Beiträge von Susi to visit

Könntest du das bitte etwas genauer beschreiben? Was für ein Konto kannst du in dem neuen Profil einrichten und was für eines nicht.

Nachtrag: Ich habe mir die Release Notes angeschaut. In der 78.3.1 wurde lediglich ein Crasher gefixt. Auch in den Notes zur 78.3.0 finde ich nichts, dass in Richtung SSL/TLS gehen würde.

Wenn die 78.3.1. mit dem Zertifikat eine Verbindung aufbauen kann, die 78.2.2. aber nicht, dann liegt es also sehr wahrscheinlich nicht an der Version sondern am Profil. Damit hättest du den Fehler jedesmal mitkopiert. Siehe #23 oben.

Zitat von Ralfi0815

Hat denn noch irgend jemand eine Idee hierzu ?

Meinerseits eine Zusammenfassung, welche möglichen Ursache mir in den Sinn kommen:

1. Der Umstieg auf die (portable) 78 spielt gewiss eine Rolle dabei. So, wie du die Situation beschreibst, ist das unstrittig.
2. Es könnte daher ein Bug in der Version 78 sein. Dazu schaust du am besten die Release Notes durch, ob Änderungen vorgenommen wurde, die eine Rolle spielen könnten. Es gibt übrigens inzwischen eine 78.3.1.
   Auch in den Weiten des Internets solltest du in diesem Fall weitere Hinweise finden können. Wenn es ein Bug ist, wirst du nicht der einzige Betroffenen sein.
3. Es könnte sein, dass bei der Migration etwas schiefgegangen ist. Das wäre dann wohl auch ein Bug.
   Ein neues Profil würde diesen Fehler dann nicht zeigen. Generell: Wenn der Fehler im Profil begründet ist, dann übernimmst du den beim Kopieren auch auf andere Rechner.
4. Der Fehler könnte sich, aus welchen Gründen auch immer, auf die portable Version beschränken.
5. Nach wie vor aus der Ferne nicht auszuschließen ist, dass du ein falsches Herausgeberzertifikat installiert hast.
6. Es könnte an der Konfiguration deiner Mailserver liegen. Siehe dazu auch den nächsten Punkt. Sofern ich es nicht übersehen habe, hast du übrigens nirgends erwähnt, ob das Problem beide Server betrifft.
7. Es könnte sein, dass das Zertifikat schlicht nicht anerkannt wird, zum Beispiel wegen der erwähnte alten Cypher, oder weil es einen formalen Fehler enthält, über den der Thunderbird früher hinweggesehen hat, jetzt aber nicht mehr. Das würde auch erklären, weshalb andere Clients es (noch) akzeptieren.
   In diesem Fall könntest du zunächst versuchen, es im Thunderbird als Ausnahme festzulegen.
   Hilft das nicht, kannst du das Problem durch ein neues Zertifikat lösen. Am besten eines, vom einem anderen Herausgeber, von dem man weiß, dass es funktioniert. Die Liste der standardmäßig vorhandenen Zertifizierungsstellen ist dabei vielleicht hilfreich. Von Letsencrypt würde ich ebenfalls annehmen, dass deren Zertifikate funktionieren.
   Wenn du die Mailserver nur privat benutzt, kannst du dir die Zertifikate auch selbst erstellen. Ich empfehle dazu das Programm xca. Dabei kann allerdings auch einiges falsch machen.

Servus Ralf,

Zitat von Ralfi0815

Dieses Zertifikat ist bereits als Zertifizierungsstelle installiert.

Das passt soweit.

Zitat von Ralfi0815

Natürlich habe ich als aller erste Aktion Thunderbird komplett neu installiert und siehe da, das selbe Problem.

Installiert heißt, du verwendest jetzt die normale Version, nicht mehr die portable? Hast du nur das Programm frisch installiert oder hast du auch ein ganz frisches Profil erstellt? Letzteres ist wichtig, weil alle Einstellungen und Benutzerdaten dort abgelegt sind. Wenn da etwas nicht passt oder defekt ist, kannst du das Programm so oft neu installieren wie du möchtest. Das ändert dann nichts.

Zitat von Wurzl

Ich soll bei der Anlage eines TB-Master-Passwortes auch mein PC-Anmelde-Passwort mit angeben, damit das TB-Master-Passwort angelegt werden kann.

