Warnmeldungen zu Zertifikaten von GMX und web.de

Hallo,

Klicke in dem gezeigten Dialog Mal auf "Anzeigen". Wer ist dort als Herausgeber des jeweiligen Zertifikats angegeben?

Hallo,

deaktiviere in GData die Mailüberwachung bzw. Überwachung SSL-geschützter Mailverbindungen, wie immer das dort konkret bezeichtnet wird.

Technisch versucht der Virenscanner deine abgesicherte Verbindung zwischen Mailclient und Mailserver zu knacken und sich dazwischen zu hängen. Dazu will er dem Mailclient sein eigenes Zertifikat unterschieben und sich damit als sicheren Mailserver bzw. "Kommunikations-Gegenstelle" auszugeben. Thunderbird erkennt, dass das Zertifikat nicht zum Mailserver passt und deswegen die Meldungen.

Genaueres findest du, wenn du nach der Angriffsform "man-in-the-middle" suchst, denn nichts Anderes als ein Angriff auf die zwischen Mailclient und Mailserver durch Verschlüsselung abgesicherte Verbindung ist es.

MfG

Drachen

Hallo nochmal

deine Skepsis verstehe ich, angebracht ist sie m.E. nicht.

Warum genau willst du denn Mails überwachen lassen? Die Frage ist ernst gemeint, denn eine Mail an sich ist erstmal ungefährlich.

Möglicherweise kann eine HTML-Mail durch enthaltene Skripts gefährlich sein - indem man die Darstellung auf Reintext einstellt, werden eventuelle Skripts aber nicht ausgeführt. Ob ein Virenscanner derlei erkennt, ist die andere Frage ... und wenn denn bunt sein muss, gibt es noch die Darstellung als vereinfachtes HTML. Die zeigt Formatierungen an, führt aber keine Skripte aus.

Ganz sicher kann ein Mail gefährliche Anhänge mitbringen. Aber um die auszuführen, müssen solche Anhänge erstmal temporär abgespeichert werden und an der Stelle schlägt der Virenscanner dann Alarm und verhindert entweder schon das Abspeichern oder zumindest die Ausführung ....

Die Überwachung der eingehenden Mails ist daher unnötig. Ganz und gar unnötig ist die Überwachung ausgehender Mails - wurde die Malware bisher nicht auf deiner Festplatte erkannt, wird sie es beim Versenden auch nicht mehr ...

Und nochmal Virenscanner ganz ohne das m.E. unnötige, unsinnige, aber eben wunderbar werbewirksame (und Ressourcen verbrauchende) Knacken und Scannen der verschlüsselten Übertragung:

Hast du denn zumindest das Thunderbird-Profil als Ausnahme beim Scannen der Festplatte eingetragen? Falls nicht, droht Datenverlust! Thunderbird speichert seine Mails normalerweise im mbox-Format, d.h. jeder Mailordner im Thunderbird wird als eine einzige (pro Mailordner, nicht pro Mail!) Datei abgespeichert. Nur ein verseuchter Anhang und der Virenscanner ist versucht, die ganze Datei irgendwie zu schützen, zu sperren, hoffentlich nur in Quarantäne zu stellen, schlimmstenfalls zu löschen. Schwupps sind alle Mails in diesem Ordner futsch.

Richtig böse wird das bei Anwendern, die ihren Posteingang nicht aufräumen und leer halten, da können schon mal die Mails von Jahren auf einmal weg sein ....

Wie gesagt, WENN Malware in einem Anhang steckt, muss sie ja vor/für eine Ausführung zwischengespeichert werden und der Ordner dafür liegt woanders und wird überwacht usw., siehe oben. Und wenn es keine Programme sind, sondern Makroviren in Officedokumenten: Da du sicherlich die Makrosicherheit auf der Einstellung "hoch" gelassen hast, fragen dich Word & Co. zuerst, ob sie ein Makro ausführen sollen. Da wirst du aufmerksam und abgesehen davon wird das Dokument ja ebenso wie ein Programm erstmal temporär auf der Platte gespeichert und an dem Punkt schlägt auch hier der speicherresidente Hintergrundwächter zu.

