuten erledigt sein.


    Gruß


    Susanne

  • Hallo Susanne,


    wieder mal :-) 100pro Zustimmung.
    Ja, die Frage hinter der Frage war wirklich nicht so leicht zu erkennen.
    Aber mit den wirklich sehr guten Anleitungen von S-Trust (den besten, die mir je vor die Augen kamen!) dürfte das sogar meine Oma schaffen (wenn sie denn noch leben würde).


    Einen Rat gebe ich jedem, der bei einem TrustCenter per Web-GUI ein Zertifikat bestellt: Schalte sämtliches Sicherheits-Geraffel ab!
    Du weißt nie, was bei einem derartigen Prozedere alles ablaufen muss. Es ist wirklich erforderlich, dass dabei bestimmte Scripte heruntergeladen und lokal ausgeführt werden müssen. Mit Hilfe dieser Scripte generiert die Krypto-Engine deines eigenen Browsers das Paar aus dem privaten und dem öffentlichen Schlüssel und aus diesem zusammen mit den Zertifikatsdaten den so genannten Zertifikats-Request. Dieser Request (und nur dieser, der private Schlüssel verlässt deinen Rechner nicht!) wird dann an das TC gesendet.
    Aus diesem Request erzeugt dan das TC das eigentliche Zertifikat. Dabei ergänzt das TC den Request mit eigenen Daten wie das eigene Herausgeberzertifikat, die Gültigkeitsdauer, den Fingerprint und signiert zuletzt alles mit seinem privaten Schlüssel. Damit ist das Zertifikat fertig und "versiegelt", also nicht mehr manipulierbar.
    Im letzten Teil des Prozesses (welcher mitunter auch zeitlich versetzt, also erst nach einer E-Mail, abläuft), wird durch den Browser (unbedingt den gleichen, mit dem du beantragt hast, und ebenfalls ohne "Sicherheitsgeraffel") das Zertifikat vom Server abgeholt und mit dem im Browser gespeicherten privaten Schlüssel zur so genannten Schlüsseldatei zusammengefügt. Damit ist diese im Zertifikatsspeicher deines Browsers gespeichert und der eigentliche Vorgang der Erzeugung des Zertifikates ist abgeschlossen.


    Zum Schluss kannst du diese komplette Schlüsseldatei (also MIT dem privaten Schlüssel) aus dem Browser exportieren. Dabei ist die Anwendung eines guten (Transport-)Passworts sehr empfohlen. Ebenfalls sehr empfohlen ist die sichere Speicherung dieser exportierten Datei (.pfx oder .p12, .pem ist auch möglich, aber wegen der Verwechselungsgefahr nicht empfohlen) auf einem externen Datenträger.


    Aber das steht ja alles auch in den Anleitungen bei S-Trust ... .



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Guten Tag,
    in der Hoffnung weiterzukommen, habe ich den Hilfe-Service (nur per email möglich) von S-Trust befragt.
    Antwort: "Bei Firefox werden leider nicht alle Zwischenzertifikate bei der Abholung des Zertifikates mit importiert". Ich möge die Dateien der Zertifizierungsstellen über einen angegebenen Downloadpfad herunterladen und im Zertifikate-Manager unter "Zertifizierungsstellen" importieren. Dann wäre die Meldung ("Zertifikat... nicht verifizierbar") behoben und das Zertifikat im Speicher sichtbar.
    Unter der Überschrift "Certmgr habe ich auf der "C" den Download gefunden und mir die Dateien, die dort im Ordner "Zertifikate" lagen, angesehen.
    Der Versuch diese einzelnen Zertifikatsdateien in einen eigenen Ordner zu kopieren gelang allerdings nicht. Ich kann zwar eine Datei markieren und den Befehl "Kopieren" anklicken, im Zielordner dann aber nicht "Einfügen" (die Option gibt es gar nicht).
    Eine andere Option ist "Öffnen" und in der geöffneten Datei dann den button "Zertifikat installieren" und "Zertifikatsspeicher automatisch auswählen" (auf dem Zertifikatstyp basierend). Kommt die Meldung: "Importvorgang erfolgreich". Zu sehen ist im Firefox Zertifikatemanager allerdings nichts. Wahrscheinlich wird ganz woanders hin exportiert (Microsoft Management Console).
    Habe dann die übergeordnete Datei ("TRUSTC1CASMAIL_V3 ...p7b) in meinen eigenen Ordner (SMIME) kopiert. Erfolgreich. Die einzelnen Zertifikate stehen da aber nicht drunter, es wird nach Anklicken auf den Unterordner "Zertifikate" unter der Downloaddatei im Laufwerk "C" verwiesen.
    Wenn ich dann im Zertifikate-Manager von Firefox unter "Zertifizierungsstellen" auf "Importieren" klicken" und eine Datei auswählen will, findert er die einzelnen Dateien nicht, weder unter "C" noch die einzelnen Dateien unter dem kopierten TRUSTC1... Jetzt verstehe ich gar nichts mehr.


