Beiträge von Hanisch

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

• Thunderbird-Version: 60.4.0
• Betriebssystem + Version: Windows 8
• Kontenart (POP / IMAP): IMAP
• Postfachanbieter (z.B. GMX): t-online
• PGP-Software / PGP-Version: enigmail 2.09
• Eingesetzte Antivirensoftware:
• Firewall (Betriebssystem-intern/Externe Software):

Hallo,

wenn ich eine signierte e-Mail an Partner sende, die kein PGP haben, dann wird an diese e-Mail immer eine Datei 'signature.asc' angehängt.

Ich habe in meinen Einstellungen:

Verfassen: -> Enigmail -> Haken raus bei "Meinen öffentlichen Schlüssel anhängen"

Das sollte aber eigentlich nicht sein, daß Partner ohne PGP durch einen solchen zwecklosen Anhang verunsichert werden.

Vielmehr sollte die signierte e-Mail ungeprüft ankommen.

Wie stellt man das ab, wenn man weiterhin alle e-Mails signieren will?

Gruß

Ch. Hanisch

Hallo,

Zitat von Ruhezone

NNTP, HTTP, IMAP, POP, SMTP sind Protokolle der Anwendungsschicht, OSI-Layer 5 bis 7. Damit hat die Fritzbox, außer für ihre eigene Anwendungen, nichts zu tun.

Das Problem liegt in der fehlenden Freigabe für Port 119, nicht im Protokoll.

Ja, genau.

Damit Thunderbird in vollem Funktionsumfang mit einem Gast-Zugang betrieben werden kann, sollte dieser Port 119 bzw. Port 536 freigegeben sein.

Das ist mein Wunsch an die Entwickler von FritzBox.

Auf eine entsprechende Anfrage bei AVM wurde mir geantwortet:

"...

Ich bedaure, dass es bei der Nutzung Ihrer FRITZ!Box zu Problemen kommt.

Leider habe ich bezüglich Ihres Anliegens keine Ansätze zur Lösung.

Newsgruppen werden gerne auch missbräuchlich für illegales FileSharing genutzt.

Daher ist der Gastzugang entsprechend eingeschränkt um eben genau dies zu verhindern.

Ich habe Ihr Anliegen aber dennoch als Verbesserungsvorschlag an unser Produktmanagement weitergeleitet.

..."

Gruß

Ch. Hanisch

Hallo,

Zitat

Zitat von Hanisch "Übers Gäste-WLAN kommen Geräte nur ins Internet und können Mails senden und empfangen.

NNTP ist weder HTTP noch E-Mail.

Das mag stimmen, aber unter e-Mails senden und empfangen habe ich bisher immer den vollständigen Funktionsumfang von Thunderbird (einschließlich Newsgruppen) verstanden.

Und das möchte ich auch meinen Gästen ermöglichen neben dem Surfen im Internet.

Gruß

Ch. Hanisch

Hallo,

Zitat

Aber versuche einmal, im Gastzugang diese Option Internetanwendungen beschränken zu deaktivieren. Funktioniert der Zugriff auf Port 119 dann?

An den FritzBox-Einstellungen will ich nicht rumprobieren.

Aber ich vermute, daß bei Deaktivierung dieser Option der Zugriff auf Port 119 funktioniert.

Da muß man aber erst mal drauf kommen.

Gruß

Ch. Hanisch

Hallo,

H e u r e k a !

Die Lösung des Problems ist der Gast-Zugang über die FritzBox.

Nachdem ich für den Lernsrtick wieder meinen Hauptzugang eingestellt habe, funktioniert alles wieder zufriedenstellend.

Beim Gastzugang sollte das Internet vollständig zugreifbar sein, nur das lokale Netzwerk ist gesperrt.

Was das aber mit den Newsgruppen zu tun hat, keine Ahnung.

Eigentlich sollten Newsgruppen doch wie e-Mails behandelt werden - Oder?

