S/MIME Probleme beim Senden

    • Thunderbird-Version: 52.6.0 (64-Bit)
    • Betriebssystem + Version:Linus CentOS 7
    • Kontenart (POP / IMAP):POP

    Meine E-Mail Adresse hat ein S/MIME Zertifikat zum unterschreiben und verschlüsseln:

    Externer Inhalt up.picr.de
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    Externer Inhalt up.picr.de
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    Zum Versand (SMPT) wurde die Verschlüsselung ausgestellt und "unterschreiben" eingestellt.

    Der Versand scheitert:

    Externer Inhalt up.picr.de
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    Das ist schon richtig, weil der Empfänger kein Zertifikat hat.

    Beim erneuten nachschauen war zusätzlich zum unterschreiben auch verschlüsseln angekreuzt, obwohl das vor dem Versand explizit deaktiviert war!

    Erst ohne dem Häkchen beim "Unterschreiben" kann die Nachricht versandt werden, dann allerdings ohne Zertifikat.

    Woran kann das liegen?

    Du hast offensichtlich Enigmail 2.0 installiert. Jedenfalls kenne ich den Dialog aus den Thunderbird-Einstellungen so nicht. Und auch die Unterstüzung für PEP gibt es in der 1.9.x ja nicht.

    Kontrolliere also zunächst mal die Einstellungen von Enigmail. Vielleicht hast du dort irgendwo angehakt, dass verschlüsselt werden soll.

    Für S/MIME benötigst du Enigmail übrigens nicht. Das kann der Thunderbird allein.

    Das stimmt schon, weil ich bei einer meiner Mailadressen aus historischen Gründen OpenPGP verwende und deshalb das Plugin installiert habe.

    Ich sehe aber gerade, dass dort bei "Automatische Updates" die Einstellung "Standard" ist und scheinbar zuletzt am 26.03.2018 eine Aktualisierung stattfand. Das passt zumindest zeitlich zum geschilderten Sachverhalt.

    Es scheint tatsächlich so zu sein, dass das Plugin seit dem letzten Update sich nicht mehr mit S/MIME verträgt. Ich habe das Plugin deaktiviert und nun klappt der Versand.

    Vielen Dank für den Tip!

    Zitat von anton

    weil ich bei einer meiner Mailadressen aus historischen Gründen OpenPGP verwende und deshalb das Plugin installiert habe.

    Dazu eine Frage zu Enigmail 2.0.

    Ich benutze Enigmail in der Version 1.9.x für PGP. Ich werde auch vorerst bei dieser Version bleiben. S/MIME geht über die Funktion des Thunderbird. Ich muss dazu Enigmail nicht deaktivieren.

    Geht das mit der Version 2 nicht mehr so einfach? Ich habe in den Ankündigungen gelesen, dass Enigmail anhand der vorhandenen Schlüssel automatisch wählen kann, ob PGP oder S/MIME verwendet werden soll. Diesen Automatismus kann man doch bestimmt abschalten und manuell auswählen, oder nicht? Dass man Enigmail deaktivieren muss, kann ja nicht gewollt sein.

    Hallo Drehmoment,

    es hat den Anschein, dass Enigmail 2.0 tatsächlich die "Thunderbird Mail DE"-S/MIME-Funktion außer Kraft setzt!

    S[chimpfwort]!

    Gruß

    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

    Zitat von Feuerdrache

    es hat den Anschein, dass Enigmail 2.0 tatsächlich die "Thunderbird Mail DE"-S/MIME-Funktion außer Kraft setzt!

    Der Anschein trügt ein wenig.

    Ich habe jetzt ein Update auf die 2.0. gemacht. Ich habe eingestellt, dass, wenn zu einer Adresse sowohl ein OpenPGP als auch ein S/MIME-Schlüssel vorhanden ist, OpenPGP verwendet werden soll.

    Verfasse ich nun eine E-Mail und setze über das S/MIME-Icon die Häkchen, wird trotzdem OpenPGP verwendet. Die Auswahl über das Icon hat wohl in diesem Fall keine Wirkung mehr.

    Das mag irritieren, erscheint mir aber richtig, denn es entspricht der in Enigmail getroffenen Vorauswahl.

