Erklärung zu Empfängerregeln gesucht

  • Könnte mir jemand bitte mal das "Empfängerregeln" Fenster von Enigmail + Thunderbird erklären?


    Was ich vorhab ist folgendes: Jede ausgehende E-Mail soll grundsätzlich signiert werden, aus html bestehen und im Anhang soll der öffentliche Schlüssel angehangen werden. So kann mich jeder verschlüsselt anschreiben, wenn er mag, oder zumindest verifizieren, dass die E-Mail von mir ist.


    Umgesetzt habe ich:
    - E-Mails werden signiert, html Ausgabe
    - Der öffentliche Schlüssel wird automatisch angehangen (warum eigentlich .asc und asc.sig anstelle von einer Datei in der Form asc.pgp?)
    - Wenn ich die E-Mails wieder bekomme, bekomme ich eine positive Rückmeldung, dass die Signatur in den meisten Fällen korrekt ist. (49 von 50 Versuchen, bei dem einen Versuch sagt die Überprüfung Fehler, wenn ich die asc.sig rechtsclicke bestätigt mir enigmail jedoch, dass die Signatur korrekt ist).


    Allerdings kommt ständig das Fenster "Empfängerregeln" was mich total irritiert. Ich meine die E-Mails gehen doch raus, also bin ich doch der Absender? Warum soll ich dann die Empfängerregeln einstellen, solange wie ich zumindest theoretisch noch keine Schlüssel von meinem Gegenüber habe?
    Es wäre logisch, wenn ich dem Empfänger eine mit seinem eigenen Schlüssel verschlüsselte E-Mail schicken wollte, aber das ist doch bei dem aktuellen Fall gar nicht gegeben? Oder habe ich da etwas falsch verstanden?


    Ich möchte das "Empfängerregeln" Fenster wirklich nur dann sehen, wenn sich das auch lohnt - zum Beispiel wenn ich einen passenden Schlüssel hab und den bei Bedarf oder sogar immer verwenden möchte ist das zwar eine gute Idee, aber muss ich wirklich bei jeder einzelnen E-Mail neu wählen?



    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.5.0 deutsch
    * Betriebssystem + Version: Windows 7 32bit
    * Kontenart (POP / IMAP): IMAP
    * Postfachanbieter (z.B. GMX): freenet, t-online
    * S/MIME oder PGP: PGP

  • Hallo Claudia,


    die Verwirrung entsteht vermutlich dadurch, dass es zwei Stellen gibt, an denen Einstellungen zu Open-PG vorgenommen werden können: Unter den Kontoeinstellungen des TB und unter den Einstellungen von Enigmail.
    Empfängeregeln benötigst Du dann, wenn Du für einen bestimmten Empfänger von den Standardregeln abweichen willst. Details dazu findest Du, wenn Du im zugehörigen Fenster auf den Hilfe-Button klickst.
    So wie ich Dich verstehe, hast Du aber noch keine oder nur wenige E-Mail-Partner, mit denen Du verschlüsselt kommunizierst. Dann kannst Du diesen kompletten Punkt der Empfängerregeln zunächst einmal außer Acht lassen. Die gewünschten Einstellungen nimmst Du nicht unter den Empfängeregeln vor sondern unter Konteneinstellungen -> OpenPG-Sicherheit bzw. unter Enigmail -> Einstellungen -> Senden.


    Stelle zunächst einmal alles so ein, dass Du zwar unterschreibst aber nicht automatisch verschlüsselst. Im Gegensatz zum Verschlüsseln erfolgt das Unterschreiben jeweils mit Deinem privaten Schlüssel.


    Wenn ich die E-Mails wieder bekomme

    Was meinst Du damit? Sind das E-Mails, die Du Dir zum Test selbst gesendet hast oder sind es Antworten von anderen Empfängern?


    wenn ich die asc.sig rechtsclicke bestätigt mir enigmail jedoch, dass die Signatur korrekt ist

    Wenn Du eine Nachricht unterschreibst, dann ist die digtale Signatur Bestandteil der E-Mail - kein Anhang. Für mich klingt das, als wäre die E-Mail, die Du zurückbekommen hast, nicht unterschrieben sondern hätte lediglich Deinen öffentlichen Schlüssel im Anhang.