"Übers Gäste-WLAN kommen Geräte nur ins Internet und können Mails senden und empfangen. Bei der Fritzbox erkennen Sie dies an der aktivierten Option „Internetanwendungen beschränken: Nur Surfen und Mailen erlaubt“."(Zitat)

Gruß

Ch. Hanisch

Hallo,

Zitat von muzel

Dein Link https://www.admin-magazin.de/Das-Heft/2 funktioniert nicht.

Wenn ufw (und iptables?) deaktiviert ist, sollte es aber (evtl. nach Neustart) keine Probleme mehr geben.

Der Link lautet: https://www.admin-magazin.de/Das-Heft/2013/11/UFW-Firewall

Auch nach Deaktivierung von UFW

$ sudo /usr/sbin/ufw status
Status: inactive

kann ich in Thunderbird die Newsgroups nicht lesen.

Verbindung mit Server news.solani.org fehlgeschlagen; die Verbindung wurde verweigert.

Woran kann das nun noch liegen?

Der e-Mail Verkehr mit Tunderbird funktioniert einwandfrei.

$ telnet news.solani.org 119
Trying 148.251.67.112...
Trying 2a01:4f8:202:316f:8005::1...
telnet: Unable to connect to remote host: Network is unreachable

Gruß

Ch. Hanisch

Hallo,

Zitat

Wie komme ich nun an diese Firewall ran?

Gemäß dem Link https://www.admin-magazin.de/Das-Heft/2 ... W-Firewall

$ sudo /usr/sbin/ufw allow 119/tcp
Skipping adding existing rule
Skipping adding existing rule (v6)

$ sudo /usr/sbin/ufw allow 119/udp
Skipping adding existing rule
Skipping adding existing rule (v6)

$ sudo /usr/sbin/ufw status numbered
Status: active
To                         Action      From
--                         ------      ----
[ 1] 119/tcp                    ALLOW IN    Anywhere
[ 2] 119/udp                    ALLOW IN    Anywhere
[ 3] 119/tcp (v6)               ALLOW IN    Anywhere (v6)
[ 4] 119/udp (v6)               ALLOW IN    Anywhere (v6)

Das hat alles nichts gebracht.

An der Firewall liegt es wohl nicht?

Damit das Samba-Netzwerk wieder funktioniert:

$ sudo /usr/sbin/ufw      disable
Firewall stopped and disabled on system startup

Gruß

Ch. Hanisch

Hallo,

Zitat von schlingo

Zitat von Hanisch

Das Anpingen funktioniert jedoch.

vielleicht ist der Port das Problem? Was liefert ein Telnet - Erreichbarkeit eines Servers überprüfen.

Mit 'telnet' sind alle Newgroup Server nicht erreichbar.

~$ telnet news.solani.org 119
Trying 148.251.67.112...
Trying 2a01:4f8:202:316f:8005::1...
telnet: Unable to connect to remote host: Network is unreachable

Wie komme ich nun an diese Firewall ran?

sudo apt install ufw
sudo /usr/sbin/ufw enable
Firewall is active and enabled on system startup

sudo reboot

sudo /usr/sbin/ufw status
Status: active

sudo /usr/sbin/ufw allow port 119
ERROR: Need 'to' or 'from' clause

Hier komme ich nun nicht mehr weiter.

Gruß

Ch. Hanisch

Zitat von muzel

Du willst sagen, daß es bei dir nicht unter Debian 9 funktioniert (besser gesagt bei diesem ominösen "Lernstick9" auf Debian-Basis).

Ja, genau das.

Das Anpingen funktioniert jedoch.