    Was mache ich falsch? Vielleicht geht es etwas konkreter als der Hinweis, ich würde mir nur selbst im Wege stehen.


    Habe jetzt schon viele Stunden damit zugebracht. Das Maß ist bald voll und ich verzichte ganz darauf. Ob ich den Zertifikatskauf stornieren kann, weiß ich allerdings noch nicht. Schlimmstenfalls muss ich die Kosten eben als Lehrgeld für das unangemessene Wildern in den Regionen von Profis und Nerds abschreiben (Wenn es dem Esel zu wohl ist ...).


    MfG PGP-Thunder

  • Hallo PGP-Thunder,


    vorweg sei nochmals angemerkt, dass Du Dein Zertifikat in den Thunderbird importieren musst. Wie das geht und wie man den TB konfiguriert, zeigt ein kurzes Video von S-Trust:


    https://www.s-trust.de/ablage_…mpfang_signierte-mail.mp4


    Wie oben von Peter ausführlich erklärt benötigst Du zur Erzeugung Deines Zertifikates den Firefox. Von dort aus wird das fertige Zertifikat dann üblicherweise gespeichert und danach in den Thunderbird importiert. Auch dazu hat der Support von S-Trust ein Video bereitgestellt.


    https://www.s-trust.de/ablage_…ng_Zertifikat_FireFOX.mp4


    Im Video wird ein Firefox auf dem Mac benutzt. Der Unterschied ist lediglich der, dass dort der spätere Import direkt per Drag&Drop in AppleMail erfolgt. Beim TB folgst Du stattdessen dem ersten Video.


    "Bei Firefox werden leider nicht alle Zwischenzertifikate bei der Abholung des Zertifikates mit importiert"


    Ich bin mir nicht sicher, was damit gemeint ist. Vielleicht meinen sie den letzten Schritt, bei dem S-Trust das Zertifikat mit den eigenen Daten ergänzt? In deren Video kappt das alles mit dem Firefox aber einwandfrei, wie zu erwarten.
     
    Sei's drum. Wenn Du die fertigen Zertifikate von deren Server heruntergeladen hast, dann kannst Du sie in den TB importieren. Immer vorausgesetzt, dass die Erstellung zuvor einwandfrei funktioniert hat. Nachdem Du NoScript verwendet hast und es dadurch zu einer Fehlermeldung kam, wäre ich mir nicht sicher. Wie oben geschrieben würde ich daher besser von vorn beginnen, ohne NoScript, Webschutz und Co. .


    Die Videos dauern je nur ca. eine Minute, aber sie zeigen jeden Klick. Besser als in diesen Videos und den weiteren Anleitungen von S-Trust kann ich es nicht erklären. Vielleicht hat Peter noch etwas zu ergänzen?


