Beiträge von pierre.bernhardt

So, ich habe eine nicht sehr elegante aber immerhin eine Lösung gefunden die erst mal hilft:

Ich erlaube allen Usern per AppArmor auf /home/firefox/Downloads/* per rw zuzugreifen.
Die ACL selber begrenzen dann den Zugriff so dass nur firefox- und thunderbird-User darauf zugreifen können sollten.

Dazu habe ich in

/etc/apparmor.d/usr.bin.thunderbird

den letzten Eintrag aktiviert der weitere Regeln aus der

/etc/apparmor.d/local/usr.bin.thunderbird
einliest und in dieser diese Zeile hinzugefügt

/home/firefox/{Downloads,Documents}/* rw,

Ich würde das gerne auf den User thunderbird beschränken aber weiss jetzt nicht wie man userspezifische Regeln definiert. Eigentlich wäre es toll der user firefox kann für seine eigenen Verzeichnisse eigene AppAmor Regeln ergänzen.

Hat jemand einen besseren Vorschlag?

Ich stelle gerade fest das nicht mal read Rechte auf other helfen. Der owner muss thunderbird sein.

Als ich dann weiter nachgesehen habe konnte ich den Schuldigen ausfindig machen:

apparmor.

Ich habe keine Ahnung wann und wie das da rauf gekommen ist. Aber es scheint daran zu liegen, da ich in den audit logs passende Meldungen gefunden habe.

[2729128.947389] audit: type=1400 audit(1682681087.843:14943): apparmor="DENIED" operation="open" profile="thunderbird" name="/home/firefox/Downloads/testfile" pid=23128 comm="thunderbird-bin" requested_mask="r" denied_mask="r" fsuid=1004 ouid=1003
[2729131.031841] audit: type=1400 audit(1682681089.927:14944): apparmor="DENIED" operation="open" profile="thunderbird" name="/home/firefox/Downloads/testfile" pid=23128 comm=53747265616D547E73202331333538 requested_mask="r" denied_mask="r" fsuid=1004 ouid=1003

Ich muss mal nachsehen wie ich das behebe.

Hallo,

schon länger nervt es mich das TB keine Dateien zum Anhängen mehr akzeptiert die nicht auch normalen Lesezugriff haben.

Ich nutze Debian Linux Buster 10.13 mit TB 102.10.0-1~deb10u1 derzeit aber das Problem existiert schon mindestens seit Version 92.

Irgendwann in älteren Versionen ging es noch ohne Probleme.

Hintergrund:

Ich benutze verschiedene Accounts auf dem gleichen PC für diverse Dinge. So verwende ich meinen FF unter einem eigenen Account mittel X-Umleitung.

Die Dateien die ich da dann speichere sind natürlich erst mal mit den normalen POSIX-Rechten in dessen Downloadverzeichnis abgelegt. Allerdings habe ich auf dem Downloadsverzeichnis eine POSIX-ACL Regel angelegt, das mein TB Nutzer volle Rechte auf die Dateien und Unterverzeichnisse bekommt. Der TB Nutzer darf also alle Dateien lesen, schreiben und löschen.

firefox@host:/home/firefox/Downloads$ ls -ld .
firefox@host:/home/firefox/Downloads$ getfacl .

# file: .
# owner: firefox
# group: firefox
user::rwx
group::rwx
other::---
default:user::rwx
default:user:thunderbird:rwx
default:user:firefox:rwx
default:group::rwx
default:mask::rwx
default:other::---
firefox@host:~/Downloads$ ls -l testfile
ls: Zugriff auf 'testfile' nicht möglich: Datei oder Verzeichnis nicht gefunden
firefox@host:~/Downloads$ echo Test>testfile
firefox@host:~/Downloads$ ls -l testfile     
-rw-rw----+ 1 firefox firefox 5 Apr 28 13:04 testfile
firefox@host:~/Downloads$ getfacl testfile
# file: testfile
# owner: firefox
# group: firefox
user::rw-
user:thunderbird:rwx                 #effective:rw-
user:firefox:rwx                #effective:rw-
group::rwx                      #effective:rw-
mask::rw-
other::---
drwxrwx---+ 5 firefox firefox 4096 Apr 28 11:28 .

