Problem mit SSL/TLS nach Update auf 78.0.1

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version (konkrete Versionsnummer):78.0.1
    • Wurde gerade auf eine neue Versionsreihe aktualisiert (alte und neue Version angeben):68.9.0 auf 78.0.1
    • Betriebssystem + Version:macOS Catalina (10.15.5)
    • Kontenart (POP / IMAP):IMAP
    • Postfach-Anbieter (z.B. GMX):selfHOST mit eigener Name-Domain
    • Eingesetzte Antiviren-Software:Bitdefender
    • Firewall (Betriebssystem-intern/Externe Software):nicht auf dem MacBook, nur im Router
    • Router-Modellbezeichnung (bei Sende-Problemen):Synology RT2600


    Hallo,


    ich habe folgendes Problem bei dem Update auf 78.0.1 entdeckt:


    Ich habe 3 Mailkonten, die ich schon mit alten TB-Versionen versende, alle grundsätzlich IMAP mit Verschlüsslung (SSL/TLS): ein bei web.de, ein Firmenkonto und ein Konto bei selHOST.de.


    Alles alt und lange bewährte.


    Bie dem Update auf 78.0.1 funktioniert plötzlich beim selfHOST-Konto der Abruf der Daten nicht mehr - sprich TB blieb beim Abruf hängen


    Nach diversen Tests kann ich als Ergebnis festhalten: wird SSL für IMAP eingesetzt (also Port 993) hängt es, ändere ich das auch "ohne Sicherheit" (also Port 143) klappt alles wieder.


    Funktioniert nicht:

    Funktioniert:


    Was habe ich getestet:

    - das Konto (auf verschiedene Art und Weise) eingerichtet, rein manuell und automatisch

    - ich habe andere Konten meiner .name-Domain probiert.

    - ich habe TB 68.10.0 geladen: hier lässt sich das Konto wie gewohnt einrichten und nutzen.

    - neben SSL/TLS habe ich aus StartTLS probiert, neben "Passwort normal" auch "Passwort verschlüsselt"

    - bei SMTP gibt es kein Problem, hier funktioniert SSL/TLS ohne Probleme


    "Ohne Sicherheit" ist natürlich kein Zustand und kann ich ja produktiv nicht nutzen; auf TB 68.10.0 würde ich nur zurückgehen, wenn es keine Möglichkeit gibt.


    Gibt es noch irgend eine Einstellung oder ein Protokoll, das ich nutzen könnte?


    Ich würde mich über eine hilfreiche Information freuen.


    Gruß

    demel

    • Best Answer

    Ich habe mir den Server im konkreten Fall nicht angeschaut, aber eine weitere mögliche Ursache: Thunderbird 78 unterstützt in der Standardkonfiguration ausschließlich TLS 1.2 oder neuer. Wenn der Server also noch die deutlich älteren Standards TLS 1.0 oder 1.1 oder gar SSL 3.0 einsetzt, kann der Server nicht mehr direkt mit Thunderbird genutzt werden. Leider gibt es dazu aber keine individuellen Fehlermeldungen, daher sind diese Probleme schwer zu erkennen.


    Saubere Lösung: bitte den Provider, die dafür notwendigen Sicherheitsupdates auf seinem Server einzuspielen. Dann sollte Thunderbird wieder wie gewohnt funktionieren.


    Unsaubere Kurzzeit-Lösung mit massiven Sicherheitsimplikationen: informiere dich über die Probleme mit der besten vom Server unterstützten TLS-Version. Wenn du alle Nachteile dieser Versionen für alle Verbindungen und mit allen Servern akzeptierst, kannst du in about:config das Feld 'security.tls.version.min' auf einen kleineren Wert stellen (iirc '1' für TLS 1.0, '2' für TLS 1.1). Schreibe dir deine Änderung irgendwo auf und mache sie sofort rückgängig, sobald der Provider eine aktuellere TLS-Version unterstützt oder du den Provider gewechselt hast.

  • Laut den Support-Seiten bei selfhost.de soll es ja eigentlich sogar nur mit SSL gehen, wenn man deren Text wörtlich nimmt. Wähle also bitte nochmal "SSL/TLS" mit Port 993 für die Verbindungssicherheit aus. Für das Passwort probiere dann bitte nochmal beide Varianten "Passwort, normal" und "Verschlüsseltes Passwort".

  • Keine Ahnung, was Du genau für Produkte im Zusammenspiel mit Selfhost verwendest, aber vielleicht müsstest Du auch Deine eigene Domain als Server-Adresse verwenden? So wird das zumindest hier angegeben: https://selfhost.de/cgi-bin/selfhost?p=faq&show=185

    • Best Answer

    Ich habe mir den Server im konkreten Fall nicht angeschaut, aber eine weitere mögliche Ursache: Thunderbird 78 unterstützt in der Standardkonfiguration ausschließlich TLS 1.2 oder neuer. Wenn der Server also noch die deutlich älteren Standards TLS 1.0 oder 1.1 oder gar SSL 3.0 einsetzt, kann der Server nicht mehr direkt mit Thunderbird genutzt werden. Leider gibt es dazu aber keine individuellen Fehlermeldungen, daher sind diese Probleme schwer zu erkennen.