    Gruß


    Susanne

  • Hallo PGP-Thunder,


    ich gehe einfach mal davon aus, dass auch S-Trust, so wie es bei jedem mir bekannten TrustCenter üblich ist, auf seiner Webseite sämtliche seiner Herausgeberzertifikate zum Download anbietet. (Ich will jetzt nicht extra nachsehen und suchen, aber bei der Qualität deren Anleitungen bin ich recht sicher, dass es so ist.)


    Ich empfehle dir jetzt einfach, ohne dass du dich um die Details kümmern musst, sämtliche verfügbaren Herausgeberzertifikate in deinen Downloadordner herunterzuladen. So viele werden es ja nicht sein. => ist in 5 Minuten erledigt.
    (Die meisten Fehler werden nämlich dabei gemacht, dass nicht die richtigen Z. heruntergeladen werden. Das umgehst du damit.)


    Dann lese ich hier was vom "Certmgr". Du meinst doch damit nicht etwa den deiner WinDOSe, also des Betriebssystems? Sollte das so sein, dann wäre das nämlich falsch. Da sowohl der Fx als auch der TB jeweils ihren eigenen Zertifikatsmanager mitbringen (wirklich jeder einen eigenen und völlig unabhängig von dem des Betriebssystems), musst du diese Herausgeberzertifikate natürlich auch in die Zertifikatsmanager (zuerst) des Firefox, und (wenn du dein eigenes Zertifikat hast) des TB importieren.
    Also Einstellungen >> Erweitert >> Zertifikate >> ... >> Zertifizierungsstellen >> Importieren. Die Dateien einzeln im Downloadordner anklicken und los.
    Du kannst bedenkenlos alle importieren. Hast du evtl. eines davon schon drin, wirst du nur daraufhingewiesen. War der Import erfolgreich, wirst du aufgefordert, diesem Zertifikat das Vertrauen auszusprechen. Bei S-Trust hätte ich da auch keinerlei Bedenken. (Genau so wie bei D-Trust oder Telesec)
    Auch das dürfte in 5 Minuten erledigt sein.
    Dann kannst du noch einmal mit der Webseite von S-Trust vergleichen, ob du alle drin hast. Meinetwegen auch noch einmal die Vertrauenseinstellungen kontrollieren. Wenn du da nämlich was vergessen hast, suchst du dich sonst tot.
    Wenn du das alles so gemacht hast, dürfte sich der Erfolg einstellen.


    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo hilfreiches Forum,
    kaum macht man's richtig, schon funktioniert's.
    Habe mir selbst eine signierte und eine verschlüsselte email geschickt - jedesmal erfolgreich.
    Leider fehlt mir adele (macht nur PGP) zum Testen.
    Wäre prima, wenn mir jemand eine SMIME-signierte mail schickte. Ihm/ihr versuche ich dann eine mit SMIME verschlüsselte Antwort zu schicken, die ich zur Kontrolle gern unverschlüsselt zurückhätte.


    Ein paar Anmerkungen hätte ich noch:
    Bei der Übernahme des Zertifikats aus dem GUI hatte ich vorher in der NoScript-Bedienoberfläche Scripte ausnahmsweise generell erlaubt. Leider schloss das aus unerfindlichen Gründen XSS nicht mit ein (hätte separat zugelassen werden müssen). Dass Scripte erlaubt sein müssen, hatte ich im wiki gelesen. In den Hilfe-Unterlagen von S-TRUST steht davon nichts.
    Habe dann NoSCRIPT komplett deaktiviert, um keine weiteren Überraschungen zu erleben und dadurch leider meine komplette Whitelist eingebüßt.


