Muss ständig Ausnahmeregel für Zertifikarte zufügen

    • Thunderbird-Version: Windows 11: 115.11.0 (64-Bit), Linux: keine Ahnung, boote jetzt nicht ins Linux um nachzuschauen. ;)
    • Betriebssystem + Version: Win 11 & Linux Mint 21
    • Kontenart: IMAP
    • Postfachanbieter: eigene Domains
    • Eingesetzte Antivirensoftware: Windows 11: avira, Linux Mint: keine
    • Firewall: jeweils interne
    • Router-Modellbezeichnung (bei Sende-Problemen): -


    Moin,

    wie im Titel erwähnt, muss ich in regelmäßigen Abständen Ausnahmeregeln für Zertifikate bestätigen, obwohl sich sonst nichts ändert. Sowohll beim Senden als auch beim Empfangen der Mails. Es handelt sich um meine eigenen Domains. Manchmal dauert es Tage bis eMails ankommen, da, meine Vermutung, die Zertifikate erst auslaufen müssen (?) und erst ab erneuter Bestätigung die eMails runtergeladen werden.

    Aktuelles Beispiel: bei einem meiner Postfächer ist die letzte runtergeladene eMail von 15. Mai, also vor vier Tagen. Ich bekomme die neuen eMails aber trotzdem sowohl auf dem Handy, mit gMail-App, als auch über die eMail-Weboberfläche meines Domain-Anbieters. Nur TB weigert sich die eMails runterzuladen. Ich habe sechs Postfächer und es nervt nur noch.

    Kann man diese Überprüfung irgendwie deaktivieren und wenn ja, wäre ein Sicherheitsrisiko, wenn es sich dabei um die eigenen Domains handelt?

  • Thunder 19. Mai 2024 um 12:12

    Hat das Thema freigeschaltet.

    Ja, in Linux auch das gleiche Problem.

    Als ich den Rechner mit Windows 11 neu hatte, hatte ich eine Zeit lang vergessen Avira zu installieren. TB verhielt sich gleich. Eigentlich ist das schon seit Jahren. Meine älteste Domain habe ich seit 2002 und seit dem ich TB benutze ist das mit den Zertifikaten so. Also auch schon einige Jährchen mit den verschiedensten OS- und Anitivirussoftware-Versionen.

    Zitat von PierreDole

    • Postfachanbieter: eigene Domains

    Was genau soll das heißen? Viele hier haben ebenfalls eine oder gar mehrere eigene Domains. Allerdings haben sie auch oftmals einen Postfachanbieter, wie bspw. GMX oder T-Online.

    Zitat von PierreDole

    [...]
    Ich bekomme die neuen eMails aber trotzdem sowohl auf dem Handy, mit gMail-App, als auch über die eMail-Weboberfläche meines Domain-Anbieters.

    Wer genau ist jener Domain-Anbieter?

    Gruß ThoBa
    Newsgroup (nntps):
    <news:de.comm.software.mozilla.mailnews>

    Schaut doch einfach mal rein! :bindafuer:

    Sorry, aber ich glaube nicht. Denn SSL Zertifikate musste ich nur für meine Domains einmalig machen, als sie letztes Jahr auf Plesk umgestiegen sind. So wurde es mir auch damals von Seiten der Admins kommuniziert.

    Davor verhielt sich TB genauso. Und wie gesagt, über die GMail App funktioniert alles. Ich möchte nicht in den Zertifikaten meiner Domains runwursten, dafür kenne ich mich damit zu wenig aus. Ich möchte in TB einstellen, daß diese Ausnahmebestätigungen nicht mehr kommen.

    Wie gesagt, das Problem ist nicht damit zu lösen. Ich habe gar keine Möglichkeit SSL-Zertifikate für Subdomains, wie z.B. imap.domainname.de, zu erstellen, also speziell nur für eMails, sondern nur für die Domain an sich. Diese Zertifikate sind aktuell, das wird mir auch so angezeigt. Und solange sie aktuell sind, fasse ich sie nicht an.


    Von daher, nochmal meine Frage: kann man diese Überprüfung irgendwie in TB ausschalten?

    Ich weiß nicht warum TB den Zertifikaten misstraut, google aber nicht. In das Thema Zertifikate habe ich mich nicht eingelesen. Ich frage mich aber, was kann passieren, wenn ich mit falschen/ungültigen Zertifikaten eine Verbindung zu meinem Webhoster aufbaue? Wenn das keine Lücke für einen man in the middle schafft, kann es eigentlich egal sein?

    Screenshot würde ich gerne machen, aber ich kann die Abfrage nicht per Hand reproduzieren. Muss warten, bis sie von alleine kommt.

    Mir ist aber noch etwas eingefallen, was ich füllig vergessen habe. Ich kann theoretisch für meine Mail-Konten als Server sowohl die imap Subdomain meiner Domain verwenden oder direkt den Mail-Server nehmen.

    IMAP, POP und SMTP Daten - FAQ - Prosite

    Ich schätze mal, imap.meinedomain.de ist einfach nur ein redirect auf imap.worldserver.net. Das könnte vielleicht den Kuddelmuddel mit den Zertifikaten erklären.

    "Theoretisch" deswegen, da ich es nie geschafft habe eine Verbindung zu der worldserver-Adresse aufzubauen. Jedes Mal, als ich ein OS neuinstalliert oder einen neuen Rechner gekauft habe und meine Mail-Konten einrichten musste, war das ein Ratespiel. Die richtige Kombination aus Ports, Verschlüsselung, etc, artete immer in einer tail and error Orgie aus.