Bist du sicher, dass dies Abfrage vom Thunderbird kommt? Das kenne ich so nicht, zumindest nicht bis zur 68. Muss ich bei Gelegenheit mal testen.

[ot]

wahrlich kein gutes Händchen derzeit. Man könnte fast meinen, man sei bei Windows 10 oder iOS.

[/ot]

Ich habe es nicht ausprobiert. Aber die Schlüssel sollte man ja nach wie vor auch mit GnuPG erzeugen und dann importieren können.

Zitat von Merlin1966

Ist das das was du meinst -> Client Authentication

Ja, das meinte ich. Ich denke, wir kommen der Sache nun näher.

Einschränken kann man die Zertifikate im Thunderbird meines Wissens nur indirekt. Schau mal, wohin genau du es importiert hast, also ob unter meine Zertifikate, Personen oder Server. Vielleicht taucht es auch mehrfach auf.

Probiere, es nur unter meine Zertifikate vorzuhalten.

Wenn das nicht funktioniert, besorge oder erstellen dir selbst eines (mit xca), das nur zum Verschlüsseln und Signieren geeignet ist.

Das ist gute Idee. Freiwillige?

Da der Fehler nur auftritt, wenn dieses Zertifikat installiert ist, wird er wohl damit in Zusammenhang stehen. Kannst du denn damit überhaupt signieren?

Ein Zertifikat zum Signieren wird es dann benötigt und abgefragt, wenn du eine signierte Mail senden willst. Dann erfolgt auch eine Abfrage der Passphrase. Es sieht fast so aus, als hättest du ein Zertifikat für eine SSL/TLS-Verbindung zu einem Server installiert.

Überprüfe:

1. Ob das Zertifikat auch zum Signieren und Verschlüssel geeignet ist und nicht (zusätzlich) für SSL/TLS
2. Ob es auch entsprechend installiert wurde, d.h. nicht für einen Kommunikation mit einem Server
3. Ob es noch gültig ist
4. Ob das Ausstellerzertifikat installiert und gültig ist

Was ist denn das für ein Zertifikat, das du importierst?

Du solltest das schon kontrollieren. Wie ich schrieb, könnte es sein, dass der Herausgeber nicht mehr zu denen gehört, denen Mozilla vertraut. Dann würde dessen Zertifikat mit der 78 entfernt oder ihm das Vertrauen entzogen.

Ebenso könnte es sein, dass die Cypher nicht mehr unterstützt wird. Alles im Konjunktiv. Informationen darüber habe ich nicht. In der Vergangenheit ist das aber schon vorgekommen.

Zitat von Ralfi0815

auf allen 9 Computer liegt eine absolut identische Kopie der portable Version von Thunderbird,

Ich würde dir noch einen Test mit einer normalen Version und einem frischen, von der 78 selbst angelegten Profil empfehlen. Ansonsten bleibe noch ein Test mit einem anderen Zertifikat, z.B. einem von Lets encrypt.

[OT]

Zitat von Mapenzi

die im Symbol der "Konversationen" inkrustiert ist.

Das habe ich doch glatt ein neues Wort gelernt

[/OT]

Zitat von Ralfi0815

Nun stellt sich natürlich die Frage, wie kann ich thunderbird dazu überreden, weiterhin die Zertifikate anzunehmen.

Sofern es überhaupt daran liegt, musst du sicherstellen, dass im Thunderbird nicht nur das zugehörige Zertifikat sondern auch das des Herausgebers korrekt installiert sind und allen vertraut wird.

Zitat von Ralfi0815

TLS Version TLSv1.2 AECDH-AES256-SHA

Zu AECDH-AES256-SHA sagt Mozilla , dass die Cypher alt ist. Ich weiß nicht, ob das (noch) vom Thunderbird unterstützt wird.

Da bin ich aber froh, dass auch Kai Engert seine Überraschung äußert.

Ja, der Bug-Bericht triff dein Problem. Die Frage ist, handelt es ich überhaupt um einen Bug, oder ist der Mailserver falsch konfiguriert?

Ich kenne es so:

Normalerweise weist sich beim Anmelden der Server mit seinem Zertifikat gegenüber dem Client aus. Das heißt der Client erhält vom Server ein Zertifikat und prüft, ob er ihm und dem Herausgeber vertraut.