Nun mit dem TB Nutzer bei dem man sehen kann das die Datei vom tbnutzer zugreifbar ist:

thunderbird@host:~$ cd ~firefox/Downloads/
thunderbird@host:/home/firefox/Downloads$ ls -ld . 
drwxrwx---+ 5 firefox firefox 4096 Apr 28 11:28 .
thunderbird@host:/home/firefox/Downloads$ getfacl .
# file: .
# owner: firefox
# group: firefox
user::rwx
group::rwx
other::---
default:user::rwx
default:user:thunderbird:rwx
default:user:firefox:rwx
default:group::rwx
default:mask::rwx
default:other::---

thunderbird@host:/home/firefox/Downloads$
thunderbird@host:/home/firefox/Downloads$ 
thunderbird@host:/home/firefox/Downloads$ 
thunderbird@host:/home/firefox/Downloads$ ls -l testfile
-rw-rw----+ 1 firefox firefox 5 Apr 28 13:04 testfile
thunderbird@host:/home/firefox/Downloads$ getfacl testfile
# file: testfile
# owner: firefox
# group: firefox
user::rw-
user:thunderbird:rwx                 #effective:rw-
user:firefox:rwx                #effective:rw-
group::rwx                      #effective:rw-
mask::rw-
other::---

thunderbird@host:/home/firefox/Downloads$ cat testfile 
Test

Aber wenn ich dann mit dem vom TB Nutzer gestarteten TB die Datei in einer Mail angehängt und versenden möchte bekomme ich die Fehlermeldung:

Senden der Nachricht fehlgeschlagen.

Es gab einen Fehler beim Anhängen von testfile. Bitte überprüfen Sie, ob Sie ausreichende Zugriffsrechte auf die Datei besitzen.

Wenn ich aber dem other dann einfach zusätzlich die Rechte read gebe oder den Owner auf den tb Nutzer ändere dann lässt sich die Datei versenden. Das ist aber nicht in meinem Sinn denn dann macht zumindest für TB die ACL keinen Sinn. Wie geschrieben, das war nicht immer so.

Das sieht nach einem PreCheck bevor dann versicht wird die Datei zu laden. Vielleicht kennt jemand dann eine Möglichkeit diesen über die Konfiguration abzuschalten?

Ich halte das ansonsten für einen Fehler und würde einen Bug eröffnen. Gerne lese ich mir dann aber auch Meinungen dazu durch.
Wenn jemand ein gegenteiliges Verhalten beobachtet dann liegt es vielleicht doch nicht an TB. Dann wäre ein Hinweis schön.

MfG

Also,

ich konnte unter Lenny AMD64 mit Icedove 3.0.1 aus der Experimental das 64bit-Enigmail installieren. Es scheint sich dabei im ein Static-Binary zu handeln. Aber es gab dann die oben genannten Fehlermeldungen.
Die 64bit-Version habe ich von einer der Webseiten (ich meine) unter enigmail.mozilla.org oder ähnlich geladen.

Ich hatte dann die FAQ gefunden in der steht, dass der TB und das Enigmail mit den gleichen Ressourcen compiliert werden muss. Daher habe ich mich dann erst mal von Icedove verabschiedet.

Anschließend habe ich Thunderbird 3.0.1 Deutsch von http://www.mozilla.org herunter geladen. Nach dem ich dann die Probleme mit dem Profil gefunden hatte, konnte ich per Add-On-Menu direkt das dort angebotene Enigmail installieren. Sowohl TB als auch Enigmail sehen für mich hier nach 32Bit-Version aus.

Was aber nun an meinem Profil genau kaputt ist, dass Enigmail nicht lief, kann ich nicht sagen. Ich habe versucht das Problem mit einem Backup des Profils zu wiederholen. Das ist aber mehrfach fehl geschlagen :stupid:

Glücklicherweise konnte ich das Problem in einem meiner ersten Versuche ja beheben, so dass ich nun mit diesem Profil weiter arbeite. Im Moment scheint soweit alles zu funktionieren. Ich hoffe, dass es dabei bleibt.

