Verbindungssicherheit STARTTLS funktioniert seit TB 38.1.0 nicht mehr

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 38.1.0
    * Betriebssystem + Version: Windows 8.1 pro
    * Kontenart (POP / IMAP): POP / IMAP
    * Postfachanbieter (z.B. GMX): eigene Mailserver (Linux/Postfix/Courier/MySQL)
    * Eingesetzte Antivirensoftware: lokal Windows Defender abgeschaltet
    * Firewall (Betriebssystem-intern/Externe Software): Windows 8.1 abgeschaltet



    Hallo,
    seit TB 38.1.0 funktioniert die Verbindungssicherheit STARTTLS nicht mehr. Es kann keine Anmeldung mehr durchgeführt werden, sie ist unvollständig.


    Auszug aus Maillog
    Jul 17 17:43:33 tb imapd: Connection, ip=[::ffff:meine_ip]


    Normal käme dann hier noch folgender Eintrag, aber dieser Eintrag fehlt! Da kommt dann nichts mehr
    Jul 17 17:43:33 tb imapd: LOGIN, user=thomasbarth@meine_domain, ip=[::ffff:meine_ip], port=[50159], protocol=IMAP


    Unter Ubuntu mit TB 31.7.0 und unter Windows mit der Vorgängerversion 38.0.1 funktioniert noch alles problemlos. Ich habe TB 38.0.1 wieder installiert und die automatische Update-Funktion deaktiviert.


    Thunderbird 38.1.0 hingegen zeigt dann z.B. unten in der Statuszeile "Funktionsumfang des Mailservers abrufen...", was nicht gelingt. Beim Einrichten eines Kontos wird angezeigt, dass der Benutzername oder das Paßwort falsch sind, was auch verständlich ist, wenn der Server gar keine Abfrage erhält.


    Das Mailserver Zertifikat wurde selbst erstellt und bisher immer als Ausnahmeregel bestätigt. Dieses Fenster erscheint mit 38.1.0 auch nicht mehr. Kann es sein, dass TB 38.1.0 mit selbst ausgestellten Zertifikaten nicht mehr zurecht kommt?


    An wen müsste ich wenden, wenn ich sicherstellen möchte, dass die Entwickler dieses Problem erfahren?


    Thomas Barth

  • Wenn das Problem wirklich durch die schwache Cypher verursacht wird, dann ist das kein Fehler. Die Entwickler haben das wegen der Sicherheit (Logjam) absichtlich so eingebaut. Zumindest ist das im Firefox so. Du musst also Deine Verschlüsselung anpassen. Dazu muss dir allerdings jemand anderes genaures sagen.

  • Hallo,


    das sehe ich nicht ganz so.
    Ich lese "Postfachanbieter (z.B. GMX): eigene Mailserver (Linux/Postfix/Courier/MySQL)". Gerade bei diesen "Homemade-Servern" ist die Wahrscheinlichkeit recht groß, dass in der Verschlüsselung immer noch Algorithmen zur Anwendung kommen, welche aus gutem Grund von aktuellen Browsern und Mailclients nicht mehr unterstützt werden.


    Deshalb wäre meine Antwort an Thomas:


    1.) Überprüfe entweder anhand der Konfigurationsdateien deines eigenen Mailservers, welche Kryptoeinstellungen dieser unterstützt und ob die nicht mehr zulässigen auch deaktiviert sind.
    2.) Wenn dein Server kryptomäßig auf dem Stand der Technik ist - und nur dann! - wende dich an Bugzilla.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hiviellleicht ist das Problem ein anderes. Wenn ich ein neues Konto unter TB 38.1.0 einrichten möchte, werden ja die Servereinstellungen ermittelt, die man manuell bearbeiten kann. Und während ich Änderungen vornehme, steht in der Statuszeile von TB die ganze Zeit: Überprüfe den Funktionsumfang des Mail-Servers... Da passiert aber nichts, normalerweisewurden diese Informationen immer blitzschnell ermittelt. Und solange TB diese Informationen nicht bekommt, ist die weitereEinrichtung blockiert, da Benutzername und Paßwort immer als falsch angegeben werden. Einen Timeout bei der Abfragedes Funktionsumfanges gibt es nicht. Ein Update des Mailserver wurde heute noch vollständig durchgeführt (Debian/Jessie) und neu gestartet.

  • Also, sobald ich von 38.0.1 auf 38.1.0 aktualisiere, lässt sich der Funktionsumfang des Mail-Servers nicht mehr abfragen.


    Hier einmal ein Test mit telnet unter Einbeziehung von openssl:


  • Nach meinem Dafürhalten passt das alles zusammen. In den bugs steht die vermutliche Lösung. Du brauchst ein Zertifikat, das der Thunderbird anerkennt und eine Version vom openssl, die nicht mehr von dem logjam-bug betroffen ist.


    Thunderbird hat ja einen größeren Sprung gemacht als der Firefox. Im Firefox hat es in der letzten Zeit eine ganze Reihe von Änderungen wegen der Sicherheit gegeben. Die sind jetzt wohl alle auch im Thunderbird gelandet. Oben in Zeile 25 steht
    No client certificate CA names sent. Kann sein, dass das nicht mehr durchgeht.

