So, habe jetzt als erste Massnahme ein neues Konto bzw. im bestehenden TB das GMX-Konto zusätzlich als IMAP eingerichtet.
Finde den Fehler. 
Erstelle das Profil neu.
Beiträge von Susi to visit
-
-
Hast du versucht, deinen gesamten Profilordner zu kopieren (nur den Inhalt!) und das in dein neues (leeres!) Profil einzukopieren?
Auch hier, wie schon zu einem anderen Beitrag selben Inhalts von dir: Das ist leider nicht zielführend. Der Thunderbird kann mit den Dateien aus Mailbird nichts anfangen. Außer, dass man sich damit das Profil zerstört.
-
Lass den MozBackUp weg, kopiere einfach den Inhalt deines alten Profils in dein neues, leeres Profil ein und du hast alle Daten.
Der Rat ist grundsätzlich nicht schlecht. Er enthält aber einen gravierenden Fehler. Das funktioniert nämlich nur, wenn das Profil intakt ist. In diesem Fall hätte es aber überhaupt nicht geholfen, weil der Fehler mitkopiert worden wäre.
Dass es hier mit MozBackup funktioniert hat, ist wohl tatsächlich dem Umstand zu verdanken, dass damit nur Teile des Profils kopiert wurden. Ich halte das für einen glücklichen Zufall, denn MozBackup ist so veraltet, dass es gar nicht alle Konfig-Dateien kennt. Deshalb würde ich dem damit zusammengewürfelten Profil auch keinen Meter weit trauen. Ich würde besser ein neues erstellen.
-
Da frage ich mich aber dann trotzdem, warum auf diesem Rechner und nicht auf meinem (TB mit Erweiterungen, 6 Konten, alle mit POP, alle mit "Mails bleiben auf dem Server")
Beachte, dass das Wort "könnte" ganz eindeutig eine Möglichkeitsform ist. Ansonsten ist die Antwort simpel. Keine zwei Installation sind identisch und manchmal müssen Pferde auch direkt vor der Apotheke.
Fest steht, auch wenn POP das Belassen ausdrücklich auf dem Server erlaubt, es ist für diesen Fall nicht das optimale Protokoll. Und dass die popstate.dat im Thunderbird hin und wieder durcheinanderkommen kann, ist auch kein Geheimnis.
aber der Mailprovider da dann ziemlich Geld für wollte. POP3 war frei.
Das muss ewig her sein, oder du hast es schon damals versäumt, dich nach einem g'scheiden Provider umzusehen. Selbst manche Kostnix-Anbieter haben IMAP seit bestimmt 10 Jahren im Programm.
-
Schon mal versucht, den gesamten Profiordner mit deinen Kontakten zu kopieren (von Life Mail) und dann in dein Thunderbird Profil einzufügen?
Obacht: Das kann nicht funktionieren! Damit macht man sich nur noch mehr kaputt.
-
Falsch!
Nein, definitiv nicht falsch.
Die Variable ist weg, sobald das Script endet.
Genau das hatte ich geschrieben. Du hast es sogar zitiert.
Nicht bedacht hatte ich lediglich, dass das Script sich bereits beendet, obwohl der Thunderbird noch läuft. Wirklich viel ändert sich dadurch aber nicht. Denn wenn das Script nicht auf das Beenden des Thunderbird wartet, und die Variable somit gleich nach dem Start wieder gelöscht wird, bedeutet das im Umkehrschluss, dass der Thunderbird trotzdem weiterhin loggt. Er prüft nicht erneut, ob die Variable noch gesetzt ist. Der eine Check hat genügt.
Der für mich entscheidende Punkt bleibt. Bis zu einem Beweis glaube ich nicht an deine Theorie der gravierenden Sicherheitslücke.
-
Nachrichten verbleiben IMMER am Server (bis GMX mault) - man weiss nie wie mans nochmal braucht
Das könnte schon Teil des Problems sein. Das ist nicht die Intention von POP. Für solche Fälle haben kluge Köpfe schon vor vielen Jahren das IMAP-Protokoll erdacht.
Ein Mail-Server ist auch kein Backup. Auch, wenn es noch so bequem ist. Backups musst du schon selbst erstellen.
Was passiert mit den bisher schon heruntergezogenen Mails? Bleiben die erhalten oder fängt TB dann nochmal an alles runterzuziehen?
Die bleiben bei POP im alten Profil erhalten und werden in das neue nochmals komplett neu heruntergeladen.
Wenn es nicht einen zwingenden Grund für dich gibt, weiterhin auf POP zu setzen, wäre mein dringender Rat, das neue Profil als IMAP einzurichten.
Smartfon hat keine App für GMX drauf.
Eine solche App benötigt man eh nicht. E-Mails können auch am Smartphone über eine Mail-App abgerufen werden, über verschiedenen Anbieter hinweg. Ganz so, wie mit dem Thunderbird am PC. Auch hier lautet das Zauberwort erneut: IMAP.
-
Erstelle das Profil neu. Obacht bei POP, stelle das Konto für den Test so ein, dass die E-Mails auf dem Server verbleiben. Installiere keine Erweiterungen. Schalte allen anderen Geräte, auch die Smartphones aus. Teste.
-
copy *.vcf Testadr.vcf
Das gefällt mir. Unter Linux ist dazu der Befehl cat notwendig. Mit cp geht das nicht. Deshalb habe ich eben rasch mal gesucht, in DOS geht das tatsächlich über den copy-Befehl.