Generell nutze ich GPG-Agent nicht. Daher kann, oder besser sollte es auch nicht laufen.

Mein Tip: Wenn es partout nicht klappt, mal ein neues zweites Profil in TB anlegen und clean dort den Enigmail installieren und testen. Hätte nur ein wenig eher darauf kommen sollen

Pierre

Hallo
im Nachhinein hat in meinem alten Profil geholfen mal alle anderen Plugins abzuschalten, dann nur mit Enigmail erfolgreich zu testen und dann alle wieder einzuschalten (bei mir nach und nach).
Danach hatte ich keine Probleme mehr :nixweiss:

Bis denn...
Pierre

So schnell kann es gehen. Nachdem ich ein neues Profil erzeugt habe und dort Enigmail erneut installiert hatte funktioniert es. Danke trotzdem.

Pierre

Hallo,

irgend eine Idee warum ich Enigmail nicht zum laufen bekomme? Ich habe auch das x86-64-Bit enigmail installiert

Hier die Consolenmeldung von TB 3.0.1 mit Enigmime 1.0.1:
2010-02-16 00:38:34.788 enigmail.js: Logging debug output to ~/enigdbug.txt
2010-02-16 00:38:34.802 enigmail.js: Enigmail version 1.0.1
2010-02-16 00:38:34.802 enigmail.js: OS/CPU=Linux i686 (x86_64)
2010-02-16 00:38:34.802 enigmail.js: Platform=X11
2010-02-16 00:38:34.802 enigmail.js: composeSecure=false
2010-02-16 00:38:34.803 enigmail.js: Enigmail.initialize: Error - Enigmime-Service nicht verf�gbar

System AMD64x2 mit Debian Lenny und ein paar Paketen aus testing und unstable.
Icedove aus der Experimental zeigt den gleichen Fehler bei dem Enigmime-x86-64 während sich die
angezeigte 63-Bit Version gar nicht installieren lässt.

Ich hoffe, Ihr könnt mir helfen.

MfG...
Pierre

Huhu,

Zitat von "Vic~"

Das verstehe ich nicht

Also ich bin weiterhin der Ansicht, daß es auch mit einem Card-Reader klappen muß!
Leider habe ich aus Zeitgründen das *.pdf* noch nicht "studiert" ~ werde es aber nachholen!

Die Karte selber kannst Du als Minirechner betrachten. Der Vorteil einer GPG-Card ist dabei, das die Karte die "Privaten Sachen" macht.

Im Idealfall wird der private key in der Karte erzeugt und bleibt auch dort. Er wird also nicht exportiert. Wenn nun auch noch die Tastatur meines Card 2 Readers benutzt werden könnte, dann würde nicht mal das Mantra im Rechner bekannt werden, was aber leider (noch) nicht geht.

Wenn nun also jemand auf deinem Rechner mithört/liest/sieht, dann kann er das Mantra von Deiner Tastatur abscannen und den Privatkey einfach von Deinem Memory-Stick kopieren. Damit hat er vollen Zugriff auf Deine verschlüsselte Kommunikation und kann Mails unterschreiben.

Wenn der Privatkey aber die GPG-Karte nicht verlassen kann, dann muss er physisch auf die Karte zugreifen: Er klaut Sie Dir z.B. und dann hätte er auch vollen Zugriff auf Deine Mails und Du nicht mehr.
Das ist schon mal eine viel höhere Hürde. Wenn dann endlich mal auch die Eingabe des Mantras per internen Tastatur am Kartenleser unterstützt wird, ja dann muss er Dir auch noch das Mantra rauspressen. Wenn er einfach ausprobiert, dann ist nach dem dritten mal Schluß, weil die Karte dann unbrauchbar wird.