~$ ping news.solani.org
PING news.solani.org (148.251.67.112) 56(84) bytes of data.
64 bytes from srv3.v.de.weretis.net (148.251.67.112): icmp_seq=1 ttl=52 time=56.7 ms
64 bytes from srv3.v.de.weretis.net (148.251.67.112): icmp_seq=2 ttl=52 time=57.1 ms
64 bytes from srv3.v.de.weretis.net (148.251.67.112): icmp_seq=3 ttl=52 time=56.8 ms
^C
--- news.solani.org ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 56.708/56.896/57.104/0.253 ms

~$ ping nntp.aioe.org
PING nntp.aioe.org (46.165.242.75) 56(84) bytes of data.
64 bytes from aioe.org (46.165.242.75): icmp_seq=1 ttl=51 time=47.9 ms
64 bytes from aioe.org (46.165.242.75): icmp_seq=2 ttl=51 time=46.3 ms
^C
--- nntp.aioe.org ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 46.320/47.121/47.922/0.801 ms

~$ ping news.eternal-september.org
PING reader02.eternal-september.org (144.76.35.198) 56(84) bytes of data.
64 bytes from reader01.eternal-september.org (144.76.35.198): icmp_seq=1 ttl=52 time=57.6 ms
64 bytes from reader01.eternal-september.org (144.76.35.198): icmp_seq=2 ttl=52 time=57.0 ms
64 bytes from reader01.eternal-september.org (144.76.35.198): icmp_seq=3 ttl=52 time=59.7 ms
^C
--- reader02.eternal-september.org ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 57.038/58.120/59.715/1.184 ms

Gruß

Ch. Hanisch

Hallo,

Zitat von schlingo

Zitat von Hanisch

ich kann meine Newsgroups nicht mehr lesen.

greifst Du wirklich gleichzeitig auf drei verschiedene Newsserver zu?

natürlich nicht gleichzeitig.

Ich will damit nur zeigen, daß es unter Debian 9 für keinen der angegebenen Newsserver funktioniert.

Unter anderen Distributionen (Siduction oder Ubuntu usw. ) funktioniert es.

Gruß

Ch. Hanisch

Hallo,

Zitat

Mal Telnet probiert? Port 119 oder 563?

Auch mit Port: 563 funktioniert es nicht.

Das Problem tritt unter Debian 9 (speziell Lernstick 9) auf.

Gruß

Ch. Hanisch

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

• Thunderbird-Version: 60.0.3 (64Bit)
• Betriebssystem + Version: Linux Debian 9
• Eingesetzte Antivirensoftware:
• Firewall (Betriebssystem-intern/Externe Software):

Hallo,

ich kann meine Newsgroups nicht mehr lesen.

Beim Versuch news.t-online.de:119 zu kontaktieren, wurde die Verbindung abgelehnt
Verbindung mit Server news.eternal-september.org fehlgeschlagen; die Verbindung wurde verweigert.
Beim Versuch news.aioe.org:119 zu kontaktieren, wurde die Verbindung abgelehnt
Verbindung mit Server news.solani.org fehlgeschlagen; die Verbindung wurde verweigert.

Woran mag das liegen?

Gruß

Ch. Hanisch

Hallo,

Zitat von Hanisch

Zitat

Leider komme ich z.Zt. an die Enigmail-Sicherheitsinfos nicht ran.

Jedenfalls kommt die Nachricht, daß der private Schlüssel nicht gefunden wird.

Das bezieht sich natürlich auf den Rechner meines e-Mail Partners und nicht auf meinen Rechner.

Entschuldigt bitte, aber wie kann man das anders verstehen, an die Einigmail-Sicherheitsinfos auf meinem Rechner komme ich natürlich immer ran.

Ich meinte die Enigmail-Sicherheitsinfos auf dem Rechner meines e-Mail Partners.

Gruß

Ch. Hanisch

Hallo,

Zitat von Solaris

Zitat von Hanisch

Das paßt schon alles zusammen.

Tut mir leid, für mich passt das immer noch nicht.

Zitat von Hanisch

daher fehlte auf seinem Windows-Rechner der dazu passende private Schlüssel.