    Im Verfassenfenster kann ich aber über das "Icon" mit den Informationen zu Enigmail nach wie vor auswählen, ob ich PGP/INLINE, PGP/MIME oder eben S/MIME verwenden möchte. Das funktioniert dann auch.

    Ich verfüge (aus grauer Vorzeit) über einige PGP-Schlüssel,
    nutze aber aktuell S/MIME-Zertifikate der Volks-Verschlüsselung.

    So oder so - die meisten Empfänger kommen nicht einmal mit einer digitalen Signatur zurecht,
    also verschlüssele ich von Haus aus nicht.

    Ich kann zunächst bestätigen, dass ich das selbe Phänomen seit dem ENIGMA-upDate auf 2.0.x habe:

    1. neue eMails werden mit Voreinstellung verschlüsselt (obwohl S/MIME signiert voreingestellt war) generiert
      auch aus bereits existierenden Vorlagen
    2. Entwürfe werden PGP-verschlüsselt gespeichert

    Ich möchte jedoch weder verschlüsselte Entwürfe speichern,
    noch vor dem Senden die Verschlüsselung ausschalten müssen!

    Die ENIGMAIL-internen Einstellungen helfen dagegen nicht. Ich glaube, dass ich auch alle Thunderbird-Einstellungen geprüft und ggf. nach-justiert habe. Ohne Erfolg! Die S/MIME-Voreinstellung wird seit Ende März einfach ignoriert.

    " Aktiviere OpenPGP-Ûnterstützung (ENIGMAIL) für diese Identität " ist deaktiviert
    - und selbst aktiviert wäre " S/MIME bevorzugen voreingestellt.

    Diese Einstellung wirkt selbst nach Neustart von TB 52.7.0 mit ENIGMAIL 2.0.2 nicht.

    TB 52.8.0

    ENIGMAIL 2.0.4

    Nachtrag

    Gelegentlich leite ich eMails von einem meiner Accounts an einen meiner Microsoft-Accounts weiter. Selbst wenn ich die Verschlüsselung beim Entwurf deaktiviere, wird die eMail gleich drauf verschlüsselt versandt (weil ich eben auch für den Empfänger über einen S/MIME-Schlüssel verfüge.

    Microsoft sortiert das als Junk weg, so dass es weder auf dem Smartphone, noch in anderen Clients erscheint.

    Erst wenn ich sie im GUI in den Posteingang verschiebe und dort entschlüssele, ist sie auch bei Smartphone / Tablet für mich verfügbar - leider können beide Devices mit verschlüsselten eMails nicht umgehen!

    Dieses Verhalten ist von ENIGMAIL / THUNDERBIRD nicht akzeptabel.

    Einmal editiert, zuletzt von Wolf B. (20. Mai 2018 um 11:45) aus folgendem Grund: Korrektur

    Enigmail/Thunderbird können das Verhalten des Junk-Filters beim Provider nicht beeinflussen. Sie sind deshalb nicht die Ursache des Problems.

    Es gibt zwei Lösungsmöglichkeiten. Entweder die E-Mail unverschlüsselt weiterleiten oder den Junk-Filter entsprechend konfigurieren, zum Beispiel über eine White-List.

    Selbstverständlich ist der Junk-Filter nicht das Problem - das kann ich regeln.

    Kern des Problems ist, dass die Weiterleitung verschlüsselt wird obwohl ich die Verschlüsselung Bruchteile von Sekunden vor dem Senden deaktiviert habe.

    Selbstverständlich ist es ein Problem, wenn ein Junk-Filter Mails als Junk aussortiert, nur weil sie verschlüsselt sind. Genau genommen, ist Verschlüsselung eher ein Zeichen dafür, dass die Mail kein Junk ist. Ich habe zumindest noch von keinem Spammer gehört, der sich die öffentlichen Schlüssel zu den E-Mailadressen besorgt hätte und seine Werbung verschlüsselt verschickt.

    Thunderbird verschlüsselt normalerweise nicht, wenn man ihm das nicht explizit aufträgt. Das kann entweder manuell geschehen oder automatisch über die Einstellung in Enigmail, immer zu verschlüsseln, wenn es möglich ist. Dort dürfte der Kern des Problems liegen.