Ok ok, jetzt habe ich ein wenig stark ausgeholt. Daher höre ich jetzt erst mal auf. Hier aber mal noch schnell ein paar Features, die hinten auf der Karte drauf stehen (unbewertet einfach abgetippt):

Software available under the GNU GPL
Compatible with OpenPGP standard
Compatible with the ISO 7816-4 and -8
RSA with 1024 bit minimum
Key generation on card (<20 seconds)
Hardware Random Number Gemerator
Key import functionality
Private data storage

Dabei ist das teuerste an der Ifrastruktur der Kartenleser. Wenn man auf die interne Tastatur verzichtet, dann werden diese aber um einiges günstiger. Ich habe übrigens zwei im Einsatz: Rainer SCT und einen SCM Microsystems. Funktionieren beide haben aber die gleichen Probleme.

Achso: Ich glaube auch, das das Problem mehr im Enigmail zu suchen ist. Mit TB2 habe ich zwar auch gekämft (SSL Connect auf port imaps geht nicht mehr) aber das habe ich nun per Workaround gelöst

MfG...
Pierre Bernhardt

Zitat von "Peter_Lehmann"

Hättet ihr mal ein paar Links, so dass ich mich in das Thema einlesen könnte?

Es gibt eine Beschreibung der Karte vom Hersteller. Hier ist die Webaddresse des PDF-Dokumentes:

http://g10code.com/docs/openpgp-card-1.1.pdf

MfG...
Pierre Bernhardt

Moin,

Zitat von "Vic~"

Es kann also auch gar nicht gehen! :shock:

Kann es doch. Mit einem TB 1.5 habe ich bei diesen ganzen Aktionen keine Probleme gehabt. Erst seit der Installation von TB 2 muckt er rum.

Zitat von "Vic~"

[*] enigmail ist die Schnittstelle, die zwischen Thunderbird und GPG "vermittelt".

Zitat von "Vic~"

Jedoch werden Smart-Card-Reader durchaus unterstützt.

Wie schon beschrieben hat es mit TB 1.5 ohne Probleme funktioniert.

Zitat von "Vic~"

Bei meinem uralt Laptop verwende ich seit Jahren aus Sicherheitsgründen eine 3½-Diskette { ja es gibt Dinosaurier wie mich die sowas noch verwenden! } als Speicherort für die *secring-Datei*; und es klappt.

Es ist aber ein ganz großer Unterschied, ob der Schlüssel gesichtert auf der Karte liegt und damit nicht direkt greifbar ist oder auf einem für den Rechner lesbaren Datenträger.

Zitat von "Vic~"

Wie ich bereits hier schon erwähnte ist PGP / GPG die Verwendung von "cards", "sticks" etc. *primär* fremd, es ist jedoch möglich.

Ist aber unterstuetzt und in gnupg eingebaut.

Zitat von "Vic~"

Möglich ist es auch (!) einfach mal direkt mittels GPG einige Ver- bzw. Entschlüsselungsversuche zu machen um so zu sehen ob's denn vom Grundsatz her klappt! (Richtiges Finden der keys! etc. )

Schon passiert. TB 1.5 funktioniert mit dem Cardreader immer noch vollständig.

Zitat von "Vic~"

Ist denn unter Einstellungen -> PGP/MIME -> "PGP/MIME" angewählt?
BTW: TB mit enigmail funktioniert sogar auch komplett portabel

Ja. Aber wenn mime an ist, gibt es Stress wenn ich nur signieren möchte. Ohne Mime funktoniert es auch.

MfG...
Pierre Bernhardt

Hallo,

was will ich:

TB 2.0.0.4 mit Enigmail 0.95.1 und GnuPG 1.4.7.
CardReader ist ein SCM SPR 532 CHIPDRIVE pinpad 532.

Eine only-Signierte Mail an jemanden als PGP/MIME
versenden: Geht nicht.

Das geht:
Signieren only ohne Mime
Verschlüsseln+Signieren als PGP/MIME
Entschlüsseln

Ich nutze dazu einen SCM card Reader und eine OpenPGP-Karte.
Der öffentlicher Schlüssel ist im Schlüsselbund.