Es ging oben nicht um seinen Rechner sondern um eine E-Mail in dem Ordner "Gesendet" auf deinem Rechner. Dort kannst du selbst nachschauen, mit welchen Schlüsseln die gesendete Nachricht verschlüsselt wurde.

Wenn dabei, wie du oben geschrieben hast, die Fehlermeldung kommt, dass der private Schlüssel fehle, dann fehlt entweder dein eigener privater Schlüssel oder die E-Mail wurde erst gar nicht zusätzlich mit deinem öffentlichen Schlüssel verschlüsselt.

Es ging immer nur um seinen Rechner und nicht um meinen Ordner "Gesendet".

Natürlich habe ich in meinem Ordner "Gesendet" bei der versendeten e-Mail unter

"Details" -> Enigmail-Sicherheitsinfo...

nachgeschaut und gefunden, daß nur für einen öffentlichen Schlüssel (außer meinem) verschlüsselt wurde.

Allerdings irritiert mich dort links die Angabe der Benutzer-ID 0x... (18 Zeichen), die mit irgendeinem Fingerprint nicht zusammenpaßt.

Gruß

Ch. Hanisch

Hallo,

Zitat von Solaris

Zitat von Hanisch

Das Fehlen des Privaten Schlüssels beim Empfänger ist einem "falschen" öffentlichen Schlüsse bei Absender geschuldet

Soweit ich die bisherigen Beiträge verstanden habe, passt das nicht zusammen.

Zum Entschlüsseln der von dir an deinen Bekannten gesendeten E-Mail benötigst du deinen privaten Schlüssel. Das hat mit dem öffentlichen Schlüssel des Empfängers nichts zu tun.

Das paßt schon alles zusammen.

Es geht nicht darum, daß ich die gesendete e-Mail bei mir nicht entschlüsseln kann; sie ist ja auch mit meinem öffentlichen Schlüssel standardmäßig verschlüsselt.

Aber die gesendete e-Mail war mit dem öffentlichen Schlüssel für seinen UBUNTU-Rechner verschlüsselt, daher fehlte auf seinem Windows-Rechner der dazu passende private Schlüssel.

Offensichtlich nimmt Enigmail aus dem Schlüsselbund für eine e-Mail Adresse (bei Vorhandensein mehrerer öffentlicher Schlüssel für diese e-Mail Adresse) immer nur die erste zum Verschlüsseln.

Das ist aber von Enigmail total suboptimal.

Denn der Fall, daß ein Nutzer genau so vorgegangen ist, wie hier beschrieben, dürfte gar nicht so selten vorkommen.

Wenn ein Nutzer einen weiteren Rechner installiert und dort für seine e-Mail Konten auch ein neues Schlüsselpaar generiert, dann haben wir sofort den hier vorgestellten Fall.

Allerdings müssen seine e-Mail Partner dann beide Schlüssel importieren (vom Key-Server) und dann noch machen:

Enigmail -> Einstellungen-> Schlüsselauswahl -> Empfängerregeln bearbeiten -> Hinzufügen -> <beide öffentlichen Schlüssel des Partners>

Das ist nun noch eine weitere Variante der unglaublich komplizierten Anwendung von PGP.

Gruß

Ch. Hanisch

Hallo,

Zitat von Solaris

Man verwendet Unterschlüssel (subkeys), um je nach Verwendungszweck unterschiedliche Schlüssel zu benutzen.

Beispielsweise erzeugt man sich einen Hauptschlüssel, der nur Zertifizierung dient und ansonsten nicht benutzt wird. Darunter erzeugt man zusätzlich einen oder mehrere Unterschlüssel zum Verschlüsseln und weitere zum Signieren.

Das hat u.a. den Vorteil, dass man Unterschlüssel zurückziehen und/oder erneuern kann ohne den Vertrauensstatus dabei zu verlieren.

Beide verfolgen nicht den Zweck, einer E-Mailadresse auf unterschiedlichen Geräten auch unterschiedliche Schlüssel zuzuweisen. Offen gestanden wüsste ich auch nicht, welchen Mehrwert das haben sollte.