    Zitat von Solaris

    Thunderbird verschlüsselt normalerweise nicht, wenn man ihm das nicht explizit aufträgt. Das kann entweder manuell geschehen oder automatisch über die Einstellung in Enigmail, immer zu verschlüsseln, wenn es möglich ist. Dort dürfte der Kern des Problems liegen.

    THUNDERBIRD / ENIGMAIL verschlüsselt neuerdings sehr wohl unautorisiert. Das war nach meinem Verständnis Auslöser dieses Threads im März. Aller Einstellungen, die dem entgegenwirken sollten, tun nicht, was sie versprechen.

    Zitat von Wolf B.

    THUNDERBIRD / ENIGMAIL verschlüsselt neuerdings sehr wohl unautorisiert.

    Ich bin der Meinung, man sollte mit solchen allgemeinen Formulierung etwas zurückhaltend sein. Voreilige "Schuldzuweisungen" sind so einfach und schnell getroffen.

    Ich kann das Problem zum Beispiel gar nicht reproduzieren. In meinem Fall wird keine E-Mail unautorisiert verschlüsselt. Weder mit der Version 1.9 noch mit der aktuellen 2.0.4, weder mit PGP noch mit S/MIME.

    Das deutet aus meiner Sicht eher auf eine falsche Konfiguration als auf ein generelles Problem mit Thunderbird/Enigmail hin.

    Relevante Einstellungen finden sich sowohl unter Enigmail als auch in den Optionen des jeweiligen Kontos.

    Hallo Solaris,

    Zurückhaltung ist dann aber bitte auch bei der Skepsis angebracht, ich jedenfalls hatte das Problem auch:

    Bei mir hat der TB dieser Tage auch eine Mail an zwei Empfänger verschlüsselt verschickt (Weiterleitung einer unverschlüsselt empfangene InfoMail bezüglich DSGVO), obwohl ich die Verschlüsselung explizit deaktiviert hatte. Das ging dreimal (hatte einen der Empfänger Mailpartner derweil am Telefon für unmittelbare Rückmeldung), dann hatte ich die Faxen dicke und habe das AddOn EnigMail deaktiviert. Erst dann ließ sich ich die Mail wirklich unverschlüsselt versenden und der Empfänger konnte den Inhalt lesen.

    MfG

    Drachen

    Bleiben wir mal bei dem, was sich sachlich feststellen lässt. Ich habe gerade gemeinsam mit zwei Freunden einige Tests gefahren. Zum Einsatz kamen Thunderbird 52.7 mit Enigmail 2.0.4. Die Versionen des GnuPG unterscheiden sich. In meinem Fall ist es GnuPG 2.0.22.

    Bei keinem von uns konnte das Problem, so wie es hier beschrieben wurde, reproduziert werden. Nicht unter Windows 10, nicht auf High Sierra, nicht unter Ubuntu 14.04. Weder beim Erstellen, noch beim Weiterleiten oder Antworten. Nicht mit S/MIME und auch nicht mit GnuPG.

    Selbst wenn Einstellungen zum automatischen Verschlüsseln vorgenommen wurden, konnte die Verschlüsselung manuell deaktiviert werden.

    Aus Zeitmangel haben wir nicht voll umfänglich getestet. Das Ergebnis lässt aber den Schluss zu, dass das geschilderte Problem nicht allgemeingültig sein kann. Es muss einen Unterschied zwischen den in unseren Tests verwendeten Setups und den hier geschilderten Problemfällen geben.

    Dieser Unterschied muss nicht zwingend in der Konfiguration begründet sein. Die Indizien deuten aber in diese Richtung.

    Ich weise nochmals darauf hin, dass es neben den Einstellungen in Enigmail auch kontenspezifische Einstellungen gibt, die hier relevant sind.

    THUNDERBIRD 52.8.0 (32 Bit) auf Win 10 pro (64 Bit)

    ENIGMAIL 2.0.4

    GnuPG 2.2.4

    Welche über die von mir am 27.06. genannten Einstellungen gibt es noch, die relevant sein könnten?

    Ich meine, dass diese Einstellungen primär der Verschlüsselung beim senden dienen - aber nicht zwingende Voreinstellung für neu generierte eMails sein dürfen oder Entwürfen verschlüsseln sollten.

