Thunderbird akzeptiert GMX-Zertifikat nicht

Hallo,

bitte zu dem Thema mal folgenden Thread ganz lesen:

Sicherheitsausnahmeregel ...

Hallo,

Zitat von eatmachine

Allerdings möchte ich eigentlich, dass G Data das tut und das hat mit den top-aktuellen Systemen von G Data und Thunderbird vor dem Neuaufsetzen des Rechners gestern noch funktioniert.......

Das Risiko, dass so etwas weiterhin passiert, bleibt aber dann real.

Wozu, meinst du, hilft dieser zweifelhafte Schutz (Hackermethode: man in the middle)?

Wie du siehst, schadet er mehr als er hilft. Sicherheitssoftware kann nun mal keine verschlüsselten Mails scannen und versucht es dann mit unsauberen Methoden und selbst erstellten Zertifikaten, die Thunderbird nicht kennt und daher zu Recht. blockiert.

Selbst wenn du mal versehentlich auf einen verdächtigen Anhang klickst, würde dich der on-access-scanner von Gdata vor einem Öffnen schützen. Ich selbst unter bräuchte auch diesen Schutz nicht, weil ich nur Anhänge öffne, wenn diese angekündigt wurden, bzw. ich diese erwarte. Der zweite Unsicherheitsfaktor HTML-Mails verhindere ich, dass ich grundsätzlich nur Rein-Text.Mails lese mit Ausnahme einiger weniger Newsletter. Wenn du es auch so machst, brauchst du für Mails keine spezielle Sicherheitssoftware.

Und auch HTML ist real sicher, solange du bei unbekannten Absendern keine Links anklickst.

Gruß

Hallo eatmachine,

diese Zertifikate bei GMX (vom Virenscanner) waren erst jüngst Thema hier, ebenso die Frage nach dem Sinn oder Sicherheitsgefühl beim Scannen der Mails. Da ich involviert war und hier zu faul bin, den Text neu zu verfassen, verlinke ich einfach

Warnmeldungen zu Zertifikaten von GMX und web.de

Ergänzung: der ganze Thread war in der Summe recht interessant, nicht nur dieser Beitrag von mir.

MfG

Drachen

Liebe Forumsteilnehmer

Auch ich hatte dieses Problem und habe in den vergangenen Tagen wie verückt gegoogelt und mich in den Foren umgesehen. Aber ich habe nirgends eine Behebung des Problems gefunden die bei mir funktioniert hätte. Ausser ein Restore auf meine frühere Thunderbird Version v45.8.0

Meine Story:

Zum Jahreswechsel mache ich meist ein paar Updates. Aber ich hasse automatische Updates und habe sie deshalb fast überall (wo man es heutzutage noch kann) die Auto-Updates abgeschaltet um mich vorher zu vergewissern, dass nichts wichtiges verloren geht.

• 2.1.2018 Verzeichnissicherung c:\_EMAIL\Thunderbird. Dort war meine portable Version von TB v45.5.1 vom 30.11.2016
• 2.1.2018 Update mittels dem integrierten Updatecheck bei "Hilfe" - "Über Thunderbird" auf v45.8.0 vom 7.3.2017 und anschliessend
• 3.1.2018 Update auf die aktuelle Version v52.5.2 vom 22.12.2017

Anschliessend hatte ich laufend das oben beschriebene Meldungsfenster.

Besonders lästig war dann, wenn diese Meldung nach einer Arbeitspause 100x übereinander angezeigt wurde und ich dies mit 100 ESC Tasten erst einmal löschen musste.

Alle oben und woanders beschriebenen Infos warum der böse Virenscanner abgeschaltet werden soll, oder "Zertifikat herunterladen" oder "Zertifikat ansehen" oder "Sicherheitsausnahmeregel bestätigen" und "Die Ausnahme dauerhaft speichern" half nichts.

Den Virenscanner abschalten oder auch nur das Scannen von POP emails ausschalten nutzte alles nichts.

Soeben habe ich die alte Portable TB Version zurückkopiert, hab nur ein Update auf v45.8.0 gemacht, alle emails nachgeladen (habs eh so eingestellt dass am POP Server die abgeholten emails nicht sofort gelöscht werden) und alles läuft wieder problemlos.

Ohne Virenscanner abschalten oder sonst etwas.

