Warnmeldungen zu Zertifikaten von GMX und web.de

Am 24.09.2018, werden in der Zeit zwischen 21:00 Uhr und 09:00 Uhr des folgenden Tages Wartungsarbeiten am Server durchgeführt. Daher wird die Webseite in dieser Zeit nur eingeschränkt erreichbar sein.
  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    • Thunderbird-Version: 52.5.0
    • Betriebssystem + Version: Windows 10 Home 1709
    • Kontenart (POP / IMAP): IMAP
    • Postfach-Anbieter (z.B. GMX): GMX + web.de
    • Eingesetzte Antiviren-Software: G-Data
    • Firewall (Betriebssystem-intern/Externe Software): G-Data
    • Router-Modellbezeichnung (bei Sende-Problemen):


    Hallo,


    während einer TB-Neuinstallation auf neuinstalliertem Windows bekomme ich folgende zwei Warnmeldungen zu GMX- und web.de-Zertifikaten, die mir von früheren TB-Installationen her unbekannt sind (jedenfalls kann ich mich nicht daran erinnern):


     


    Sind das Warnmeldungen von Thunderbird oder von meinem Antivirenprogramm G-Data? Wie ist das Ganze zu verstehen? GMX und web.de sind doch altbekannte Mailanbieter – warum wird deren Zertifikaten misstraut? Und was soll ich an dieser Stelle tun? Herunterladen oder bestätigen? Finde ich insgesamt verwirrend ...


    Who can help?


    Viele Grüße


    pixxma

  • Hi,


    die Zertifikate sind von G-Data ausgestellt. Ich kapiere das nicht: G-Data stellt ein Zertifikat für GMX aus, damit Thunderbird dem GMX-Server vertrauen kann??? Oder wie ist das richtig zu verstehen?


    Beste Grüße


    pixxma

  • Hallo,

    deaktiviere in GData die Mailüberwachung bzw. Überwachung SSL-geschützter Mailverbindungen, wie immer das dort konkret bezeichtnet wird.


    Technisch versucht der Virenscanner deine abgesicherte Verbindung zwischen Mailclient und Mailserver zu knacken und sich dazwischen zu hängen. Dazu will er dem Mailclient sein eigenes Zertifikat unterschieben und sich damit als sicheren Mailserver bzw. "Kommunikations-Gegenstelle" auszugeben. Thunderbird erkennt, dass das Zertifikat nicht zum Mailserver passt und deswegen die Meldungen.

    Genaueres findest du, wenn du nach der Angriffsform "man-in-the-middle" suchst, denn nichts Anderes als ein Angriff auf die zwischen Mailclient und Mailserver durch Verschlüsselung abgesicherte Verbindung ist es.


    MfG

    Drachen

  • Hi,


    die Mailüberwachung deaktivieren ... ? Öhm ... verzeih' mir bitte, dass ich da etwas skeptisch bin ... Ich will die Mails ja überwachen lassen - u.a. dafür bezahlt man ja so ein Programm wie G-Data.


    Mittlerweile ist es so, dass ich durch mehrfaches Klicken auf "Sicherheits-Ausnahmeregel bestätigen" beide Konten auch einrichten konnte. Komisch, dass das dann so einfach geht.


    Aber, Drachen, wenn ich Dich richtig interpretiere, dient diese wahrlich missverständliche Konstruktion dazu, dass G-Data die Mails abscannen darf - was ja in meinem Sinne wäre.


    Und die beiden Warnmeldungen als solche scheinen dann ja wohl von TB zu kommen und nicht von G-Data (das war ja nicht zu identifizieren).


    Generell müsste dieses Problem innerhalb der TB-Gemeinde dann doch auch tausendfach auftreten ... ??


    Viele Grüße


    pixxma

  • Hallo nochmal


    deine Skepsis verstehe ich, angebracht ist sie m.E. nicht.


    Warum genau willst du denn Mails überwachen lassen? Die Frage ist ernst gemeint, denn eine Mail an sich ist erstmal ungefährlich.


    Möglicherweise kann eine HTML-Mail durch enthaltene Skripts gefährlich sein - indem man die Darstellung auf Reintext einstellt, werden eventuelle Skripts aber nicht ausgeführt. Ob ein Virenscanner derlei erkennt, ist die andere Frage ... und wenn denn bunt sein muss, gibt es noch die Darstellung als vereinfachtes HTML. Die zeigt Formatierungen an, führt aber keine Skripte aus.