    Und sobald ich erzwungenermaßen im Entwurf die Verschlüsselung deaktiviert habe, darf sie weder beim turnusmäßigen sichern noch später beim senden automatisch reaktiviert werden!

    Zugegeben: Die ENIGMAIL-Einstellung "verschlüsseln, wenn möglich" und die Kontoeinstellung "nie verschlüsseln" von THUNDERBIRD scheinen sich zu widersprechen. Wer ist hier Master und wer COMMANDER?

    Egal: Wenn ich in der Nanosekunde vor dem Senden final entscheide "nicht verschlüsseln", hat das System meinen Anweisungen zu folgen und nicht seinen Willen durchzusetzen.

    Ich werde also versuchsweise umstellen auf Bestätigung vor dem verschlüsselten senden.

    Einmal editiert, zuletzt von Wolf B. (21. Mai 2018 um 12:24)

    Hallo,

    Zitat von Solaris
    Das Ergebnis lässt aber den Schluss zu, dass das geschilderte Problem nicht allgemeingültig sein kann.

    Derartiges hat m.E. auch niemand ernsthaft behauptet und ich lese das auch nicht aus dem selbtredend subjektiv geprägten Beitrag von Wolf B. heraus.

    Zitat von Solaris
    Es muss einen Unterschied zwischen den in unseren Tests verwendeten Setups und den hier geschilderten Problemfällen geben.

    Dem stimme ich zu.

    MfG
    Drachen

    Zitat von Wolf B.

    Welche über die von mir am 27.06. genannten Einstellungen gibt es noch, die relevant sein könnten?

    Wie erwähnt gibt es mehrere Stellen, an denen sich diese Einstellungen vornehmen lassen. Bisher nicht erwähnt hatte ich die Empfängerregeln.

    Ich habe einige Stunden für das Testen investiert. Bei mir und meinen beiden Testpartnern verhält sich Enigmail völlig korrekt. Ich habe nicht ausprobiert, welche der Einstellungen gegenüber anderen Vorrang hat.

    Ich bitte um Verständnis, dass keine weitere Zeit investieren möchte, um alle Kombinationen an Einstellungen aufzulisten oder meine funktionierende Konfiguration solange zu verändern, bis ich ein ähnliches Verhalten beobachten kann. Schon gar nicht möchte ich mich mit unnötigen Kommentaren wie in Beitrag #18 beschäftigen.

    Sinnvoller wäre es doch ohnehin, wenn Betroffene diese Tests selbst durchführen. Das wäre meines Erachtens in jedem Fall zielführender.

    Zitat von Solaris

    Wie erwähnt gibt es mehrere Stellen, an denen sich diese Einstellungen vornehmen lassen. Bisher nicht erwähnt hatte ich die Empfängerregeln.

    Empfängerregeln verwende ich bis dato nicht.

    Zitat

    Ich bitte um Verständnis, dass keine weitere Zeit investieren möchte

    Du könntest wenigstens die Einstellungen posten, mit denen das Fehlverhalten bei Dir nicht auftritt. Damit wäre mir vielleicht geholfen.

    Zitat

    Sinnvoller wäre es doch ohnehin, wenn Betroffene diese Tests selbst durchführen. Das wäre meines Erachtens in jedem Fall zielführender.

    Meinst Du, das hätte ich nicht getan und täte es nicht weiter? Dann hätte ich die mich hier nicht zu Wort gemeldet!

    • Ich hatte beim System von Win 10 pro 64 Bit / THUNDERBIRD / ENIGMAIL / GnuPG ein Verhalten festgestellt, das nicht dem von mir gewollten entspricht und mit gesundem Menschenverstand nicht erklärbar zu sein scheint.
    • Ich habe geprüft, ob eigene (Fehl-)Bedienung oder eigene (Fehl-)Einstellungen die Ursache sein könnten.
    • Ich habe sodann veränderte Einstellungen getestet, ohne ein befriedigendes, sinnvolles und logisch erklärbares Ergebnis zu erzielen.
    • Ich lese hier bestätigend, dass andere User ähnliche Beobachtungen machen.

    Ich nehme zur Kenntnis, dass Du das Verhalten trotz einigem Aufwand nicht nachvollziehen kannst.

    Mir ist damit nicht geholfen - also tüftle ich weiter ohne richtungweisende Tipps.