Meine Frage also:

Warum funktioniert das PGP/MIME Signieren nicht?

Den Kartenmanager kann ich unter TB aufrufen und bekomme
alle Kartendetails angezeigt.

Fehlermeldung beim MIME-Signieren:

Zitat

enigmail> C:\Programme\GnuPG-Pack\gpg.exe --charset utf8 --batch --no-tty --sta
tus-fd 2 --comment 'Using GnuPG with Mozilla - -t --
clearsign -u 0xD0DCBB1D --passphrase-fd 0 --no-use-agent
gpg: detected reader `SCM Microsystems Inc. SPRx32 USB Smart Card Reader 0'
gpg: signatures created so far: 100

enigmail> C:\Programme\GnuPG-Pack\gpg.exe --charset utf8 --batch --no-tty --sta
tus-fd 2 --comment 'Using GnuPG with Mozilla - --dig
est-algo sha1 -s -b -a -t -u 0xD0DCBB1D --passphrase-fd 0 --no-use-agent
Ihr SmartCard-Lesegerät wurde nicht gefunden.
Bitte installieren Sie das Lesegerät, legen die Karte ein und wiederholen den Vo
rgang.
enigmail.js: Enigmail.encryptMessageEnd: Error in command execution

Alles anzeigen

Da Ver- und Entschlüsselung sowie Signieren ohne Mime funktioniert,
muss es wohl irgendwie am Enigmail liegen.

Hier zum Vergleich mal die Ausgabe bei Signatur ohne MIME:

Zitat

enigmail> C:\Programme\GnuPG-Pack\gpg.exe --charset utf8 --batch --no-tty --sta
tus-fd 2 --comment 'Using GnuPG with Mozilla - -t --
clearsign -u 0xD0DCBB1D --passphrase-fd 0 --no-use-agent
gpg: detected reader `SCM Microsystems Inc. SPRx32 USB Smart Card Reader 0'
gpg: signatures created so far: 102

Es sieht für mich so aus, als wird pgp zwei mal aufgerufen: Einmal zum signieren und ein anderes mal für das mimen? Hat irgendwer eine Idee?

MfG...
Pierre Bernhardt

Hallo,

bevor ich einen bug öffnen wollte, habe ich mal TB 3 a parallel installiert.
Dort hat dann nach Umschalten auf SSL-Imap (Port 993) der Zugriff
funktioniert.
Nachdem ich nun wieder 2.0.0.4 benutze muss ich mit Erstaunen feststellen, das es nun auch uner TB 2 mit SSL funktioniert.
Mir ist nicht klar was TB 3a geändert hat, aber es sieht so aus, als ob irgend etwas an den Profileinstellungen nicht ganz kompatibel war.

Damit ist mein Problem mit meinem Profil erst mal beseitigt...bis ich mal ein frisches Profil einrichte

MfG...
Pierre Bernhardt

Hallo,

Zitat

Wie ist das eigentlich mit den Konto-PW? Die signons.txt wird ja mit dem gleichen Master-PW verschlüsselt. nicht, dass du jetzt bei jedem Kto.-Abruf das Konto-PW eingeben musst? (nie getestet, weil nie so gewollt ...)

Das Kontopasswort wurde nie gespeichert. Wenn ich den TB starte, gebe ich das Passwort ein mal von Hand ein. (Nicht das MasterPW, deswegen benötigte ich es bisher ja nicht) anschließend wird es solange verwendet, wie die der TB nicht komplett beendet wurde.

Zitat

Das automatische Signieren kannst du ja in den Kontoeinstellungen > S/MIME deaktivieren. Hier sollte nicht das PW die Schwelle sein.

Das ist soweit ausgeschaltet.

Zitat

Kommt ja jedesmal eine Fehlermeldung usw.
Und was steht gegen das automatische Öffnen verschlüsselter Mails?