    Mein eigenes Zertifikat konnte im Zertifikate-Manager endlich verifiziert werden; bei allen Ausstellerzertifikaten erschien aber beim Import die Meldung: "Dieses Zertifikat konnte nicht verifiziert werden und wird nicht importiert. Der Aussteller ist möglicherweise unbekannt oder ihm wird nicht vertraut, das Zertifikat könnte abgelaufen oder widerrufen worden sein, oder es wurde möglicherweise nicht akzeptiert".
    Habe mich nicht ins Bockshorn jagen lassen und 2mal pro Zertifikat auf "OK" gedrückt und es dann doch installiert bekommen. Wie soll man das verstehen?
    Vermutlich fehlt das passende Wurzel-Zertifikat von VeriSign. Auf deren website habe ich allerdings keine Möglichkeit gefunden, ein passendes Zertifikat zu übernehmen.
    Bei mindestens einem der S-Trust-Zertifikate stimmte der auf der website angegebene fingerprint nicht mit dem fingerprint im Zertifikat überein.
    Vertrauen bildet das eher nicht. Sei's drum.
    Der Funktionsfähigkeit meines Zertifikats tat es keinen Abbruch.


    Ich bedanke mich für die Geduld mit mir.
    MfG PGP-Thunder

  • Hallo PGP-Thunder,


    Wäre prima, wenn mir jemand eine SMIME-signierte mail schickte. Ihm/ihr versuche ich dann eine mit SMIME verschlüsselte Antwort zu schicken, die ich zur Kontrolle gern unverschlüsselt zurückhätte.


    Schick mir eine [lexicon='PN'][/lexicon] mit Deiner E-Mail-Adresse. Ich sende Dir dann eine entsprechende E-Mail. Aus Gründen der Anonymität werde ich in der Mittagspause ein Test-Zertifikat erstellen, das außer SusiTux keinen Namen enthält. Wundere Dich also nicht, wenn darin viele Felder leer sind.


    Bei mindestens einem der S-Trust-Zertifikate stimmte der auf der website angegebene fingerprint nicht mit dem fingerprint im Zertifikat überein.


    Das solltest Du Dir nochmals anschauen und ggf. an S-Trust melden.


    Gruß


    Susanne

  • Hallo SusiTux,
    danke für Deine Bereitschaft, aber ich habe inzwischen einen Sparringspartner gefunden, mit dem ich bereits erfolgreich wechselseitig signierte und verschlüsselte emails ausgetauscht habe.


    So hat dann doch alles noch ein gutes Ende gefunden.


    Mit freundlichen Grüßen
    PGP-Thunder

  • ... und das sagst Du jetzt, nachdem ich Stunden damit verbracht habe, eine anonyme Zertifikate für diesen Test zu erzeugen.


    Nein, Spaß. Das hat keine 10 Minuten gedauert. Viel Erfolg mit dem nun funktionierenden S-Trust-Zertifikat. Vielleicht bist Du ja ein Multiplikator und findest ein paar weitere Mitstreiter.

  • Hallo,
    S/MIME-Signierung hat im Test wunderbar funktioniert, auch die Verschlüsselung.
    Signierte mails an meine 3 email-Adressen bei verschiedenen Providern zeigen ebenfalls die Signatur.
    Habe jetzt aber mehrmals versucht eine Massenmail (ca. 20 Adressen) signiert zu versenden. Hat nie geklappt.
    Es kommen auch keinerlei Hinweise. Habe es mit und ohne "Blindcopies" versucht, habe mich mehrmals vergewissert, dass das Häkchen sitzt - umsonst.
    Kannitverstan.


    Gruß,
    PGP-Thunder

  • Hi,


    "hat nie geklappt" ist die schlechteste Fehlermeldung, die es gibt.
    Und lässt dein Provider bei deinem Vertrag überhaupt Mails an so viele gleichzeitige Empfänger zu?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    o.k. war wohl etwas ungenau ausgedrückt.
    Die emails wurden zugestellt, aber ohne Signatur.
    Bei einer email mit 3 Adressaten (meine 3 email-Adressen bei verschiedenen Providern) hat jede empfangene email einen Hinweis auf ein Zertifikat.
    Kann es sein, dass 20 Empfänger einer mail nicht gleichzeitig eine Zertifikatsinfo erhalten können? Kann ich kaum glauben.