Der Client wiederum wurde zuvor anhand des Benutzernamen und des Passwort vom Server authentifiziert und autorisiert.

Man kann den Mailserver aber auch so konfigurieren, dass er seinerseits ein Zertifikat des Clients abfragt. Nutzername und Passwort genügen dann nicht. Auf dem Client muss ein Zertifikat vorliegen, dem wiederum der Server vertraut.

Ich weiß, dass manchen Firmen es in Verbindung mit Smartcards so handhaben. Aber davon, dass ein öffentlicher Mailprovider so etwas machen würde, habe ich noch noch nie gehört.

Es gibt nun zwei Möglichkeiten. Entweder hat Thunderbird seit Jahren einen Bug, der dazu führt, dass er fälschlicherweise nach dem Zertifikat fragt, oder der Mailserver ist so konfiguriert, dass er die Abfrage wirklich sendet.

Wenn man herausbekommen will, ob der Server tatsächlich nachfragt, müsste man, wie Kai Engert es vorschlägt, den Traffic einmal mitschneiden.

Das Problem scheint sehr selten aufzutreten. Soweit ich weiß, hat hier in all den Jahren noch niemand davon berichtet, außer dir und mp_45_code . Und auch in dem Bug ist wenig los. Auffällig ist, dass einer derjenigen, die das im Bug berichtet, ebenfalls ein A1-Kunde ist. Vielleicht lohnt es sich, mit A1 Kontakt aufzunehmen.

Denkbar wäre auch, dass es Bug im Thunderbird nur unter sehr seltenen Umständen auftritt. Zum Beispiel wenn sich in Zusammenhang mit den Zertifikaten etwas ungeahnt verwurschtelt hat. In diesem Fall sollte Test mit einem neuen Profil das Problem nicht zeigen.

Sie schaut rein, aber etwas erstaunt drein

Vielleicht vorweg, es sind mehrere Dinge auseinanderzuhalten, die hier ein wenig vermischt werden. Es gibt Zertifikate für die Kommunikation zwischen Thunderbird und dem Server via. TLS. Dann gibt es Zertifikate zum Signieren und Verschlüsseln per S/MIME. Last but not least gibt es Schlüsselpaare zum Signieren und Verschlüsseln mittels PGP.

Normalerweise hat eines nichts mit dem anderen zu tun.

Was mich erstaunt drein schauen lässt, das ist die in #1 gezeigte Meldung. So eine habe ich noch nicht gesehen. Hier fragt A1 nach einem Zertifikat des Benutzers. Ich kenne es nur umgekehrt, d.h. dass der Server sich beim Verbindungsaufbau gegenüber dem Thunderbird identifiziert.

Geht es hier vielleicht um einen besonderen Account, vielleicht so etwas wie DE-Mail oder so, oder gibt es ein besonderes Log-In-Verfahren?

Was passiert, wenn man das Konto testweise aus einem neuen Profil per IMAP abruft?

Lösen kann ich dein Problem nicht, aber ein paar Hinweise hätte ich. Den wichtigsten vorweg: Mit einfachen Schlüssel, ohne weitere Substruktur, funktioniert es. Ich kann meine mit der 78 PGP-verschlüsselten Entwürfe auch in K-9 lesen. Dazu musste ich nichts tun außer beim automatischen Import die Passphrasen einzugeben.

Zitat von 2bein

Ich habe im Moment einen PGP-Schlüssel mit 3 Identitäten/email-Adressen, Hauptidentität X und Alias Y und Z.

[...]

Oder hat die Enigmail-Migration was total durcheinander gewürfelt in der config?

Wie gesagt, die aktuelle Version hat noch Probleme mit strukturierten Schlüsseln. Es wäre daher nicht verwunderlich, wenn die meisten deiner Probleme damit zusammenhingen. Abhilfe ließe sich in diesem Fall schaffen, indem du zu jeder Adresse ein eigenes, einfaches Paar erzeugst. Das würde ich aber in einem Profil durchführen, weil mach all den Versuchen der Zustand deines Zertifikatsspeichers im Thunderbird nicht genau bekannt ist.

Das S/MIME-Zertifikat würde ich im Anlauf auch weglassen und zunächst testen, ob du PGP zum Laufen bekommst.