    Ganz sicher kann ein Mail gefährliche Anhänge mitbringen. Aber um die auszuführen, müssen solche Anhänge erstmal temporär abgespeichert werden und an der Stelle schlägt der Virenscanner dann Alarm und verhindert entweder schon das Abspeichern oder zumindest die Ausführung ....


    Die Überwachung der eingehenden Mails ist daher unnötig. Ganz und gar unnötig ist die Überwachung ausgehender Mails - wurde die Malware bisher nicht auf deiner Festplatte erkannt, wird sie es beim Versenden auch nicht mehr ...


    Und nochmal Virenscanner ganz ohne das m.E. unnötige, unsinnige, aber eben wunderbar werbewirksame (und Ressourcen verbrauchende) Knacken und Scannen der verschlüsselten Übertragung:

    Hast du denn zumindest das Thunderbird-Profil als Ausnahme beim Scannen der Festplatte eingetragen? Falls nicht, droht Datenverlust! Thunderbird speichert seine Mails normalerweise im mbox-Format, d.h. jeder Mailordner im Thunderbird wird als eine einzige (pro Mailordner, nicht pro Mail!) Datei abgespeichert. Nur ein verseuchter Anhang und der Virenscanner ist versucht, die ganze Datei irgendwie zu schützen, zu sperren, hoffentlich nur in Quarantäne zu stellen, schlimmstenfalls zu löschen. Schwupps sind alle Mails in diesem Ordner futsch.

    Richtig böse wird das bei Anwendern, die ihren Posteingang nicht aufräumen und leer halten, da können schon mal die Mails von Jahren auf einmal weg sein ....


    Wie gesagt, WENN Malware in einem Anhang steckt, muss sie ja vor/für eine Ausführung zwischengespeichert werden und der Ordner dafür liegt woanders und wird überwacht usw., siehe oben. Und wenn es keine Programme sind, sondern Makroviren in Officedokumenten: Da du sicherlich die Makrosicherheit auf der Einstellung "hoch" gelassen hast, fragen dich Word & Co. zuerst, ob sie ein Makro ausführen sollen. Da wirst du aufmerksam und abgesehen davon wird das Dokument ja ebenso wie ein Programm erstmal temporär auf der Platte gespeichert und an dem Punkt schlägt auch hier der speicherresidente Hintergrundwächter zu.


    Zu guter Letzt: klar kannst du auch Zertifikate manuell erlauben. Wäre ja schlimm, wenn nicht. Manche Leute haben eigene Mailserver (wie z.B. MailstoreHome oder Hamster u d was es da so gibt, wenn ich in abendlixher Müdigkeit keine Namen verwechsle) laufen, die ihrerseits die Post vom Mailprovider abholen. Und wenn sie sich dafür beispielsweise eigene Zertifikate erstellt haben, muss man diese ja auch irgendwie dem Thunderbird anbieten und einbinden können ...


    Ich hoffe, der etwas länger gewordene Text war mehr hilfreich als ermüdend ;-)


    Schönen Abend noch bzw. eine angenehme neue Woche

    Drachen

  • Das Dilemma am Vertrauen in die Zertifikate der Virenscanner ist, dass damit die Entscheidung über das Vertrauen in alle sonstigen Gegenstellen dem Virenscanner überlassen wird. In der Regel sollte das kein Problem sein. Normalerweise ist es aber so, dass der Webbrowser bzw. das E-Mail-Programm über das Vertrauen zu jeder einzelnen Gegenstelle entscheiden kann/muss. Dazu wird im Browser/E-Mail-Client bestimmten Zertifizierungsstellen vertraut (oder eben auch nicht mehr vertraut). Durch das untergeschobene Zertifikat des Virenscanners ist die Situation dann aber so, dass der Browser/E-Mail-Client auf einmal immer nur den Virenscanner als Gegenstelle hat.


    Als Amerikaner könnte man sich beispielsweise fragen, ob man einem russischen Virenscanner unbedingt erlauben will, den Datenstrom zwischenzeitlich zu entschlüsseln. Dabei wird teilweise übrigens nicht nur der Mail-Inhalt für den Virenscanner lesbar, sondern auch die Login-Daten.


    Es ist wie so oft eine Frage der Abwägung von gegensätzlichen Interessen.

  • Hallo Drachen, hallo Thunder,


    vielen herzlichen Dank für Eure ausführlichen Antworten. Leider komme ich erst jetzt dazu, auf diese wiederum zu reagieren - ich hoffe, ihr lest das noch ...