Verschlüsselung ist für viele Benutzer kompliziert. Im einfachsten Fall genügt es, zu jeder E-Mailadresse ein Schlüsselpaar zu erzeugen und dieses auf allen Geräten zu verwenden. Damit vermeidet man Probleme, wie das hier geschilderte.

Die Verwendung von Identitäten und Unterschlüsseln ist meiner Ansicht nach eher etwas für Fortgeschrittene.

Noch etwas erscheint mir unstimmig. Das Fehlen des privaten Schlüssels hat nichts mit dem Empfänger und seinem Schlüsselwirrwarr zu tun. Dies ist ein Problem in der Installation bei Hanisch .

Alles anzeigen

Die Sache mit den Subkeys kann man vergessen, viel zu kompliziert!

Als wenn PGP nicht schon kompliziert genug wäre.

Das Fehlen des Privaten Schlüssels beim Empfänger ist einem "falschen" öffentlichen Schlüsse bei Absender geschuldet und ist kein Problem mit meiner Installation. Der Empfänger kann mit seinem privaten Schlüssel die e-Mail - vom Absender mit einem unpassenden öffentlichen Schlüssel verschlüsselt - nicht lesen.

Von den beiden öffentlichen Schlüsseln in meinem Key-Ring wurde nur der erste (für UBUNTU) zum Verschlüsseln verwendet.

Mein e-Mail Partner hat aber auf jedem Rechner (UBUNTU und Windows) jeweils ein Schlüssselpaar für seine e-Mail Adressen generiert. Ob das nun gut ist, sei dahingestellt.

Natürlich hätte er einfach ~/.gnupg von einem Rechner auf den anderen kopieren können und damit nur ein Schlüsselpaar auf beiden Rechnern gehabt.

Auf der Kopie müssen die Rechte dann neu gesetzt werden:

chmod 700 .gnupg

rm ~/.gnupg/*.lock

Mit dem Krusader -> Bearbeiten -> Eigenschaften -> Berechtigungen -> Erweiterte Berechtigungen -> Alle Haken raus bis auf die drei in der obersten Reihe.

Ich habe das Problem nun so gelöst:

Enigmail -> Einstellungen -> Schlüsselauswahl -> Empfängerregeln bearbeiten -> Hinzufügen -> beide öffentlichen Schlüssel für die Empfänger e-Mail

Jetzt wird beim Versenden für beide öffentlichen Schlüssel des Empfängers verschlüsselt und er kann die e-Mail dann auch auf beiden Rechnern lesen.

Allerdings gibt es bei meinem e-Mail Partner nun noch das Problem, daß er in IMAP "Gesendet" seine verschlüsselt versendeten e-Mails jeweils auf dem anderen Rechner (UBUNTU bzw. Windows) auch noch lesen kann.

Dazu muß er auf beiden Rechnern in seinen dortigen Key-Ring z.B. vom Key-Server seinen jeweils zum anderen Rechner passenden öffentlichen Schlüssel importieren.

Und dann noch:

Enigmail -> Einstellungen -> Schlüsselauswahl -> Empfängerregeln bearbeiten -> Hinzufügen -> <den öffentlichen Schlüssel des jeweils anderen Rechners>

Testen: Von beiden Rechnern eine an sich selbst verschlüsselte e-Mail senden, die dann auf beiden Rechnern lesbar ist.

Gruß

Ch. Hanisch

Hallo,

Zitat von muzel

Da hilft ein Selbsttest, verschlüsselte Mail an die eigene Adresse.

Beim Absender ist alles in Ordnung.

Wenn ich eine verschlüsselte e-Mail an den Windows-Rechner schicke mit der Benutzer-ID für den öffentlichen Schlüssel, der für diesen Schlüsselbund dort zuständig ist, funktioniert es.