Das ist ärgerlich, ich weiß, weil du im Erfolgsfall neue Schlüsselpaare verwenden müsstest. Mit dem Rattenschwanz, den das hinter sich her zieht.

Derzeit gibt es auch die Möglichkeit, in der Version 78 weiterhin GnuPG zu verwenden. Das wäre der erste Versuch, den ich machen würde.

Last but not least könntest du auch noch auf der 68 bleiben und hoffen, dass das demnächst gefixt wird. Den genannten Test würde ich in jedem Fall machen. Einfach um zu sehen, ob dort das Problem liegt.

Zitat von 2bein

Wenn ich unten "S/MIME" bevorzugt auswähle, werden die Entwürfe auch NICHT verschlüsselt

Soweit ich weiß, ist das normal. Mit S/MIME speicher der Thunderbird die Entwürfe nicht verschlüsselt.

Zitat von 2bein

Nachdem ich den Schlüssel manuell importiert habe, ist aber trotzdem keine Radiobutton-Auswahl erschienen, um diesen Schlüssel wieder abzuwählen (seltsam, oder?).

Ich habe die Release Notes gestern nur überflogen und noch nicht genau gelesen. In der 78.3 wurde ein Bug gefixt, der ganz entfernt in diese Richtung deutet. Ich vermute aber eher einen Zusammenhang mit der Schlüsselstruktur, s.o. .

Mit Fehlermeldungen ist das ja manchmal so eine Sache. So sind nicht immer genau. Wenn ich aber annehme, dass sie stimmt

Zitat von Ralfi0815

Der Zertifikat-Aussteller der Gegenstelle wurde nicht erkannt.

dann betrifft das Problem gar nicht das Zertifikat selbst, es sein denn, der Aussteller ist darin nicht oder falsch angegeben. Vielleicht fehlt das Zertifikat des bzw. der Aussteller in der Kette. Es wäre nicht das erste Mal, dass Mozilla einer CA das Vertrauen entzieht und deren Zertifikate nicht mehr standardmäßig ausliefert.

Zum Thema TLS. Sofern konfiguriert zeigt ein ehelo auf den Server die Capabilities an. Dort sieht man, welche Version unterstützt wird.

Hallo graba,

stimmt. Ich war hier zu lange nicht mehr aktiv. Hab' mich mit der Forensoftware vertan. Der Link ist oben korrigiert.

Servus

Susanne

Fast vergessen, der Bug sowie die dort genannte Lösung beziehen sich auf die Version 68.

Mental und MSFreak ,

1. Ich posaune nicht rum, sondern zeige eine Lösung auf, nach der übrigens du, Mental, vor gar nicht langer Zeit selbst gefragt hattest.
2. Ist das der offizielle Weg seitens Mozilla, siehe dazu auch Bug 1582427
   Es gibt weitere Methoden, wie das Verbiegen von Links, aber wer so etwas macht, ist selber schuld.
3. Funktioniert das sehr wohl sogar mit der aktuellen 78.3, sofern ich oben keinen Tippfehler habe. Im Gegensatz zu euch habe ich es nämlich ausprobiert.
4. Solltet ihr euch bitte eure Überheblichkeit sparen.

Hallo Anja,

das automatische Update kann nach wie vor deaktiviert werden. Der einfache Weg ist der, in den Optionen auszuwählen, dass der Thunderbird nach Updates suchen, diese aber nicht installieren soll. Dann erscheinen weiterhin Meldungen, dass ein Update vorliegt, es wird aber nicht von allein installiert.

Wenn du es komplett abschalten willst, dann würde ich es über die Policies lösen. Das ist der offiziell vorgesehene Weg. Dazu erstellst du im Installationsordner des Thunderbird einen Unterordner namens distribution. In diesem Ordner legst du eine Textdatei mit dem Namen policies.json an. Diese Datei bekommt folgenden Inhalt:

{
 "policies": 
       {
        "DisableAppUpdate": true
       }
}

Nach einem Neustart des Thunderbird findest den Einstellungen unter Update dann den Hinweis, dass Updates vom Administrator deaktiviert wurden.

Um das rückgängig zu machen, einfach den Ordner distribution wieder löschen.

Servus

Susanne