S/MIME signierte eMails werden von Outlook2016 nicht korrekt verifiziert

    • Thunderbird-Version (91.3.1)

    • SMTP / IMAP

    • S/MIME Signatur mit gültigen Zertifikat

    Moin zusammen,

    ich hatte ein Problem mit S/MIME signierten eMails in Verbindung mit Outlook2016 möglicherweise auch Outlook2019 oder Outlook2021.

    Dieses Problem habe ich für mich schon gelöst, möchte es aber mit Euch teilen und gerne Eure Meinung dazu hören.

    Ich hatte in letzter Zeit den Effekt, dass eMails mit Anhang , die ich digital per SMIME signiert habe von Outlook2016 nicht als gültig verifiziert werden konnten. Thunderbird selbst verifiziert die Signatur tadellos. Weitere Tests ergaben, dass auch OpenSSL an der Kommandozeile die eMail verifizierte. Auch die Groupwarelösung eGroupware zeigte alles korrekt an.

    Lediglich Outlook2016 meinte ,es gäbe „Probleme mit der Signatur“ und „Der Nachrichteninhalt wurde möglicherweise verändert“

    „Ok, ganz klar“ dachte ich „das muss ein Bug in Outlook sein“. :/

    Da das Problem aber erst seit kurzem besteht und mit Thunderbird 78 noch nicht aufgetreten war, habe ich weiter geforscht und folgendes herausgefunden:

    Alle signierten eMails und Anhang, die ich mit Thunderbird 85.0b3 oder kleiner verschickt habe wurden von Outlook2016 als gültig verifiziert.

    Alle signierten eMails+Anhang die mit Thunderbird 86.0b1 oder größer verschickt wurden, konnten von Outlook2016 nicht als gültig verifiziert werden.

    Nun sah ich mir die Releasenotes der Version 86.0b1 an und fand folgendes:

    „Thunderbird 86.0b1 is using a new implementation of the message sending code that is easier to maintain and more flexible. As with any major change, bugs are bound to happen. The old behavior can be restored by setting the pref "mailnews.send.jsmodule" to false. “

    Lange Rede , kurzer Sinn. Wenn ich in meinem aktuellen Thunderbird 91.3.1 das Setting mailnews.send.jsmodule auf false setze und Thunderbird ein mal neu starte, werden damit verschickte, signierte eMails wieder korrekt von Outlook2016 verifiziert.

    Ich hoffe das war jetzt nicht zu viel Text. Mich würde nun interessieren, ob jemand diesen Effekt auch bemerkt hat und wie dieser Effekt einzustufen ist.

    Ist es ein Bug in Thunderbird,der sich in die Version 86.0b1 eingeschlichten hat oder einer in Outlook2016 ?

    Vielen Dank für Eure Aufmerksamkeit.

    Gruß

    Marc

  • graba 17. November 2021 um 13:04

    Hat das Thema freigeschaltet.

    Moin,

    vielen Dank erstmal für Deine Mühe.

    Betterbird war mir bis dato noch nicht bekannt, doch nun hab ich es mal installiert.

    Aber auch damit mäkelt Outlook an der Signatur.

    Das tritt aber nur auf, wenn die eMail ein Attachment hat. Das hatte ich in meinem ersten Post nicht direkt gesagt. Sorry.

    Eine eMail ohne Anhang wird richtig verifiziert.

    Es ist schon manchmal echt seltsam.

    Gruß

    Marc

    Ja, der Button ist aktiv. Das Zertifikat ist gültig, ausgestellt von Deutschen Forschungsnetz.

    Sobalt ich den Parameter mailnews.send.jsmodule auf false setze und die email schicke, zeigt Outlook sie ja auch korrekt an ohne zu murren.

    Wenn ich mir zwei eMails ansehe, die ich mit dem selben Inhalt aus Betterbird heraus geschickt habe, einmal mit dem Parameter mailnews.send.jsmodule = true und einmal = false erkenne ich kaum signifikante Unterschiede.

    mailnews.send.jsmodule = true, verifiziert durch Betterbird,OpenSSL ; nicht verifiziert durch Outlook2016

    mailnews.send.jsmodule = false, verifiziert durch Betterbird,OpenSSL und Outlook2016

    Ich habe zunächst gedacht, Outlook würde aus irgendeinem Grund einen anderen Hash ermitteln als Thunder-/Betterbird,doch:

    Code
    # openssl smime  -verify -in /var/spool/cyrus/mail/user/brueckner/236404. | openssl sha256
Verification successful
(stdin)= 738145d22eeb171ec1c002ac65efb99a9ce055b686a5687f8e03c420bf597673

    Code
    # openssl smime  -verify -in /var/spool/cyrus/mail/user/brueckner/236406. | openssl sha256
Verification successful
(stdin)= d400d193cbf59ffd5f40cb9ef9130ca56ebbaebb051f4567b951bda8e7f9b8bd

    Ich würde es gerne verstehen. :wall:

    Zitat von Marc Brueckner

    Ich würde es gerne verstehen.

    Würde ich auch gern. Dass der Hash selbst ein anderer ist, erklärt sich durch die minimalen Unterschiede. Das ist ok, denn das soll der Hash ja gerade leisten. Für den Rest habe ich keine Erklärung.

    Immerhin, eine neue Erkenntnis habe ich. Mir ist aufgefallen, dass deine Mail einen Anhang hat. Also habe ich das nun auch mit Anhang getestet, und siehe da, Outlook zeigt die Signatur als ungültig an. Dann nochmal ohne Anhang, schon ist die Signatur wieder gültig.