    Kurz gesagt: wenn ich die Daten von der Hoster-Homepage nehme, bekomme ich keine Verbindung. Wenn ich es schaffe die richtige Kombination für eine Verbindung über meine Domain zu finden und nur imap.meinedomain.de mit imap.worldserver.net ersetze und den Rest so belasse, bekomme ich keine Verbindung.

    Zitat von PierreDole

    Wenn das keine Lücke für einen man in the middle schafft, kann es eigentlich egal sein?

    Genau das tut es, wenn du die Überprüfung der Zertifikate abschaltest.

    Zitat von PierreDole

    Ich kann theoretisch für meine Mail-Konten als Server sowohl die imap Subdomain meiner Domain verwenden oder direkt den Mail-Server nehmen.

    Das würde es erklären, das die Zertifikate inkorrekt sind. Nämlich wenn die Zertifikate auf worldserver.net lauten sollten, der Server aber deinedomain.de heißt.

    Zitat von PierreDole

    Screenshot würde ich gerne machen

    Schau mal in den Einstellungen unter 'Datenschutz und Sicherheit', ziemlich weit unten unter 'Zertifikate' und dort 'Zertifikate verwalten'. Vielleicht findest du dort deine Zertifikate, aber ich kann nicht sagen, unter welchem Karteireiter.

    Hatte eben das "Glück", daß beim Senden einer Mail wieder die Abfrage nach dem Zertifikat kam.


    Habe dann auf Zertifikat herunterladen geklickt. Es schlug fehl, wie immer.


    Habe dann den Vorgang abgebrochen und nochmal versucht zu senden. Dieses Mal klickte ich auf Ansehen.


    Die Annahmen waren richtig. Das Zertifikat ist für worldserver.net.

    hallo,

    ...ich bin jetzt nicht der zertifkats-profi, haette aber mal ein paar fragen dazu (man lernt ja bekanntlich nie aus...) :

    1 - kann es sein, dass die info im ersten fenster einfach nur ueberlesen wurde ? da steht doch -korrigiert mich bitte- recht eindeutig der grund fuer die problematik : Falsche Website

    2 - ich *vermute* jetzt mal, dass das bild von deinem eigenen zertifkat stammt, nicht nur weil du die domain geschwaerzt hast ;) , sondern vor allem deshalb, weil da der port 587 angegeben ist...

    meine frage dazu : wieso muss der port angegeben werden ? muss das so sein (vorgabe vom provider ?) - reicht da keine einfache domain validierung mit wildcard fuer die subdomains >> *.meinedomain.xy ?

    ich kenne den provider jetzt ueberhaupt gar nicht, aber sollten die ganzen kunden-sub-domains (= meinedomain.xy bzw. *.meinedomain.xy) (erst recht) bei einem mailpaket nicht als alias auf pop... / imap... / smtp.worldserver.net verweisen ?
    oder sehe / verstehe ich das vollkommen falsch ?

    viele gruesse, naYss


    edith :

    ...hab das gar nicht gefragt oben im text : was passiert eigentlich, wenn du ohne zertifkat deine mails abrufen willst ?
    funktioniert das dann mit / vie worldserver ?

    Wer rechtschreibfaehler fihndet, darff sie behallten !

    Einmal editiert, zuletzt von naYss (5. Juni 2024 um 15:38) aus folgendem Grund: edith hinzugefuegt, originaltext unveraendert

    Zitat von PierreDole

    Ich weiß nicht warum TB den Zertifikaten misstraut...

    ...

    Ich schätze mal, imap.meinedomain.de ist einfach nur ein redirect auf imap.worldserver.net. Das könnte vielleicht den Kuddelmuddel mit den Zertifikaten erklären.

    ...

    Zitat von ggbsde
    Zitat von naYss

    1 - kann es sein

    Dieser Punkt wurde bereits in Beitrag #14 geklärt.

    Der Rest trifft den Punkt nicht.

    ggbsde

    ...also versteh' mich bitte nicht falsch - ich will hier weder staenkern noch unfrieden stiften oder dergleichen... aber kann es sein, dass hier vielleicht vom themenstarter 2 dinge durcheinander gewuerfelt werden ? WENN ich es richtig verstanden habe, dann :

    ich meine : ein web-ssl-zertifikat ist nicht gleichzusetzen mir einem mailserver-ssl-zertifikat. das sollte nicht verwechselt werden...

    ich moechte mal versuchen, das in einfachen worten ausdruecken :
    ...wenn PierreDole ein zertifikat fuer den mailserver ausstellt (und so wie ich das erkennen kann, mit serverportangabe...), frage ich mich : wieso und wofuer ?
    fuer seine webseite (= [Web-] Domain) ist das fuer mich voellig klar nachvollziehbar. (abgesehen davon, dass die meisten hoster so oder so ein ssl zertifikat fuer eine (1) Web-Domain bereitstellen) - aber fuer den mailserver von worldserver.net ? das macht meines wissens der provider...


    ich denke, da ist der 'denkfehler' von pierredole, da er fuer den mail-server von worldserver.net gar kein zertifikat ausstellen lassen KANN, wohl aber fuer seine webseite.

    also einfach mal die auf seine domain registrierte vollstaendige postfachadresse nehmen als anmeldename und dann die bereitgestellten serverzugangsdaten vom provider nehmen - und schon sollte das klappen.

    oder habe ich das problem falsch verstanden ?

    viele gruesse, naYss

    Wer rechtschreibfaehler fihndet, darff sie behallten !