Das wirst Du spätestens dann merken, wenn der Rechner mal übernommen wurde; und sei es nur, weil Du kurz auf dem Klo gewesen bist

Ich nutze die Verschlüsselungsfunktion nicht nur zum Verschlüsseln von Mails, sondern finde das auch sehr gut, andere Dinge (Webpasswörter z.B.) zu verschlüsseln und auf dem IMAP-Server abzulegen.

Da ich auch schon mal eine Mail unbebsichtigt geöffnet habe und gerade jemand daneben stand, der das nie hätte sehen dürfen, hatte mich zu dem Zeitpunkt spätestens die Passwortabfrage vom Enigmail daran erinnert, das ich das gar nicht wollte.

Es hat also in jedem Fall Sinn, Passwörter ablaufen zu lassen, bzw. nur kurze Zeit zu cachen. Im übrigen halte ich es auch viel sinnvoller nicht den Container zu schützen, sonder die einzelnen SSL-Keys (denn nur um die geht es ja am Ende) mit Passwort zu importieren. Zur Entschlüsselung/Signierung muss dann jedesmal das Passwort des Keys eingegeben werden, wie es auch bei GnuPG/Enigmail der Fall ist. Und das für jeden Key getrennt. Das ist schon essentiell wichtig. Wenn es da keine Alternative gibt, kann ich leider den TB anderen Personen in Zusammenspiel mit SMIME nicht empfehlen.

Man stelle sich nur mal vor, das man am morgen das Passwort eingibt und die Keys frei gibt, die sich dann irgend ein Bösewicht (da ja frei gegeben) nun nutzt um Daten zu signieren oder die geheimen Mails zu lesen. Wie geheim ist das dann noch?

Vielleicht hilft aber auch GnuPG 1.4 weiter, da das inzwischen auch mit SMIME umgehen können soll.

MfG...
Pierre Bernhardt

Hallo,

nachdem ich nun ja ein wenig mit meinen bescheidenen Möglichkeiten versucht habe das Problem zu analysieren, wäre es schön, wenn mir jemand sagen könnte, was ich nun mit dem Problem anfangen soll?

Bei gmxpro haben Sie wohl mal von SSL auf TLS umgestellt; SSL funktioniert dort über 993 (imaps) nicht mehr. Ich habe aber nicht weiter nachgeforscht.

Kann das ein Bug sein den ich "irgendwo" melden kann, damit Abhilfe geschaffen wird?

Kann mir jemand kurz sagen, was zu tun ist?

Um kein Scheunentor in meiner Firewall zu reißen, tunnel ich gerade 143 von meinem Notebook auf meinem Linux-Gateway/Router so dass es nicht so dringend ist. Aber andere Leute könnten ja auch ein Problem haben (nur hat sich noch keiner gemeldet :-).

MfG...
Pierre Bernhardt

Hallo,

Zitat

Dieses Master-Passwort müssen Sie dann pro Sitzung einmal eingeben, so dass Thunderbird die anderen gespeicherten Passwörter entschlüsseln und verwenden kann.

Gibt es auch eine Möglichkeit (About:?) das Passwort analog wie in Enigmail nach einer Zeit ablaufen zu lassen oder es jedes mal einzugeben? Zugegebener Maßen möchte ich nicht, dass ich signierte Mails versende oder verschlüsselte Mails öffne ohne dass ich vorher noch mal nach dem Passwort gefragt werde!

In About: ist mir kein "Schalter" dazu aufgefallen.

MfG...
Pierre Bernhardt

Hallo,

erst mal hat mit dem Löschen der beiden Dateien geklappt.

Zitat

Beide Dateien werden mit dem Master-PW verschlüsselt.

Mit was werden die denn verschüsselt, wenn gar kein Key vergeben wurde?
Übrigens war tatsächlich ein Zertifikat eines EMail-Absenders importiert worden: kundenserver@deutsche-bank.de oder so.

Ich habe das Masterpasswort jetzt gesetzt.