    Ich halte das für einen Bug. Ich denke, das solltest du melden.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Einmal editiert, zuletzt von Susi to visit (18. November 2021 um 16:06)

    Hi,

    ich hatte mir neulich auch so eine DFN Signatur über die Hochschule auf mich ausstellen lassen und in TB eingebunden. Daraufhin meckerten die Outlook Nutzer in unserem Dekanat, dass meine Signatur nicht stimmen würde.

    Mit euren Infos kommt man da dem wohl auf die Schliche. Ich werde auch mal auf den alten Sendealgorithmus umstellen. Mal sehen was die Damen aus dem Dekanat da sagen.

    Allerdings hatte ich bisher nicht den Eindruck, dass ich Anhänge hatte. Klar die entstehen natürlich auch unbewusst schon allein dadurch dass man die mails oft sowohl als Text und als html verschickt.

    Ich probier das mal aus und werde mich melden wie das Feedback von den Outlook Nutzern ist.

    Viele Grüße

    Axel

    Hallo Axel,

    ich habe es zwar bisher nur mit einem Zertifikat von DFN getestet aber ich graube wirklich nicht, dass es an dem Zertifikat liegt.

    Es sei denn Susi to visit hat auch mit einem DFN Zertifikat getestet.

    In dem Fall müsste man es nochmal mit einer Alternative probieren.

    Gruß

    Marc

    Hallo Guten Abend,

    also bei mir hat das Setzen von "mailnews.send.jsmodule" auf false auch den gewünschten Erfolg gebracht. Die Kollegin hat das vorhin von ihrem Outlook bestätigt. Bisher hatte sie das immer bemängelt.

    Dass das ein allgemeiner Fehler ist und nicht mit dem DFN zu tun hat ist mir auch klar. Das war nur der lustige Zufall, das wir beide ein DFN Zertifkat haben.

    Marc, würdest du da bei TB-Mozilla ein Bug-Ticket aufmachen?

    Verrückt ist ja, dass der TB die gesendete mail untereinander als ordentlich signiert und unverändert akzeptiert, das Outlook aber offenbar nicht. Das würde ja m.E. auch darauf hindeuten, dass Thunderbird weniger scharf die Signatur und die Echtheit der email prüft als Outlook.

    Viele Grüße

    Axel

    Ich habe gerade herausgefunden dass es bereits ein Ticket dazu gibt:

    1731529 - Invalid S/MIME signature shown by Outlook - the signature is valid (according to RFC), but Outlook think's not because Thunderbird 91 added a trailing newline before generating the signature.
    NEW (nobody) in MailNews Core - Security: S/MIME. Last updated 2021-11-19.
    bugzilla.mozilla.org

    In diesem Tread habe ich nun auch etwas reingeschieben in der Hoffnung dass es hilft den Fehler zu lokalosieren.

    Zitat von ratschi

    Das würde ja m.E. auch darauf hindeuten, dass Thunderbird weniger scharf die Signatur und die Echtheit der email prüft als Outlook.

    Dieser Schluss ist nicht richtig. Es gibt hier kein scharf oder schärfer. Es gibt nur echt oder nicht echt. Dazwischen gibt es nichts. Die Signatur beruht darauf, dass der Hash eines bestimmten Inhalts gebildet wird. Dieser Hash stimmt nun entweder beim Sender und beim Empfänger überein oder nicht. Wenn der Empfänger einen anderen Hashwert erhält, als er sein sollte, kann das verschiedenen Ursachen haben.

    • Nachträglich veränderter Inhalt (deshalb macht man das ja).
    • Anderer Umfang dessen, worüber der Hash erzeugt wurde. Ein theoretisches, konstruiertes Beispiel wäre, wenn Outlook den Anhang gar nicht mit hashen würde. Oder den vorher von Base64 umwandelt. Wie gesagt, rein konstruiert.
    • Der Empfänger kommt erst gar nicht an den Hash ran, weil der Schlüssel nicht passt. Das wäre z.B. bei einer gefälschten Identität der Fall.
    • Ein Fehler oder eine Abweichung von den Specs bei einem der beteiligten Programme.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Hi super,

    in der neuen TB 91.3.2 von heute morgen ist das aber wohl noch nicht eingeflossen. steht jedenfalls nicht im log der gefixten Bugs. Probieren kann ich noch nicht.

    Wäre toll, wenn TB das in den Griff bekommt. Ist zwar eigentlich ein MS-Outlook Problem, aber darauf sollten man bei TB nicht vertrauen, dass MS das bei Outlook ändern wird zumal das noch Jahre dauern würde, bis es bei allen ankommt.

    Axel

    Zitat von ratschi

    Wäre toll, wenn TB das in den Griff bekommt.

    Früher oder später werden sie das. Bis dahin ist es auch nicht so schlimm. Sofern man weiß, dass mailnews.send.jsmodule auf false das Problem löst. Dumm ist nur, dass man das als normaler Anwender evtl. nicht mitbekommt.

    Eigentlich müssten ja die Outlook-Nutzer Dampf bei MS machen. Der Fix kommt dann in Outlook 2026. ;)

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Hi in die Runde,

    ist das o.g. Problem nun eigentlich behoben worden in der neuen Version 91.4.0 oder müssen wir die Einstellung mailnews.send.jsmodule weiterhin auf false lassen, damit unsere signierten emails auch bei outlook Nutzern ankommen.

    In der Liste der gefixten Bugs in 91.4.0 war das Problem m.E. nicht aufgeführt.

    Viele Grüße

    Axel