    "Thunderbird: Zertifikate und Virenscanner" ist ja ein viel größerer Themenkomplex als ich dachte! Oh jeh ... Zum Thema "Mails in HTML oder Reintext?" fällt mir als erstes ein, dass ich eine ganze Reihe Newsletter erhalte, die in aller Regel HTML-formatiert sind und die auch gerne so lesen möchte. Ok, da gäbe es dann noch die Alternative "als vereinfachtes HTML anzeigen", das müsste ich ggf. einfach mal ausprobieren (ich habe mich das sowieso schon immer gefragt, wozu das da ist ...). Ich habe eben auch dieses Add-on "Allow HTML temp" gesehen, was ich auch noch nicht kannte - das könnte etwas für mich sein, dass ich dann eben Mails von Absendern, denen ich "vertraue" quasi einzeln "freischalte" für HTML.


    Wenn ich Drachen richtig verstanden habe, dann würden Viren und Trojaner in Anhängen sowieso gescannt/erkannt werden, weil sie von TB automatisch auf der Festplatte zwischengespeichert werden - habe ich das richtig verstanden?


    Und: nein, mein TB-Profil habe ich nicht als G-Data-Scan-Ausnahme eingetragen, weil ich noch nie so weit gedacht habe;-) Leider ist der geschilderte Fall "Löschung des kompletten Mailordners aufgrund einer Virus-Meldung in einer E-Mail" bei mir selbst vor ein paar Jahren mal eingetreten - das möchte ich auch nicht wieder erleben (dafür habe ich mir selbst mal eine Warnung als Erinnerung geschrieben ...)


    Das mit den Zertifikaten habe ich noch nicht ganz durchdrungen. Erstmal finde ich es komisch, dass das Antivirus-Programm dem Mailclient ein quasi gefälschtes Zertifikat unterjubeln möchte. Damit komme ich noch nicht so ganz klar und ich frage mich auch, warum das nicht besser kommuniziert wird vom Antivirenprogramm. Also z.B. dergestalt, dass bei Installation eines lokalen Mailclients ein Infofenster aufgeht, in welchem dem Anwender z.B. mitgeteilt wird: "Damit unser Antivirenscanner Ihre E-Mails untersuchen kann, müssen Sie aus diesen und jenen Gründen dieses und jenes erlauben, indem Sie ... usw." (oder so ähnlich).


    Und dann verstehe ich das mit den Zertifikaten grundsätzlich noch nicht so ganz. Welche Zertifikate braucht ein Mailclient überhaupt, damit alles funktioniert? Da habe ich mir echt noch nie Gedanken drüber gemacht. Also offenbar schonmal ein Zertifikat pro Mailaccount oder wie? Und welchen Sinn haben Zertifikate wenn einem trotz Zertifikaten Schadcode in E-Mails zugestellt werden kann? Ich habe eben mal bei mir geguckt: mein TB enthält nach der Neuinstallation 21 Zertifikate! Wo kommen die her? Welchen Sinn haben sie?


    Beste Grüße


    pixxma

  • Hallo,

    Erstmal finde ich es komisch, dass das Antivirus-Programm dem Mailclient ein quasi gefälschtes Zertifikat unterjubeln möchte. Damit komme ich noch nicht so ganz klar und ich frage mich auch, warum das nicht besser kommuniziert wird vom Antivirenprogramm.

    Das Antivirusprogramm möchte nicht nur unverschlüsselte Mails überwachen sondern auch verschlüsselte (z.B. SSL). Und das kann ein Virenscanner eben nicht ohne tief ins system eingreifende Maßnahmen (man in the middle).

    Wenn sich Thunderbird mit einem Mailserver verbindet, braucht es ein gültiges Zertifikat, sonst kommt keine Verbindung zustande (kann man umgehen durch eine ausdrückliche Erlaubnis).

    Nun verfügt aber das Antivirusprogramm nicht über ein gültiges Zertifikat und stellt ein eigenes Zertifikat aus, was aber nicht "beglaubigt" ist.

    In diesem Fall versucht Thunderbird eine Beglaubigung des Zertifikats zu bekommen, findet sie aber nicht. Also ist das vom Virenscanner erstellte Zertifikat ungültig und Thunderbird tut, was es tun muss: es blockiert diese Verbindung.

    Mit Recht um einen Hackerangriff zu unterbinden.

    Du stehst jetzt vor der Wahl, einen Kompromiss einzugehen und Thunderbird den Vorzug zu geben oder dem Antivirus.

    Gibst du es dem Antivirus, muss du auf Thunderbird verzichten. Gibst du es Thunderbird, musst du auf einen kleinen und unwichtigen Teil des Antivirus verzichten.