    Gruß,
    PGP-Thunder

  • Hallo PGP-Thunder,


    Zitat

    o.k. war wohl etwas ungenau ausgedrückt.


    "Etwas" ist gut ;) .


    Also ich habe bei meinen Tausenden von verschlüsselten und noch mehr signierten Mails wirklich noch nie einen derartigen Effekt erlebt. Ich gebe aber auch zu, dass ich keine Mails an 20 Leute gleichzeitig verschicke. Max. an 5 bis 10.


    Hast du im TB > Konto > S/MIME fest eingestellt, dass alle Mails grundsätzlich zu signieren sind? (IMHO eine sehr ungünstige Einstellung, dass wohl die Masse der Mailnutzer damit nichts anfangen können und diese Mail "aus Angst" einfach löschen werden.) Oder aktivierst du bei jeder zu sendenden Mail die beiden Sicherheitseinstellungen manuell? (Das ist IMHO die bessere Lösung - siehe oben - sie hat aber den kleinen Nachteil, dass du - auch ich - mitunter vergisst, dieses zu aktivieren.)
    Bist du also ganz sicher, dass bei allen Empfängern "signieren" aktiviert war?


    Um genau das zu vermeiden, habe ich mir zwei Add-ons installiert:
    1.) "Encrypt if possible": Immer wenn für diesen Empfänger ein Zertifikat vorliegt, wird automatisch verschlüsselt. Klappt perfekt!
    2.) "Security Settings from Address Book": Hier kannst du in einer bestimmten Zeile im Adresseintrag eines jeden Empfängers eintragen ob an diesen automatisch signiert ("sign") und/oder verschlüsselt ("encrypt") werden soll. Ich nutze nur die Option zum signieren, denn => siehe 1.)



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo PGP-Thunder,


    2.) "Security Settings from Address Book": Hier kannst du in einer bestimmten Zeile im Adresseintrag eines jeden Empfängers eintragen ob an diesen automatisch signiert ("sign") und/oder verschlüsselt ("encrypt") werden soll. Ich nutze nur die Option zum signieren, denn => siehe 1.)


    noch ergänzend zu Peter_Lehmann: Diese Erweiterung benötigt die Erweiterung MoreFunctionsForAddressBook


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo,
    Problem ist gelöst.
    Habe die vorgeschlagenen ADD-ONns installiert und probehalber für alle in dem dafür vorgesehenen Adressfeld "sign" eingetragen.
    Der 1. Test mit 25 Teilnehmern ging wieder daneben. Mit 12 Teilnehmern hat es dann funktioniert, aber nicht, weil es so wenige waren.
    Die Anzahl ist nämlich völlig belanglos, wie ich bei der Suche nach dem Limit feststellen konnte.
    Man muss Thunderbird einfach genug Zeit geben bei allen Adressaten den Zertifikatsvermerk zu setzen.
    Man kann unten ganz rechts am Erscheinen eines Briefumschlags mit Siegel erkennen, dass er fertig ist.
    25 Adressaten schafft er bei mir in 4 Minuten und 42 Sekunden. Er braucht also ganz schön lange.
    Klickt man vorher auf "Senden" erhält offensichtlich niemand eine Signatur.


    Ich vermute mal, dass man auch ohne die beiden ADD-ONs, also Signierung durch Anklicken des S/MIME-Reiters, Thunderbird die nötige Zeit geben muss, den Vermerk bei jeder Adresse zu setzen.
    Getestet habe ich das jetzt nicht mehr.
    Ich könnte mir vorstellen, dass fürs Verschlüsseln noch mehr Geduld nötig ist. Testen kann ich das nicht, da niemand meiner email-Partner einen öffentlichen SMIME-Schlüssel besitzt.


    Fazit: Thunderbird signiert auch Massenmails. Man muss ihm nur genügend Zeit geben bevor man sendet.


    Vielen Dank für Eure Hilfe und vielleicht habt ihr diesmal sogar von mir ein bisschen profitiert. So soll es sein.
    PGP-Thunder