MfG...
Pierre Bernhardt

Hallo,

ich habe das Problem das ich das meiner Ansicht nie vergebene Master-Passwort im TB nicht loswerde. Laut Anleitung unter MasterPasswort ändern lautet

Zitat

Hinweis: Ein vergessenes und somit neu festzulegendes Master-Passwort führt dazu, dass alle gespeicherten Passwörter gelöscht werden.

Leider möchte er aber dafür immer das alte Passwort wissen. Damit ist der Satz ziemlich irrelevant.

Hat einer eine Idee, wie ich nun das Master-Passwort loswerde und/oder wie ich nun ein neues Master-Passwort setzen kann? Hintergrund ist, dass ich eine p12-Datei laden möchte und er immer nach dem Master-Passwort des TB fragt.

Version ist TB2 aktuell.

MfG...
Pierre Bernhardt

Hallo,

so ich habe mal logging, wie oben unter der URL beschrieben, für TB 1.5 und für TB2.0 eingeschaltet und zum Vergleich hier eingestellt.
Bei TB 1.5 habe ich noch nicht das Kennwort für das Login eingebeben.
Bei TB 2.0 wird das Loginfenster erst gar nicht angezeigt.
Der loglevel für IMAP steht auf 5.
Die echte Mailserveraddresse habe ich durch *my.mail.server.de* ersetzt.

Hier für den TB 1.5:

1616[40751f0]: ImapThreadMainLoop entering [this=40cd2d0]
0[394c40]: 40cd2d0:my.mail.server.de:NA:SetupWithUrl: clearing IMAP_CONNECTION_IS_OPEN
1616[40751f0]: 40cd2d0:my.mail.server.de:NA:ProcessCurrentURL: entering
1616[40751f0]: 40cd2d0:my.mail.server.de:NA:ProcessCurrentURL:imap://pierre@my.mail.server.de:993/select%3E/INBOX:  = currentUrl
1616[40751f0]: ReadNextLine [stream=4041b30 nb=153 needmore=0]
1616[40751f0]: 40cd2d0:my.mail.server.de:NA:CreateNewLineFromSocket: * OK [CAPABILITY IMAP4REV1 LOGIN-REFERRALS AUTH=PLAIN AUTH=LOGIN] my.mail.server.de IMAP4rev1 2001.315 at Wed, 30 May 2007 19:36:52 +0200 (CEST)




1616[40751f0]: 40cd2d0:my.mail.server.de:NA:SendData: 1 capability




1616[40751f0]: ReadNextLine [stream=4041b30 nb=157 needmore=0]
1616[40751f0]: 40cd2d0:my.mail.server.de:NA:CreateNewLineFromSocket: * CAPABILITY IMAP4REV1 IDLE NAMESPACE MAILBOX-REFERRALS SCAN SORT THREAD=REFERENCES THREAD=ORDEREDSUBJECT MULTIAPPEND LOGIN-REFERRALS AUTH=PLAIN AUTH=LOGIN




1616[40751f0]: ReadNextLine [stream=4041b30 nb=27 needmore=0]
1616[40751f0]: 40cd2d0:my.mail.server.de:NA:CreateNewLineFromSocket: 1 OK CAPABILITY completed

Hier für den TB 2.0:

0[394c70]: 4905e20:my.mail.server.de:NA:SetupWithUrl: clearing IMAP_CONNECTION_IS_OPEN
2904[48b08b8]: ImapThreadMainLoop entering [this=4905e20]
2904[48b08b8]: 4905e20:my.mail.server.de:NA:ProcessCurrentURL: entering
2904[48b08b8]: 4905e20:my.mail.server.de:NA:ProcessCurrentURL:imap://pierre@my.mail.server.de:993/select%3E/INBOX:  = currentUrl
2904[48b08b8]: ReadNextLine [stream=4893ba8 nb=0 needmore=1]
2904[48b08b8]: 4905e20:my.mail.server.de:NA:CreateNewLineFromSocket: clearing IMAP_CONNECTION_IS_OPEN - rv = 804b0014
2904[48b08b8]: 4905e20:my.mail.server.de:NA:TellThreadToDie: close socket connection
2904[48b08b8]: 4905e20:my.mail.server.de:NA:CreateNewLineFromSocket: (null)
2904[48b08b8]: 4905e20:my.mail.server.de:NA:ProcessCurrentURL: aborting queued urls
2904[48b08b8]: ImapThreadMainLoop leaving [this=4905e20]

So richtig viel wird in dem Logfile ja nicht angezeigt, obwohl er schon auf 5 eingestellt worden ist :-(.