Aber wenn ich beide öffentlichen Schlüssel (für UBUNTU und Windows) in meinem Schlüsselbund drin lasse, kann er die e-Mail auf dem Windows-Rechner nicht öffnen.

Gruß

Ch. Hanisch

Hallo,

Zitat von muzel

sieh dir einfach mal ein den Enigmail-Einstellungen den Tab "Schlüsselauswahl" an.

Und die Enigmail-Sicherheitsinfo der gesendeten Mail, da sollte so etwas zu lesen sein wie:

"Hinweis: Die Nachricht wurde mit folgenden Benutzer-IDs / Schlüsseln verschlüsselt:..."

Zum Tab "Schlüsselauswahl" siehe Anhang. Da habe ich nichts verändert. Es müßte also für beide Benutzer-ID's verschlüsselt werden.

Leider komme ich z.Zt. an die Enigmail-Sicherheitsinfos nicht ran.

Jedenfalls kommt die Nachricht, daß der private Schlüssel nicht gefunden wird.

Meine Frage: Kann das mittels "Entschlüsseln" behoben werden?

Gruß

Ch. Hanisch

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

• Thunderbird-Version: 60.3.0
• Betriebssystem + Version: Linux/Windows
• Kontenart (POP / IMAP):IMAP/POP
• Postfachanbieter (z.B. GMX): t-online/vodafone
• S/MIME oder PGP: PGP
• Eingesetzte Antivirensoftware:
• Firewall (Betriebssystem-intern/Externe Software):

Hallo,

ein e-Mai-Partner von mir hat auf zwei Rechnern (UBUNTU und Windows) mit jeweils zwei Schlüsselpaaren für jeweils zwei identische Konten (wobei ein Konto für PGP eine zweite Identität des anderen ist).

D.h. ein Schlüsselpaar auf UBUNTU und ein anderes auf Windows. Auf beiden Rechnern sind die gleichen Konten eingerichtet.

Er hat bei seinen zahlreichen Versuchen jede Menge Schlüssel auf den Key-Server hochgeladen. Aber nur für eine e-Mail Adresse (mit der anderen e-Mail Adresse als zweiter Identität) gibt es zwei Einträge. die sich nur in der ID-Kennung (Fingerprint) unterscheiden (eine für UBUNTU und die andere für Windows).

Ich habe mir beide öffentliche Schlüssel importiert.

Wenn ich ihm nun eine verschlüsselte e-Mail (z.B. an beide Konten) schreibe, dann wird hoffentlich für beide Identitäten verschlüsselt. Er aber kann angeblich unter Windows die e-Mail nicht lesen.

Vielleicht muß er da auf "Entschlüsseln" drücken. Irgendwas funktioniert da wohl nicht.

Ist diese Art mit zwei Schlüsselpaaren für ein Konto überhaupt in Thunderbird/enigmail unterstützt?

Oder wird bei verschlüsseltem Versenden nicht jeweils für beide ID's (Fingerprint) verschlüsselt?

Gruß

Ch. Hanisch

Hallo,

Zitat von generalsync

Es gibt also keine "richtigen" und "falschen" Stellen im Fingerabdruck: wenn der Angreifer weiß, welche Stellen Du in deiner Mail angibst, kann er einen entsprechend präparierten Schlüssel erzeugen und hochladen.

Wenn ich nun diesen gefälschten Schlüssel importiere und damit eine verschlüsselte e-Mail verschicke, dann kann die doch beim Empfänger gar nicht entschlüsselt werden, da dort der gesamte richtige Fingerabdruck verlangt wird.

Spätestens dann merkt der Empfänger, daß da etwas falsch läuft und benachrichtigt den Absender, indem er an diese Nachricht seinen richtigen aktuellen öffentlichen Schlüssel anhängt.

Allerdings kann der Fälscher diese e-Mail mit der falschen ID wohl entschlüsseln und lesen.

Gruß

Ch. Hanisch