    Wie das schon in den vorigen Beiträgen zum Ausdruck kam, wird der Nutzen dieses (expliziten) Antivirus-Mail-Schutzes maßlos überschätzt. Im Gegenteil, bestimmte Programme funktionieren dann sogar nicht mehr richtig.

    Entscheide dich also.

    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

    Einmal editiert, zuletzt von mrb ()

  • Hallo,


    Punkt 1: Anhänge werden außerhalb des TB-Profils gespeichert, wenn du sie öffnest. Im Anhang selbst sind weder Programme noch Datendateien (Word & Co.) in einer lesbaren oder ausführbaren Form vorhanden, das hat was mit Neukodierung für den Versand zu tun. Noch leicht verständlich ist, dass es ja diverse Codes gibt, die einen Computer dazu bewegen, Aktionen auszuführen - und wenn man sowas per Mail versendet, wird es anders kodiert, eben damit weder Mailclient noch Mailserver noch irgendein Server, Router oder Switch auf dem ggf. langen Übertragungsweg die Datenpakete ausführt, sondern einfach nur überträgt. Tiefer will und kann ich hier nicht ausführen, weil's den Rahmen sprengen würde. Um also einen Anhang zu öffnen (egal ob Word-Dokument oder Programm), wird der erst wieder in ein "normales Format" zurück umkodiert und dafür eben auch in einem temporären Verzeichnis gespeichert (unter Windows meistens das in %TEMP% festgelegte Verzeichnis) - und dort kriegt es der speicherresidente Virenscanner mit, da er ja die Lese- und/oder Schreibvorgänge der Festplatte überwacht.


    Punkt 2: Diese Zertifikate haben nichts damit zu tun, ob oder ob nicht Schadsoftware in einer Mail mitkommt. Sie dienen nur der Absicherungen der Kommunikation zwischen Mailserver und Mailclient (u.a. Stichwort Transportverschlüsselung). Der Mailclient stellt darüber u.a. fest, dass der Server wirklich der Richtige ist. Dazu dienen sehr verschiedene Mechanismen, die aufzudröseln hier ebenfalls den Rahmen sprengen würde. Ganz kurze Version: Serverbetreiber lässt sich ein Zertifikat von einem vertrauenswürdigen Anbieter ausstellen für seinen Server. Mailclient vertraut seinerseits dem Aussteller des Zertifikats, prüft also dieses Zertifikat anhand verschiedener Kriterien und kommt zum Schluss, dass der Mailserver tatsächlich der ist, als der er sich ausgibt. Fertig.
    Virenscanner bringt eigenes Zertifikat, Mailclient merkt natürlich, dass das nicht zum Server passt -> Warnung.


    Hinter beiden Punkten steckt natürlich noch einiges mehr, vielleicht kein Buch, aber durchaus schon eine mittlere Broschüre mit jeder Menge technischer Grundlagen und Zusammenhänge. Mit Thunderbird hat das eher wenig zu tun, er kommt hier lediglich als der Mailclient unserer Wahl ins Spiel. Prinzipell betrifft das auch nahezu alle anderen Mailclients auf verschiedensten Plattformen - nur manche prüfen vielleicht nicht so genau (wirken dann so, als gäbe es bei ihnen weniger Probleme) oder an Outlook trauen sich manche Virenscanner nicht so ran, "Marktführer" will keiner verprellen. Nunja, selbst das wäre wieder ein Thema, was eine eigene ausführliche Diskussion veranlassen könnte :-)


    Wie beim Arzt gilt natürlich auch hier: hol dir eine zweite Meinung ein. Und dann überleg dir, ob du die Sicherheit für ein Marketingversprechen reduzieren willst ;-)


    Schönen Abend noch

    Drachen

  • ... und nochmal: danke danke danke für Eure ausführlichen Antworten!


    Mir geht es ja vor allem ums VERSTEHEN, und da habe ich rund um das Thema Mailclients wohl noch einiges zu lernen ...


    Kennt ihr einen guten profunden Beitrag oder Artikel zum Thema "Mailzertifikate", den ihr empfehlen könnt? Da würde ich mich gerne mal weiter einlesen ...


    Ciao

  • Ich kenne keinen Link. Ich weiß aber, dass das Thema "Zertifikate" schon recht häufig hier im Forum behandelt wurde. Allerdings gibt es dieses Thema auch für ein anderes Gebiet, nämlich bei der Verschlüsselung von Mail mit Gnu/Enigmail bzw. Mime/S. Darf man also bei der Suche nicht verwechseln. Federführend bei diesem Thema waren früher Peter_Lehmann und Susi Tux.


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw