Kann keine Mails mehr verschicken: Unbekannte Identität/Dem Zertifikat wird nicht vertraut


  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version:
    • Betriebssystem + Version:
    • Kontenart (POP / IMAP):
    • Postfach-Anbieter (z.B. GMX):
    • Eingesetzte Antiviren-Software:
    • Firewall (Betriebssystem-intern/Externe Software):
    • Router-Modellbezeichnung (bei Sende-Problemen):


    Hier können Sie Ihren Text schreiben:
    Liebe Forumsmitglieder,


    offenbar seit dem kürzlich erfolgten Update auf Thunderbird 52.0.1 (32 Bit, Windows Vista) kann ich Mails zwar noch empfangen, aber nicht mehr senden!

    Oben im Verfassen-Fenster erscheinen hinter meiner eigenen Mailadresse kryptische Zeichen ähnlich arabischen Buchstaben. Nach dem Klicken auf "Senden" erscheint eine Dialogbox "Sicherheits-Ausnahmeregel hinzufügen" mit dieser Fehlermeldung:

    "Hiermit übergehen Sie die Identifikation dieser Website durch Thunderbird.

    Seriöse Banken (...) werden Sie nicht bitten, derartiges zu tun."

    Dann folgt die Adresse des Postausgangsservers.

    Weiter: "Diese Website versucht sich mit ungültigen Informationen zu identifizieren.

    Unkannte Identität

    Dem Zertifikat wird nicht vertraut, weil nicht verifiziert wurde, dass es von einer vertrauenswürdigen Autorität unter Verwendung einer sicheren Signatur herausgegeben wurde."

    Deaktivieren der Addons und Thunderbird-Neustart behebt das Problem nicht! Es tritt beim POP- ebenso wie beim IMAP-Konto auf!

    Ist eine Klick auf "Sicherheits-Ausnahmeregel bestätigen" die Lösung (und unbedenklich)? Oder wie sonst ist das Problem zu lösen?


    Postfach-Anbieter: EWE

    Antiviren-Software: Avira
    Firewall: betriebssystem-intern

    Router: FritzBox 7430


    Schon mal vielen Dank für Eure Hilfe!


    Carsten

  • Hallo Carsten55 und willkommen im Thunderbird-Forum,


    Ist eine Klick auf "Sicherheits-Ausnahmeregel bestätigen" die Lösung (und unbedenklich)?

    ja und jain. Es scheint so als ob TB das Zertifikat nicht anerkennt. Das kann nun am Zertifikat liegen (z.B. weil es abgelaufen ist, was ein Zufall wäre, da es zeitgleich mit dem Update erfolgte) oder an TB. Liegt es "nur" an TB so könntest Du mit der Ausnahme das Problem möglicherweise umgehen. Gilt natürlich auch, wenn es nicht an TB liegt, dann könnte es aber zu einem Sicherheitsproblem führen.


    Ich denke, dass es hier eher an TB liegt (aus irgendeinem Grund scheint der Vogel den Zertifikatsaussteller nicht zu kennen). Leider reicht mein Know-How zu diesem Thema nicht aus, um Dir hier eine abschließende Empfehlung zu geben. Vielleicht meldet sich ja noch ein Spezialist.


    Gruß

    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 64 Bit | Thunderbird 32 Bit | Firefox 64 | Avira Free Security Suite

  • Hallo slengfe,


    erst mal danke für die schnelle Antwort! Ich habe inzwischen nachgesehen: Laut der Warnmeldung gilt das Zertifikat noch bis zum 17. September 2017. Das scheint ja eher dafür zu sprechen, daß es an Thunderbird liegt.

    Welche Gründe kann es für die o. g. kryptische Zeichen geben, die gleich nach dem Klick auf "Verfassen" oder "Antworten" im Verfassen-Fenster erscheinen? Dieselben Zeichen sind auch im Infofenster "Über Mozilla Thunderbird" unter der Versionsnr. zu sehen (wo sonst "Tunderbird ist aktuell" steht).


    Gruß


    Carsten

  • Hallo Carsten,


    woher stammt denn dieses Zertifikat? Wirklich vom Postfachanbieter Ewe oder doch eher vom Virenscanner Avira? Schau mal bitte nach, ob du in Avira den Ein- oder ausgehenden Mailverkehr überwachen lässt und deaktiviere das ggf., es ist eh nur Augenwischerei und Marketing und bringt nicht sonderlich viel.


