S/MIME Zuordnung Zertifikat zu Mailempfänger

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.6.0
    * Betriebssystem + Version: Windows 7 Pro 32 Bit
    * Kontenart (POP / IMAP): IMAP
    * Postfachanbieter (z.B. GMX): Testenvironment (Dovecot/Postfix)
    * S/MIME oder PGP: S/MIME
    * Eingesetzte Antivirensoftware: McAfee Virus Scan Enterprise
    * Firewall (Betriebssystem-intern/Externe Software): Intern


    Hallo, ich benutze Thunderbird als Reference E-Mail Client für eines der Gateways unserer Plattform und wollte jetzt auch die S/MIME Funktionalität von TB für die Tests verwenden. Leider bemängelt Thunderbird die Signaturen bei Mitteilungen, die aus unserer Plattform heraus per SMTP gesendet werden, da wir technik bedingt zurzeit nicht die vom Gateway verwendeten E-Mailadressen innerhalb der Zertifikaten verwenden können. Somit ist es dann auch nicht möglich, verschlüsselte Mitteilungen :wall: zurück zu senden. Ich habe die Zertifikate manuell im Zertifikatsstore von TB abgelegt, habe aber keine Möglichkeit gefunden, eine Verknüpfung zwischen der Empfängeradresse und dem Zertifikat herzustellen. Gibt es da vielleicht ein Hidden Feature? Welche Felder des Zertifikats wertet Thunderbird denn eigentlich aus, den oder eventuell einen der CN oder das E-Mail Feld?

  • Hallo Hans-Peter,


    und willkommen im Forum!

    Welche Felder des Zertifikats wertet Thunderbird denn eigentlich aus, den oder eventuell einen der CN oder das E-Mail Feld?

    Gute Frage ...
    Und du hast mich da voll auf dem falschen Fuß erwischt. Da bei mir jedes Zertifikat den exakt passenden cn und auch das exakt befüllte e-Feld hat, habe ich da noch nie eine Frage gehabt. Ich hatte jetzt auch keine Lust, mal ein Zertifikat mit einer falschen E-Mailadresse zum Testen zu erzeugen ... .
    Getestet habe ich deswegen, bei einem meiner vielen Mailkonten schnell mal den cn zu verbiegen. Also überall einen gefaketen cn reingesetzt. Ergebnis: Da die Mailadresse immer korrekt war, wurde sowohl an diese Adresse korrekt verschlüsselt, und ebenso korrekt ein von dieser Adresse (mit falschem cn) signierte Mail als gültig signiert akzeptiert.
    Ich gehe also nach dem 5-Minuen-Test davon aus, dass die E-Mailadresse zur Auswertung der Signatur und zur Verwendung zur Verschlüsselung genutzt wird.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für die Information. Dann versuche ich mal meinem Account auf unserer Testplattform ein Zertifikat unterzuschieben, bei dem im E-Mail Feld die Adresse hinterlegt ist, die Thunderbird als Absenderadresse einer signierten Mitteilung erwartet bzw. beim Verschlüsseln als Empfängeradresse erlaubt. Hast du bzgl. der manuellen Zuordnung Empfängeradresse zu Zertifikat noch einen Tipp? Es gibt ja ein paar Add-On im Umfeld S/MIME, aber das passende habe ich nicht gefunden.

  • Baust du die Zertifikate selbst (so wie ich das seit vielen Jahren mache)?
    Zumindest für Testzertifikate empfehle ich dir dazu das Programm "XCA". Besser und einfacher geht es nicht.


    Du kannst in einem Zertifikat auch mehrere E-Mailadressen hinterlegen. (AlternativSubjectName). Ich halte allerdings nicht viel davon, da dadurch auch die Mailadressen breit gestreut werden, was ja nicht immer gewünscht ist. Lieber stelle ich für meine vielen Nutzer mehrere Zertifikate aus. Aber es funktioniert auf jeden Fall.
    Um mehr zu sagen, müsste ich genauer wissen, was du da konkret machst.


    Add-ons für S/MIME im Thunderbird, auf welche ich nicht gerne verzichten würde:


    • Encrypt if possible - hast du ein Zertifikat für einen Empfänger installiert, wird automatisch verschlüsselt. Kein Vergessen mehr!
    • Security Settings from Adress Book - du kannst im Adressbuch mit den Schlagworten "sign" und "encr" festlegen, für welche Adressaten verschlüsselt und/oder signiert wird. Ich nutze es nur für die Signaturfunktion (s. 1.), und kann damit auch automatisch an Adressaten signieren, von denen ich kein Zert. habe.
    • S/MIME Security for Multible Identities - Hier kannst du auch deinen eigenen Alias-Absendern ein eigenes Zertifikat verpassen.
    • View Your Certifikates Email Adress - Wenn du so viele eigene Zertifikate auf deinen cn hast, macht es sich gut, auch im Zertifikatsmanager die hinter den Zertifikaten liegende (eigene) Adresse zu sehen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ich habe nun ein Zertifikat eingesetzt, bei dem die korrekte E-Mail Adresse sowohl im CN als auch im E-Mail Parameter des Zertifikats vorhanden ist. TB hat diese Signatur akzeptiert und erlaubt mir auch, verschlüsselte Mitteilungen zurückzusenden. Nichtsdestotrotz würde es mich interessieren, wo bzw. wie TB die Verknüpfung zwischen Zertifikat und Adresse verwaltet und wäre über entsprechende Informationen sehr dankbar.

  • Hallo Hans-Peter,


    hier muss ich aber passen.
    Wie du vlt. weißt, sind wir hier "nur" ganz normale Nutzer des Thunderbird (zugegebenermaßen mit etwas mehr Erfahrung und Wissen ...), die anderen Usern des Thunderbird (mit etwas weniger "Ahnung" von der Materie) helfen wollen. Freiwillig, unbezahlt und in unserer Freizeit.
    Entwickler des TB sind hier nicht vertreten. Und ich bezweifele auch, dass sich von unseren Usern schon jemand vollständig durch die vorhandenen englischen Originaldokumente gequält hat. Und schon gar nicht bei dem für die Masse der User uninteressanten Thema der Kryptologie. Aber falls du Zeit und Lust hast: irgendwo auf den Servern von Mozilla gibt es massenhaft Dokumente ;-)


    Wenn es aber grundlegend um S/MIME und X.509 geht, kannst du dich jederzeit an mich wenden. Ich habe davon "mal was gelesen" ;-)



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für deine Informationen und dass du deine Freiziet für mich geopfert hast. Ich hatte komischerweise deinen Beitrag vom 17.04. 09:30 nicht gesehen und deshalb auch deine Frage nicht beantwortet. Ich erzeuge mir die Zertifikate mittels OpenSSL, da ich diese Bibliothek auch für die verschiedenen Testfälle benötige. Die Add-Ons schaue ich mir bei Gelegenheit mal an und ob ich wirklich versuche, die englische Dokumentation zu durchsuchen, glaube ich eher nicht. Wie gesagt, ich benutze Thunderbird hier nur als Testtool und muss nicht alle Ecken und Kanten dieser SW erforschen.