    Saubere Lösung: bitte den Provider, die dafür notwendigen Sicherheitsupdates auf seinem Server einzuspielen. Dann sollte Thunderbird wieder wie gewohnt funktionieren.


    Unsaubere Kurzzeit-Lösung mit massiven Sicherheitsimplikationen: informiere dich über die Probleme mit der besten vom Server unterstützten TLS-Version. Wenn du alle Nachteile dieser Versionen für alle Verbindungen und mit allen Servern akzeptierst, kannst du in about:config das Feld 'security.tls.version.min' auf einen kleineren Wert stellen (iirc '1' für TLS 1.0, '2' für TLS 1.1). Schreibe dir deine Änderung irgendwo auf und mache sie sofort rückgängig, sobald der Provider eine aktuellere TLS-Version unterstützt oder du den Provider gewechselt hast.

  • Ich habe mir den Server im konkreten Fall nicht angeschaut, aber eine weitere mögliche Ursache: Thunderbird 78 unterstützt in der Standardkonfiguration ausschließlich TLS 1.2. Wenn der Server also noch die deutlich älteren Standards TLS 1.0 oder 1.1 oder gar SSL 3.0 einsetzt, kann der Server nicht mehr direkt mit Thunderbird genutzt werden. Leider gibt es dazu aber keine individuellen Fehlermeldungen, daher sind diese Probleme schwer zu erkennen.


    Saubere Lösung: bitte den Provider, die dafür notwendigen Sicherheitsupdates auf seinem Server einzuspielen. Dann sollte Thunderbird wieder wie gewohnt funktionieren.


    Unsaubere Kurzzeit-Lösung mit massiven Sicherheitsimplikationen: informiere dich über die Probleme mit der besten vom Server unterstützten TLS-Version. Wenn Du alle Nachteile dieser Versionen für alle Verbindungen und mit allen Servern akzeptierst, kannst du in about:config das Feld 'security.tls.version.min' auf einen kleineren Wert stellen (iirc '1' für TLS 1.0, '2' für TLS 1.1). Schreibe dir deine Änderung irgendwo auf und mache sie sofort rückgängig, sobald der Provider eine aktuellere TLS-Version unterstützt oder du den Provider gewechselt hast.

    Daran hatte ich noch gar nicht gedacht. Zumindest könnte man dies probeweise kurzzeitig ausprobieren. Wenn es Abhilfe schafft, dann hat man mehr oder minder eine Bestätigung des Sachverhalts.

  • Danke generalsync , das passt in der Tat ganz gut zu einigen ansonsten unerklärlichen Verbindungsproblemen mit Thunderbird 78.x, die jüngst hier im Forum publik werden. Insbesondere auch dann, wenn einige Mailkonten funktionieren, andere aber nicht (je nach Provider). Falls es im Einzelfall die Option zurück zu TB68.x gibt und es dann wieder wie gewohnt mit dem fraglichen Konto funktioniert, passt auch das gut ins Bild.


    Gruß

    Sehvornix

    Halo,


    vielen Dank für die Antworten. Ich habe bereits mit dem Service von selfHost Kontakt aufgenommen und werde mal schauen, was da raus kommt.

    Es geht, wenn ich - von von generalsync geschrieben - "security.tls.version.min=1" setze. Es handelt sich also ganz offensichtlich um die veraltetet TLS-Version.


    Danke

    demel

    Hallo,


    ich hatte zügig die Rückmeldung von selfHOST, das es - wie vermutet - an der veralteten TLS-Version liegt und wurde dann ruckzuck von dem alten auf einen neuen Mailserver umgezogen.


    Nun läuft es wieder mit security.tls.version.min=3


    Vielen Dank für die Hilfe

    demel

  • Hallo Zusammen,

    ich habe ein ziemlich ähnliches Problem: Ich habe einen eigenen kleinen Heimserver. Zertifikate werden dadrauf automatisch erzeugt, der Name stimmt also nicht und vermutlich ist die TLS Version auch alt. Läuft aber alles nur im LAN, also halb so wild.

    Der Trick mit der TLS Version hat nicht funktioniert.


    TB 68 und älter haben mich beim einrichten gefragt "Ausnahme einrichten?", hab ich dann mit "JA" beantwortet und dann ging es. Ein Rechner der von TB68 auf 78 aktualisiert wurde läuft auch noch. Ich bekomme aber auf einem neuen Rechner mit TB78 zum zu verrecken das Konto nicht mehr eingerichtet.

    Habe mal das Root-Zert installiert, habe versucht selbst eine Ausnahme einzupflegen - geht nicht. Nur für 443 aber nicht für die anderen Ports.


    Das automatische Erkennen der Einstellungen funktioniert noch, wenn ich auf weiter klicke kommt oben erwähnte Fehlermeldung "Anmeldung auf dem Server fehlgeschlagen...."


    Ich finde das ja sinnvoll, dass TB einen davor bewahren will unsichere Konfigurationen zu basteln, aber an irgendeinem Punkt würde ich gerne sagen "Ja, ich weiss, mach trotzdem!"


    Jemand noch eine Idee?


    Gruß & Dank

    Michael