Zu guter Letzt: klar kannst du auch Zertifikate manuell erlauben. Wäre ja schlimm, wenn nicht. Manche Leute haben eigene Mailserver (wie z.B. MailstoreHome oder Hamster u d was es da so gibt, wenn ich in abendlixher Müdigkeit keine Namen verwechsle) laufen, die ihrerseits die Post vom Mailprovider abholen. Und wenn sie sich dafür beispielsweise eigene Zertifikate erstellt haben, muss man diese ja auch irgendwie dem Thunderbird anbieten und einbinden können ...

Ich hoffe, der etwas länger gewordene Text war mehr hilfreich als ermüdend

Schönen Abend noch bzw. eine angenehme neue Woche

Drachen

Das Dilemma am Vertrauen in die Zertifikate der Virenscanner ist, dass damit die Entscheidung über das Vertrauen in alle sonstigen Gegenstellen dem Virenscanner überlassen wird. In der Regel sollte das kein Problem sein. Normalerweise ist es aber so, dass der Webbrowser bzw. das E-Mail-Programm über das Vertrauen zu jeder einzelnen Gegenstelle entscheiden kann/muss. Dazu wird im Browser/E-Mail-Client bestimmten Zertifizierungsstellen vertraut (oder eben auch nicht mehr vertraut). Durch das untergeschobene Zertifikat des Virenscanners ist die Situation dann aber so, dass der Browser/E-Mail-Client auf einmal immer nur den Virenscanner als Gegenstelle hat.

Als Amerikaner könnte man sich beispielsweise fragen, ob man einem russischen Virenscanner unbedingt erlauben will, den Datenstrom zwischenzeitlich zu entschlüsseln. Dabei wird teilweise übrigens nicht nur der Mail-Inhalt für den Virenscanner lesbar, sondern auch die Login-Daten.

Es ist wie so oft eine Frage der Abwägung von gegensätzlichen Interessen.

Hallo,

Zitat von pixxma

Erstmal finde ich es komisch, dass das Antivirus-Programm dem Mailclient ein quasi gefälschtes Zertifikat unterjubeln möchte. Damit komme ich noch nicht so ganz klar und ich frage mich auch, warum das nicht besser kommuniziert wird vom Antivirenprogramm.

Das Antivirusprogramm möchte nicht nur unverschlüsselte Mails überwachen sondern auch verschlüsselte (z.B. SSL). Und das kann ein Virenscanner eben nicht ohne tief ins system eingreifende Maßnahmen (man in the middle).

Wenn sich Thunderbird mit einem Mailserver verbindet, braucht es ein gültiges Zertifikat, sonst kommt keine Verbindung zustande (kann man umgehen durch eine ausdrückliche Erlaubnis).

Nun verfügt aber das Antivirusprogramm nicht über ein gültiges Zertifikat und stellt ein eigenes Zertifikat aus, was aber nicht "beglaubigt" ist.

In diesem Fall versucht Thunderbird eine Beglaubigung des Zertifikats zu bekommen, findet sie aber nicht. Also ist das vom Virenscanner erstellte Zertifikat ungültig und Thunderbird tut, was es tun muss: es blockiert diese Verbindung.

Mit Recht um einen Hackerangriff zu unterbinden.

Du stehst jetzt vor der Wahl, einen Kompromiss einzugehen und Thunderbird den Vorzug zu geben oder dem Antivirus.

Gibst du es dem Antivirus, muss du auf Thunderbird verzichten. Gibst du es Thunderbird, musst du auf einen kleinen und unwichtigen Teil des Antivirus verzichten.

Wie das schon in den vorigen Beiträgen zum Ausdruck kam, wird der Nutzen dieses (expliziten) Antivirus-Mail-Schutzes maßlos überschätzt. Im Gegenteil, bestimmte Programme funktionieren dann sogar nicht mehr richtig.