    Gruß


    Susanne

  • Vielen Dank für die schnelle Antwort.


    Die 50 E-Mails gingen alle von einer zu meiner zweiten E-Mailadresse um zu prüfen wie die verschiedenen Einstellungen sich auswirken. Mir viel zum Beispiel auf, dass beim inline ich einen Fehler hatte von freenet auf t-online. Und da ich die gleichen Einstellungen für rund 10 andere Versuche genommen hatte, hab ich nicht ganz verstanden warum genau dieser eine Versuch nicht funktioniert hat. Hätten da nicht alle daneben gehen müssen?


    Wenn ich von inline auf mime wechsle, dann scheint es keine Probleme zwischen Thunderbird Nutzern zu geben, aber wie ich nachgelesen und erfahren hab, gilt das nicht für jeden Client. Auf meinem Android nehme ich für die Schlüsselverwaltung AGP und K-9 für die E-Mailbearbeitung, jedoch arbeitet die Kombination wieder nur auf inline.
    Es kann natürlich sein, dass die Empfängeregeln deswegen aufploppen, weil ich ja im Besitz meiner beiden Schlüssel bin, auch wenn ich versucht habe die Einstellungen so zu wählen, als ob mein Gegenüber kein PGP kennt.


    Zum Anhang.
    Im Inline Modus habe ich immer 2 Anhänge. Der eine ist mein öffentlicher Schlüssel, der zweite (asc.sig) signiert den Anhang (was in dem Fall mein öffentlicher Schlüssel ist). So kann man mit einem Rechtsklick prüfen, ob am Anhang manipuliert wurde, oder nicht. Ist nur unpraktisch, wenn im Inline der Anhang als nicht verändert bestätigt wird, aber der Text nicht.


    Diesen Fehler zu dieser einen E-Mail kann ich mehr oder weniger unregelmäßig im Inline Modus reproduzieren. Fehlermeldung lautet dann immer "
    Fehler - Überprüfung der Unterschrift fehlgeschlagen; klicken Sie auf "Details" für weitere Informationen" Wobei in den Details dann steht dass der Fehler daher rührt dass er theoretisch den öffentlichen Schlüssel zur Überprüfung nicht haben will. Genau jenen Schlüssel kann ich aber imporieren aus dem Anhang und trotzdem verschwindet die Fehlermeldung nicht - was quitiert wird mit "Falsche Unterschrift von ...". Liegt das an den Empfängerregeln?


    Edit
    genauer gesagt: Kein Fehler, und er gibt den Schlüssel wieder in der Form 0x1234 5678
    Beim Fehler wird darauf "Öffentlicher Schlüssel aaaa bbbb 1234 5678 benötigt". Wobei der Fingerabrdruck am Ende so aussieht: aaaa bbbb 1234 5678.

  • Hallo Claudia,


    Im Inline Modus habe ich immer 2 Anhänge. Der eine ist mein öffentlicher Schlüssel, der zweite (asc.sig) signiert den Anhang (was in dem Fall mein öffentlicher Schlüssel ist).

    Da es sich um eine E-Mail handelt, die Du Dir selbst schickst, d.h. an die Du Deinen öffentlichen Schlüssel anhängst, passt das schon. Bei INLINE werden Anhänge getrennt vom Mailtext betrachtet. Bei PGP/MIME werden die Anhänge Teil der Mail, also auch mit dieser zusammen verschlüsselt/signiert. Sofern Du INLINE gewählt hast, wirst Du vor dem Senden gefragt, wie Du mit den Anhängen verfahren möchtest.


    Auf meinem Android nehme ich für die Schlüsselverwaltung AGP und K-9 für die E-Mailbearbeitung, jedoch arbeitet die Kombination wieder nur auf inline.


    Hier kann ich mangels Android nicht weiterhelfen. Es gibt hier aber andere "Supporter", die Android und TB/Enigmail benutzen.


    Was den Fehler betrifft, habe ich Schwierigkeiten, Deine Beschreibung zu verstehen. Es kann daher gut sein, dass wir aneinander vorbeireden. Ich habe auch den Eindruck, Du stellst an zu vielen Schrauben gleichzeitig. Ich weiß nicht, ob wir das auseinandergebröselt bekommen. Wichtig: Arbeite zunächst ganz ohne Empfängeregeln. Falls Du welche definiert hast, lösche sie zunächst.


    Wenn das nicht hilft, könntest Du auch ganz von vorn beginnen, Schritt für Schritt.


    Also:

    • Gehe in die Einstellungen von Enigmail. Klicke dort auf "zurücksetzen", um die Defaulteinstellungen zu erhalten. Kontrolliere, ob das auch für die Empfängerregeln wirksam ist. Falls dort noch eine Regel hinterlegt ist, dann lösche diese.
    • Beende den TB und starte ihn neu.
    • Richte Engmail für die beiden Konten, mit denen Du testen möchtest, zunächst nur über die Konteneinstellungen -> OpenPGP-Sicherheit ein. Dort setzt Du zunächst nur den Haken bei OpenPGP-Unterstützung aktivieren und wählst in der Checkbox darunter aus, dass der Schlüssel über die E-Mailadresse ausgewählt werden soll. Alle anderen Kästchen wählst Du ab.
    • Gehe in die Einstellungen von Enigmail. Stelle sie wie auf dem Bild dargestellt ein. Weiter verändere bitte nichts, lege vor allem keine Empfängerregel an.




    Dann teste. Auch hierbei: Schritt für Schritt, also


    • Textmail, inline, ohne Anhang, nur unterschrieben
    • Textmail, inline, ohne Anhang, verschlüsselt

    Wiederhole beide Schritte mit einer HTML-Mail, PGP/MIME mit einem Anhang (aber zunächst nicht die Signatur anhängen sondern z.B. ein kleines Textdokument).


    Und noch ein wichtiger Punkt: Falls Du GnuPG 2.1.x verwendest, gehe zurück auf die 2.0.x.:


    Zitat
    • 2.0.27 is the stable version suggested for most users,
    • 2.1.2 is the brand-new modern version with support for ECC and many other new features,
    • and 1.4.19 is the classic portable version.


    Gruß


    Susanne

  • Hallo Susanne.


    Ich glaub auch, dass ich mich zu kompliziert ausdrücke :)


    Der Übeltäter für das ständige Aufploppen der Empfangsregeln war vermutlich der Punkt |Schlüsselauswahl|>Manuell falls Schlüssel fehlen.


    Das Rücksetzen hat mich also schon mal einen wesentlichen Schritt weiter gebracht. Bei dem Screenshot war ich "bequem" anstelle von manuell, wobei deine Wahl schon deutlich einfacher zu verstehen ist. Hab ich direkt umgestellt.


    Was funktioniert:
    -manuell und automatisch signieren,
    -mit und ohne automatischen Anhang signieren
    -verschlüsseln


    Der Fehler ist bislang nicht mehr aufgetreten, aber bei meinem ersten Test war er ja auch nur mit 1/50 zugegen, wobei 10 E-Mail damals genau die gleichen Einstellungen hatten und davon nur eine fehlerhaft war.


    Es kann auch sein, dass es an meiner GPG.exe bzw. dem Beiwerk liegt. Ich hab GnuPG und GPG4Win drauf, wobei die schon seit Ewigkeiten installiert waren. Keine Ahnung was mich da damals geritten hat. Wie kann ich die Version denn manuell ablesen?

  • Hallo Claudia,


    wenn ich Dich richtig verstehe, dann funktioniert jetzt alles?

    Wie kann ich die Version denn manuell ablesen?


    Unter Windows solltest Du die Version sehen können, wenn Du in der Systemsteuerung unter Programme nachschaust. Oder Du öffnest eine Terminal (cmd) und gibst dort gpg --version ein.


    Gruß


    Susanne

  • Ok, ich hab mal das System gesäubert und beides rausgeworfen. Danach Neustart und gpg4win 2.24 light installiert. gpg2.exe kopiert und in gpg.exe umbenannt und siehe da, endlich wieder Ordnung. Laut GNUPG Infoseite sollte ich damit die stabile Version einsetzen.


    Ich hatte auf dem System mehrere gpg versionen, teilweise noch von 2011.


    Vielen Dank für deine Hilfe. :)