    MfG

    Drachen

  • Hallo Drachen,


    danke für die Tips. Also, über Quelle u. Verwendung des Zertifikats verrät Thunderbird:


    Das Zertifikat wurde für die folgenden Verwendungen verifiziert:

    SSL-Client-Zertifikat

    Ausgestellt für

    Allgemeiner Name (CN) smtp.ewe.net

    Organisation (O) <kein Teil des Zertifikats>

    Organisationseinheit (OU) Domain Control Validated


    Ausgestellt von

    Allgemeiner Name (CN) PositiveSSL CA 2

    Organisation(O) COMODO CA Limited

    Organisationseinheit (OU) <kein Teil des Zertifikats>


    Die Option E-Mail-Schutz kann ich in meiner Avira-Gratisversion offensichtlich gar nicht anwählen, die entsprechende Schaltfläche ist inaktiv (und die E-Mail-Überwachung damit wohl auch).


    Gruß


    Carsten

  • Hallo,


    mein (durchaus möglicher Weise falsch liegendes) Gefühl sagt mir, dass hier keine Gefahr besteht. Aber das geht auf Dein Risiko und ob Du das eingehen willst, bleibt Deine Entscheidung.

    Dem Zertifikat wird nicht vertraut, weil nicht verifiziert wurde, dass es von einer vertrauenswürdigen Autorität unter Verwendung einer sicheren Signatur herausgegeben wurde.

    Ich denke, das ist der Knackpunkt. TB kann das Zertifikat nicht verifizieren, da es den Ersteller nicht kennt. Und das heißt nicht, dass es nicht vertrauenswürdig ist (aber auch nicht, dass es das ist), sondern eben nur, dass der Ersteller unbekannt ist.


    Du kannst auch mal temporär den Virenscanner komplett deinstallieren und dann testen, damit wir diese Fehlerquelle ausschließen können.

    Welche Gründe kann es für die o. g. kryptische Zeichen geben, die gleich nach dem Klick auf "Verfassen" oder "Antworten" im Verfassen-Fenster erscheinen? Dieselben Zeichen sind auch im Infofenster "Über Mozilla Thunderbird" unter der Versionsnr. zu sehen (wo sonst "Tunderbird ist aktuell" steht).

    Das ist allerdings ungewöhnlich und hat IMHO nichts mit dem Zertifikat zu tun. Hier würde ich eher mal im abgesicherten Modus testen, ob die Zeichen dann auch noch auftauchen. Lege alternativ ein neues Profil an, um das zu überprüfen.


    Gruß

    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 64 Bit | Thunderbird 32 Bit | Firefox 64 | Avira Free Security Suite

  • Hallo slengfe,


    aktueller Stand: Die Probleme bleiben leider auch nach einer Deinstallation von Avira sowie Thunderbird-Neustart im abgesicherten Modus bestehen.


    Mein laienhaftes Gefühl sagt mir, daß die kryptischen Zeichen und die Sache mit dem Zertifikat beide mit dem Thunderbird-Update zu tun haben, auch wenn sie nicht direkt zusammenhängen.


    Eine Anfrage beim Provider läuft; dauert erfahrungsgemäß ...


    Gruß


    Carsten

  • Ich kann bestätigen, dass Thunderbird mit Version 52 irgendetwas an der Verifikation von Zertifikaten gedreht hat. Bei uns wird das bis Version 45 einwandfrei funktionierende Zertifikat unseres Firmenmailservers von Thunderbird 52 auch plötzlich als "nicht verifizierbar" bemäkelt.


    Näheres kann ich noch nicht sagen, unsere Analyse läuft noch. Da die Benutzer arbeiten müssen, wird halt erstmal auf "Ausnahmeregel bestätigen" geklickt. Wir wissen ja, dass es unser eigener Server und unser eigenes Zertifikat ist.


    Blöd nur, dass damit unsere Awareness-Maßnahmen wieder einmal durch (vermutlich gut gemeinte) Entscheidungen des Mozilla-Teams konterkariert werden. Wir versuchen die Benutzer darauf zu trainieren, solche Warnmeldungen ernstzunehmen, und Thunderbird (bzw. Firefox) trainiert sie auf das Gegenteil.

  • Hallo!


    Ich habe hier nur einen Verdacht.

    Seit ca. 10 Jahren wird von der Verwendung des Signaturalgorithmus SHA-1 (und natürlich auch weiteren uralten Algorithmen) abgeraten. Die plausible Begründung ist, dass es Sicherheitsforschern gelungen ist, ohne allzugroßem Aufwand so genannte "Kollisionen" zu erzeugen: zwei Daten, welche den gleichen SHA-1-Hash haben. => Todesstoß: Forscher zerschmettern SHA-1 | heise Security.