Pierre Bernhardt

Hi,

Zitat von "Peter_Lehmann"

Mit einer Sache komme ich nicht zurecht: Du schriebst "...leider funktioniert der SSL-Zugang zum IMAP nicht mehr. TLS macht keine Probleme."

Zitat von "Peter_Lehmann"

Funktioniert denn nun IMAP oder nicht? Verstehe ich das richtig, dass die Standardports 110 und 25 gesperrt sind? Von Seiten Provider oder Firma oder vom wem?? Kannst du die Server auf den Standard- und den SSL-Ports ansprechen?

Also kurze Exkursion:
POP3 = Port 110 (Mach ich nicht)
IMAP = Port 143
IMAP Klartext wird auf Port 143 gesprochen: Funktioniert
TLS wird über Port 143 gesprochen in dem nach Verbinden noch vor der Anmeldung der IMAP-Befehl STARTLS; ist also eine Erweiterung zum IMAP: Funktioniert
IMAPS (IMAP über SSL) wird über Port 993 gesprochen. Das könnte auch ein externen Programm wie ssltunnel übernehmen: Schlägt ohne Fehlermeldung im TB 2 fehl.

Wie bereits beschrieben, gab und gibt es mit TB 1.5 keine Probleme.

Leider sagt mir der TB2 auch nicht, wo denn nun jetzt das Problem liegt.

Habe ich irgend etwas falsch beschrieben oder ist der unterschied TLS - SSL klar?

Zitat von "Peter_Lehmann"

Könnte es evtl. sein, dass dein Provider von SSL auf TLS umgestellt hat - was ja nur gut wäre.

Der Provider ist mein alter SuSI-Server, ich also selber. Das Zertifikat war abgelaufen so dass ich ein neues erstellt hatte. Das ganze erzwungener Maßen, da mit TB 1.5 gab es halt nur immer eine Fehlermeldung, aber keine Probleme weiter. Das neue Zertifikat funktioniert mit TB 1.5.

Prinzipiell würde ich auch sagen TLS ist besser als SSL. Leider ist der UW IMAP etwas schlecht nachträglich konfigurierbar. So kann ich Klartextlogins nicht verbieten bzw. TLS nicht erzwingen. Um einfach Klartext gar nicht erst zu ermöglichen ist der Port schon immer gesperrt gewesen (von aussen.) Das war auch nicht weiter schwierig gewesen, da SSL über einen anderen Port dann frei gegeben ist.

Zitat von "Peter_Lehmann"

Ich arbeite grundsätzlich (dort wo es vom Provider angeboten wird) mit TLS oder SSL.

Sehr löblich.

Zitat von "Peter_Lehmann"

Logdateien: Schau mal hier: http://www.mozilla.org/quality/mailne…ot.html#General

Danke werde ich tun.

Hallo,

leider scheint es keine weiteren Probleme bei anderen Benutzern damit zu geben, da noch niemand geantwortet hat.

Damit ich jedoch weiter suchen kann, wäre es hilfreich, wenn mir jemand mitteilen könnte, dass es bei Ihm funktioniert, sowohl mit 1.5 als auch mit 2.0.
Am besten gleich den Provider mit angeben, damit ich es dort ebenfalls mal testen kann. So ein dutzend verschiedener Provider mit SSL-Abfrage (nicht TLS) wäre sehr schön.

Um die Suche zu vereinfachen: Kann man den Thunderbird in einen Log/Debug-Mode versetzten? Wenn ja wie? Ich denke, das mir das auch sehr weiter helfen könnte.

MfG...
Pierre Bernhardt