Meine Ausstattung:

• Notebook mit Intel Core i7, 16GB DDR3
  Win7-64Prof SP1, Kaspersky Endpoint Security 10 SP1 MR2

• Postfach Anbieter GMX "pop.gmx.at:995"

• Internet Access via Fortigate50 Firewall

• Thunderbird portable v52.5.2

Wobei mein 2ter Pop Account "ssl.mailhostpro.net:995" keine Probleme machte !

Fazit: es ist anscheinend eine Kombination von GMX und Thunderbird. Was hat Thunderbird also früher anders gemacht als in der neuen Version.

Bevor ich nun beruhigt auf v52 updaten werde muss ich wohl oder über die Entwicklung beobachten. Gab es das Problem bereits bei der ersten v52er Version oder erst ab der aktuellen ? etc

LG Michael

Hallo liebe Spezialisten

Ich trau mich das fast gar nicht zu sagen, aber ich habe Thunderbird bis gestern mit der alten Version weiterbetrieben.

Nach einer Umstellung eines email Providers habe ich nun ein Update auf die aktuelle 115er Version gemacht in der Annahme, dass dieses lästige Zertifikat Problem sicher schon gelöst ist. Ist es sicher auch, aber nicht bei mir.

Mittlerweile habe ich eine neues Notebook mit W10 statt W7, statt Kaspersky setze ich Bitdefender ein, aber das Problem ist wieder da. Beim Versuch von dem POP Server von GMX die neuen emails hereinzuladen kommt wieder dieses PopUp fenster "Sicherheits-Ausnahmeregel hinzufügen" von der pop.gmx.at:995 Adresse Nach Google Suche finde ich die Hinweise auf die Virenscanner. Um Testweise die emails wieder abrufen zu können, hatte ich im Kaspersky vor 6 Jahren einen Button, um die gesamten Virenscanner für x min zu deaktivieren. Beim Bitdefender habe ich das nicht gefunden, aber im Bereich Schutz gibt es den Betrugsschutz der einen einfluss auf das Zertifikat hat.

Der Fehler lautet entweder
"Unbekannte Identität" sofern die diversen Option im Bitdefender eingeschaltet sind
(Beim Ansehen des Zertifikats sieht man, dass der Inhabername 1&1 Mail & Media Gmbh ist mit dem Allgemeinen Namen mail.gmx.at und Ausstellername lautet auf Bitdefender. Das Zertifikat wurde also vom Virenscanner ersetzt) ODER
"Falsche Website" sofern ich diverse Optionen im Bitdefender ausschalte
Beim Ansehen des Zertifikats sieht man, dass der Inhabername 1&1 Mail & Media Gmbh ist mit dem Allgemeinen Namen mail.gmx.at und Ausstellername lautet auf Telekom. Das Zertifikat wurde also nicht ersetzt, erzeugt aber auch einen Fehler.)
Bei beiden Optionen nützt es nichts, wenn ich im Thunderbird die Sicherheits-Ausnahmeregel bestätige und dauerhaft speichere und das Zertifikat herunterlade.

Was kann ich nun wirklich tun ? Ich will die emails per POP Protokoll mit SSL/TLS herunterladen mit der Authentifizierungsmethode Passwort, normal

LG Michael

Zitat von Drehmoment

Wirf halt mal einen Blick auf das Zertifikat. Wenn da drin steht, dass es für den Kasper ist, dann kennst du die Ursache. Sollte das so sein, kann das Problem nicht im Thunderbird gelöst werden.

Ich schaue af die beiden Zertifikate, verstehe diese aber nicht. Das eine wurde von Bitdefender ersetzt, aber das andere Zertifikat ist ja von GMX ?

Zitat von Boomerang63

statt Kaspersky setze ich Bitdefender ein,

Brauchst du unter Win10 (und höher) weder noch - der Windows Defender reicht völlig aus...

Zitat von Bastler

Zitat von Boomerang63

statt Kaspersky setze ich Bitdefender ein

Hallo,
dann hast Du nur Pest gegen Cholera getauscht.
Deaktiviere in dem Zeugs jeglichen Zugriff im Zusammenhang mit TB Aktivitäten.
Es gibt reichlich Beweise, dass diese Software und deren Verwandtschaft Unfug mit TB anstellt.

Danke für die Antwort. Allerdings habe ich bewusst beim Virenscanner auf die seit Jahren Beste Bezahllösung in vielen Vergleichstest gesetzt. Die Antwort: schütze dich halt geringer, dann geht eh alles, wäre für mich eher suboptimal und nur der letzte Ausweg.