    Spätestens jetzt muss also gehandelt werden.


    Ich vermute mal (habe aber jetzt keine Lust, mich durch die entsprechenden Dokumente zu quälen), dass Mozilla nun endlich Nägel mit Köpfen macht, und Zertifikate, welche diesen Hash nutzen, aussperrt. Zeit wäre es ja dazu ... .


    Ihr solltet also mal die Zertifikate darauf untersuchen. (Seriöse Trustcenter nutzen schon lange SHA-256 oder gar SHA-515 zur Signatur der von ihnen herausgegebenen Zertifikate.)



    Wenn das nicht zutrifft, dann zumindest penibel (!!) die Vertrauenskette der betreffenden Zertifikate untersuchen. Das Herausgeberzertifikat muss im Zertifikatsmanager enthalten und als vertrauenswürdiger Herausgeber markiert sein (ebenso evtl. Zwischenzertifikate). Und im betreffenden Nutzer- oder Serverzertifikat muss genau dieses Herausgeber- (oder Zwischen-)Zertifikat, identifiziert mit seinem Hash oder ID eingetragen sein. Die "Kette" darf also nicht unterbrochen sein.


    Eventuell ist auch noch zu prüfen, ob eines der beteiligten Zertifikate mittlerweile auf einer Sperrliste steht oder ein beteiligter OCSP-Responder eine Anfrage mit "unknown" oder gar "bad" beantwortet.

    Eine derartige Sperrung bedeutet, dass ein Zertifikat vor Ablauf seiner Gültigkeit als ungültig erklärt (also gesperrt) wird. Dieses kann man dem Zertifikat selbst nicht ansehen, denn dort steht ja immer noch die einmal vergebene Gültigkeit drin.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo in die Runde,


    ich habe gerade das neu angezeigte Update 52.1.0 installiert, und siehe da: Die kryptischen Zeichen sind noch da, aber die Warnmeldung erscheint nicht mehr, und ich kann von beiden Konten wieder Mails verschicken! Das Problem scheint also insoweit erst einmal behoben.


    Danke Euch allen für Eure freundlichen, kostenlosen und tiefschürfenden Infos und Hinweise!


    ... und dies umso mehr, als die professionellen Helfer(innen) von EWE mir bisher nicht geantwortet haben ... aber möglicherweise gibt es ja im Hintergrund Anstrengungen/Kontakt mit Mozilla, um das Problem zu lösen. Wenn sie mit substantiellen Informationen von sich hören lassen, werde ich sie weiterleiten.


    Viele Grüße


    Carsten

  • Hallo Peter,

    nein, wir nutzen kein Zertifikat mit veraltetem Hashing-Algorithmus und die Vertrauenskette ist auch in Ordnung. Andere Applikationen haben auch kein Problem mit ihm. Thunderbird ist das einzige Programm, das rummeckert.

    Das Problem ist wohl tatsächlich OCSP, und zwar konkret, dass Thunderbird beim Abruf nicht unseren Proxy nutzt, sondern versucht, direkt nach draußen zu gehen. Damit rennt es gegen unsere Firewall und blitzt ab.

    Ist aber nicht unser größtes Problem mit TB52, deshalb läuft die Untersuchung eher auf Sparflamme ...

    Viele Grüße,

    Tilman

  • Hallo,


    habt Ihr denn den Proxy richtig in TB konfiguriert?


    Gruß

    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 64 Bit | Thunderbird 32 Bit | Firefox 64 | Avira Free Security Suite

  • Offensichtlich nicht, sonst würde es ja funktionieren. :-)

    Was "richtig in TB konfiguriert" heißt, sprich: wie wir es konfigurieren müssen, damit es funktioniert - da sind wir noch am forschen.


    Ich wollte ja nur die Info geben, dass sich da mit Release 52 "irgendetwas" geändert hat.

  • Hallo,

    Was "richtig in TB konfiguriert" heißt, sprich: wie wir es konfigurieren müssen, damit es funktioniert - da sind wir noch am forschen.

    da sollte es keine Unterschiede zum Browser geben. Also einfach mal in Firefox oder einen anderen benutzten Browser schauen und die Einstellungen übernehmen. Aber vielleicht blockiert Eure Firewall die Mailports.


    Gruß

    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 64 Bit | Thunderbird 32 Bit | Firefox 64 | Avira Free Security Suite