  • Hallo Bagalut,
    das Zertifikat wird eigentlich von TB angenommen. Ich hatte es heute morgen einmal neu erstellt und konnte es im eingeblendeten Fenster, mit dem Hinweis, dass das Zertifikat nicht vertrauenswürdig eingestuft wird, als Ausnahmeregel hinzufügen.


    Entsprechend folgender Anleitung konnte ich meinen Mailserver schon einmal gegen logjam absichern.
    https://www.howtoforge.com/tut…gainst-the-logjam-attack/


    # openssl dhparam -out dhparams.pem 2048
    in /etc/postfix/main.cf
    smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
    smtpd_tls_dh1024_param_file = /etc/postfix/dhparams.pem


    OpenSSL ist eigentlich recht aktuell
    root@mydomain /etc/postfix # openssl version
    OpenSSL 1.0.1k 8 Jan 2015


    Keine Ahnung, wann OpenSSL 1.0.2 in stable gelangt, dafür gibt es noch zuviele Bugs
    https://packages.qa.debian.org/o/openssl.html


    Problem bleibt, dass der Funktionsumfang des Mailservers nicht ermittelt werden kann.

  • Tut mir leid. Mehr als in den bugs steht, kann ich nicht beitragen. Was genau in deinem Fall passt, weiß ich nicht. So wie ich es verstehe, sagen die Entwickler das Problem müsse außerhalb des Thunderbird gelöst werden. Vielleicht schilderst du dein Problem dort?

  • Ich habe in https://bugzilla.mozilla.org/show_bug.cgi?id=1183650 geschrieben, dass ich ebenfalls betroffen bin. Dieser "John Du" in dem Bug-Thread schrieb, dass er das Problem lösen konnte, indem er neuere openssl Bibliotheken installiert hatte (openssl-0.9.8e-36 -> openssl-1.0.1e-30). Bei meinem Mailserver ist aber bereits openssl-1.0.1k-3 installiert! Daran kann es dann auch nicht liegen.


    Wie erhält man in Thunderbird die Informationen, die der "tilt 2015-07-16 04:21:41 PDT" im 4 Kommentar kopiert hat.


    try to log in IMAP auth: server caps 0x4c3325, pref 0x1006, failed 0x0, avail caps 0x1004 (GSSAPI = 0x1000000, CRAM = 0x20000, NTLM = 0x100000, MSN = 0x200000, PLAIN = 0x1000, LOGIN = 0x2, old-style IMAP login = 0x4, auth external IMAP login = 0x20000000, OAUTH2 = 0x800000000) trying auth method 0x1000 got new password IMAP: trying auth method 0x1000 PLAIN auth[...]


    Gibt es dafür eine Konsole? Seine Ausgabe zeigt nämlich, was TB 38.1.0 beim Login anders macht als TB 38.0.1. Und das sieht wirklich nach einem TB Bug aus, das die Entwickler beseitigen müssen.



    Edit: Das Verbindungsprotokoll habe ich nun in TB 38.0.1 und 38.1.0 geloggt und als Anhänge dem Bug-Thread beigefügt.

  • Das Verbindungsprotokoll habe ich nun in TB 38.0.1 und 38.1.0 geloggt und als Anhänge dem Bug-Thread beigefügt.

    Ist das Protokoll vom Server? Der Thunderbird kann ebenfalls loggen. Ich weiß nicht aus dem Kopf, wie man einschaltet. Das kann hier bestimmt jemand sagen.


    Viel Glück! Ich glaube, du bist mit dem Bug an der richtigen Stelle gelandet.

  • Das Protokoll wurde von Thunderbird erzeugt. Dafür kann ein Batch-Datei anlegen, die man in der Windows-Console aufruft.


    Inhalt der Batch-Datei:
    set NSPR_LOG_MODULES=imap:5,smtp:5
    set NSPR_LOG_FILE=%USERPROFILE%\Desktop\tbconnection.log
    "%ProgramFiles(x86)%\Mozilla Thunderbird\thunderbird.exe"


    Quelle: https://wiki.mozilla.org/MailNews:Logging

  • Ich habe die neueste Version von Thunderbird. Mein Anbieter ist MNET in Bayern. Der Anbieter stellt die Verbindungssicherheit um auf STARTTSL und die Authentifizierungsmethode auf normale Passwort. Ich kann dann meine Mails nicht mehr abrufen. Das senden funktioniert. Die Ports: pop 110 SMTP 465 , so sind die Vorgaben vom Anbieter wer kann mir helfen. Im Freundeskreis gibt es keinen dewr Bescheid weiß, Der Anbieter kann mir auch keine Hilfe geben. Wenn ich hier keine Hilfe finde, muss ich das Mailprogramm wechseln 8|



    edit:
    Bitte diesem Beitrag nicht weiter folgen, es wurde durch den User ein eigener Thread begonnen.
    Mod. Pe_Le


    Edit: Und hier der Link zu dem neuen Thread: Verbindungssicherheit STARTTSL bei Anbieter MNETgraba, S-Mod.

    2 Mal editiert, zuletzt von graba ()