Ich würde die Poblematik gerne verstehen. Hat wer eine technische Erklärung, warum die Fehlermeldung in der alten TB v45 nicht kommt und zumindest ab v52 hat TB Probleme damit, obwohl ich dem Bitdefender erfolgreich das Austauschen des Zertifikats untersagt habe?

Hallo Bastler,

Zitat von Bastler

deaktiviere alle Zugriffe auf den TB, sowohl Profildateien als auch Netzaktivitäten.

Diese Empfehlung unterstütze ich nicht. Das würde nämlich bedeuten, dass sich weder (in diesem Fall) Bitdefender, noch der Windows Defender um die Mails kümmert. Es muss ganz oder gar nicht heißen. Ob nun Bitdefender ohne Ausnahmeregeln oder nur der Windows Defender liegt im Ermessen des TO. Aber eine von beiden sollte unzweideutig aktiv sein und die Mailarchive sowie ggf. (Bitdefender) auch den Datenstrom scannen (und dabei die Probleme mit den Zertifikaten aufwerfen). Solange Bitdefender installiert ist, hat der Windows Defender nur die Rolle der Ankopplung an das Benachrichtigungssystem von Windows - aber keine aktive Funktion. Ausnahmeregeln in Bitdefender stellen dann blinde Flecken dar.

Gruß
Sehvornix

Hallo Michael,

wenn Dir so viel an Bitdefender liegt, versuche es mit einer restlosen Deinstallation, am besten mit dem dafür vorgesehenen Tool vom Hersteller. Anschließend nach Neustart und wenn überprüft ist, dass Thunderbird dann nicht die geschilderten Probleme hat (dass also die Wechselwirkung mit Bitdefender wirklich die Ursache ist), Bitdefender wieder installieren. Bitdefender sollte es dann hinbekommen, sich so einzurichten, dass Thunderbird und gmx trotzdem reibungslos funktioniert, trotz MITM.

Gruß
Sehvornix

Danke an beide.
Ich werde das dann mal versuchen. Zuerst aber stelle ich noch 4 Screenshots hier herein. Zur Orientierung für andere User die das selbe Problem haben. Ind die dann auch meine konkrete Lösung nachsehen können, egal ob es nun die vorgeschlagenen Lösungen sind oder vielleicht doch eine Lösung mit dem Beibehalten des Virenscanners.

JPG 1+2: "Sicherheits-Ausnahmeregel hinzufügen": Unbekannte Identität und das Zertifikat dazu.

Eigentlich will ich nichts "übergehen", aber wir werden ja sehen...

JPG3+4: "Sicherheits-Ausnahmeregel hinzufügen": Falsche Website und das Zertifikat dazu.

Nun noch zum allgemeinden Verständnis

Da ich mich mit den Sicherheitszertifikaten noch nicht wirklich auskenne, verstehe ich nicht, was es für einen Sinn haben könnte, ein Zertifikat auszutauschen ?

Ist es so dass Bitdefender auch schon erkennt, dass die Telekom für den GMX POP-server ein falsches Zertifikat mitsendet und es daher austauscht, damit der Mailclient es sicher auch versteht dass die Quelle nicht richtig zertifiziert ist.

Wenn das Zertifikat nicht ausgetauscht wird erkennt aber Thunderbird selbst eh auch, dass der PopServer und das Zertifikat nicht zusammenpassen.

Wäre nicht genau zu diesem Zweck die Vorgangsweise entweder "Zertifikat herunterladen" "Zertifikat speichern" und/oder "Ausnahmeregel bestätigen" der richtige Vorgang. Wenn man sich natürlich vorher vergewissert hat, dass man nicht auf irgendeinen falschen PopServer zugreift. Es könnte ja sein, dass mein eingetragener PopServer ja gar nicht der richtige original GMX Pop Server ist und die ganzen Warnungen gar nicht falsch sind ?

Wenn ich nun den Bitdefender eliminiere und dann der Fehler nicht mehr kommt, wo kann ich dann sehen, welches Zertifikat bei Thunderbird ankommt, denn dann kommt ja kein PopUp mehr wo ich nachsehen kann?

Die Zertifikate zeigen, das du als Server mail.gmx.net verwendest. Das ist aber der Postausgangsserver. Für den Abruf mußt du pop.gmx.net verwenden.