Entscheide dich also.

Gruß

Hallo,

Punkt 1: Anhänge werden außerhalb des TB-Profils gespeichert, wenn du sie öffnest. Im Anhang selbst sind weder Programme noch Datendateien (Word & Co.) in einer lesbaren oder ausführbaren Form vorhanden, das hat was mit Neukodierung für den Versand zu tun. Noch leicht verständlich ist, dass es ja diverse Codes gibt, die einen Computer dazu bewegen, Aktionen auszuführen - und wenn man sowas per Mail versendet, wird es anders kodiert, eben damit weder Mailclient noch Mailserver noch irgendein Server, Router oder Switch auf dem ggf. langen Übertragungsweg die Datenpakete ausführt, sondern einfach nur überträgt. Tiefer will und kann ich hier nicht ausführen, weil's den Rahmen sprengen würde. Um also einen Anhang zu öffnen (egal ob Word-Dokument oder Programm), wird der erst wieder in ein "normales Format" zurück umkodiert und dafür eben auch in einem temporären Verzeichnis gespeichert (unter Windows meistens das in %TEMP% festgelegte Verzeichnis) - und dort kriegt es der speicherresidente Virenscanner mit, da er ja die Lese- und/oder Schreibvorgänge der Festplatte überwacht.

Punkt 2: Diese Zertifikate haben nichts damit zu tun, ob oder ob nicht Schadsoftware in einer Mail mitkommt. Sie dienen nur der Absicherungen der Kommunikation zwischen Mailserver und Mailclient (u.a. Stichwort Transportverschlüsselung). Der Mailclient stellt darüber u.a. fest, dass der Server wirklich der Richtige ist. Dazu dienen sehr verschiedene Mechanismen, die aufzudröseln hier ebenfalls den Rahmen sprengen würde. Ganz kurze Version: Serverbetreiber lässt sich ein Zertifikat von einem vertrauenswürdigen Anbieter ausstellen für seinen Server. Mailclient vertraut seinerseits dem Aussteller des Zertifikats, prüft also dieses Zertifikat anhand verschiedener Kriterien und kommt zum Schluss, dass der Mailserver tatsächlich der ist, als der er sich ausgibt. Fertig.
Virenscanner bringt eigenes Zertifikat, Mailclient merkt natürlich, dass das nicht zum Server passt -> Warnung.

Hinter beiden Punkten steckt natürlich noch einiges mehr, vielleicht kein Buch, aber durchaus schon eine mittlere Broschüre mit jeder Menge technischer Grundlagen und Zusammenhänge. Mit Thunderbird hat das eher wenig zu tun, er kommt hier lediglich als der Mailclient unserer Wahl ins Spiel. Prinzipell betrifft das auch nahezu alle anderen Mailclients auf verschiedensten Plattformen - nur manche prüfen vielleicht nicht so genau (wirken dann so, als gäbe es bei ihnen weniger Probleme) oder an Outlook trauen sich manche Virenscanner nicht so ran, "Marktführer" will keiner verprellen. Nunja, selbst das wäre wieder ein Thema, was eine eigene ausführliche Diskussion veranlassen könnte

Wie beim Arzt gilt natürlich auch hier: hol dir eine zweite Meinung ein. Und dann überleg dir, ob du die Sicherheit für ein Marketingversprechen reduzieren willst

Schönen Abend noch

Drachen

Ich kenne keinen Link. Ich weiß aber, dass das Thema "Zertifikate" schon recht häufig hier im Forum behandelt wurde. Allerdings gibt es dieses Thema auch für ein anderes Gebiet, nämlich bei der Verschlüsselung von Mail mit Gnu/Enigmail bzw. Mime/S. Darf man also bei der Suche nicht verwechseln. Federführend bei diesem Thema waren früher Peter_Lehmann und Susi Tux.

Gruß