-
Also, bis zum Beweis des Gegenteils, scheint mir die These von Gene plausibel. Es gibt kein Sicherheitsloch. Der Firefox legt diese Files an, weil die Umgebungsvariable gesetzt ist. Die Files bleiben leer, weil der Firefox gemäß der Parameter nichts zu loggen hat. Sie lassen sich im laufenden Betrieb nicht löschen, weil der Firefox sie noch im Zugriff hat. Das passt alles zusammen.
-
Dazu wird keine Erweiterung benötigt. Einfach im Adressbuch unter Extras auf importieren gehen und dann im weiteren Verlauf die vcf auswählen.
-
ah ja, und die Umgebungsvariable kanns nicht sein, weil die nur lokal im Cmd-Script für den Start von TB gesetzt wird:
Darauf würde ich nicht wetten. Sicher bin ich mir nicht, aber ich glaube es ist so, dass der Wert der Umgebungsvariablen bis zum Beenden des Scripts bzw. eines endlocal auch außerhalb der Batch wirkt. Das teste besser mal.
-
Sozusagen Friendly Fire, hm?
Ja, so kann man das nennen. Die tun mir wirklich leid. Es kommt bei einigen aus dem eigenen Management, genauer: aus dem Nicht-IT-Management. Die Admins und deren Chefs kommen anscheinend schon klar, soweit es eben geht.
Mal ein Beispiel, leicht abgewandelt, damit hier nichts offengelegt wird:
Samstag: Allen Kunden wird mitgeteilt, dass Produkt x ab Version y nicht von der Lücke betroffen ist, weil Log4j gar nicht benutzt wird. Ältere Versionen (längst nicht mehr supported) waren aber betroffen. Also bitte upgraden, falls noch eine der uralten Versionen im Einsatz ist.
Samstag: Die IT der ersten Kunden antwortet: Danke, alles klar. Wir sind schon seit 2018 auf einer Version > y. Puh, eine Baustelle weniger.
Montag, früh am Morgen: Sorry, ich weiß, ihr habt das schon geschrieben. Aber unser Management möchte nochmals schriftlich bestätigt haben, dass explizit auch die Version y+4 nicht betroffen ist. -> Bestätigung geht raus.
Montag, gegen Abend: Noch eine Rückfrage bitte, für die Dokumentation. In den alten, betroffenen Versionen, welche Version von Log4J kam da zum Einsatz?
Montag, spät am Abend: Das waren abhängig vom jeweiligem Stand der integrierten OpenSource Packages jeweils unterschiedliche Versionen. Es wäre sehr aufwendig, das zu recherchieren, zumal diese Recherche keinerlei Nutzen hat. Wichtig ist: Alle älteren Versionen waren betroffen und sind daher als unsicher zu betrachten. Ein Schutz besteht erst ab Version y.
Dienstag, früh man Morgen: Es tut mir leid, ich verstehe unsere Chefs auch nicht. Unser Management möchte nochmals bestätigt haben, dass alle Versionen vor y ein Log4j kleiner Version 2.15 verwendet haben. (Das ist schon deshalb klar, weil es die Version 2.15 damals noch gar nicht gab.)
Dienstag, noch am Morgen: Bestätigung geht raus.
Mittwoch: Ich muss nochmal nerven. Glaub' mir, es ist mir sehr unangenehm. Es gibt da diese weitere Lücke. Da ihr Log4j gar nicht verwendet, könnt ihr nicht betroffen sein. Wir verstehen das. Unser Management möchte trotzdem eine Aussage von euch.
Mittwoch: Bestätigung geht raus.
Es brauchte aber erst einen Verstärker wie 'Minecraft' um das jetzt so unter das Brennglas zu bekommen, dass es richtig wehtut.
Das mag so wirken. Minecraft ist aber nur ein ganz kleiner Fisch im Teich. Betroffen sind halt auch Rechenzentren, insbesondere solche, die Webservices im weitesten Sinne anbieten. Soweit ich es aus meinem kleinen Fenster heraus beurteilen kann, hat deren technisches Personal sehr schnell und professionell reagiert.
Mal schauen, was noch auf uns zukommt. Ich erwähnte ja schon die vielen Spyware-Geräte, die so manch einer in Verwendung hat.
-
Sehr nett, 5crambler und @jorgk3, dass ihr da dran bleibt. Und natürlich von Gene!
- Umgehung der Prozess- und Filesystem-Integrität des Betriebssystems (machen sonst eigentlich nur böse Hacker und ihre Trojaner!)
Da bin ich mal gespannt, was dazu rauskommt. Ich habe den Kommentar von Gene ganz anders verstanden als du:
ZitatTB does share some logging code with mozilla but it runs it independently. But the environment var can clash which causes these weird files to appear.
Demnach findet dort kein Zugriff vom Thunderbird auf Firefox-Prozesse statt oder umgekehrt. Beide reagieren aber unabhängig voneinander auf dieselbe Umgebungsvariable. Deshalb erzeugt der Firefox dann eigene Log-Files. Das wäre dann keine "Protection Exceptions" (und keine Schlagzeile
) . -
Die sollten auch gleich eines für die Manager machen. Seit sogar die Tagesschau darüber berichtet hat, drehen einige ziemlich durch. Uns erreichen Anfragen, die würde ein Admin, der verstanden hat, wie diese Lücke funktioniert, nie stellen. Die entschuldigen sich auch gleich, "ich weiß, das ist eine unsinnige Frage, aber uns Management will ...".
Immerhin, heute ging es schon wieder vernünftiger zu. Zumindest bei uns. Ich weiß von einem großen Anbieter von Webservices, dass es dort immer noch so arg zu geht.
Das Problem ist gravierend, überhaupt keine Frage. Man kennt immer noch nicht alle betroffenen Produkte, geschweige denn, dass man wüsste, wie man jeweils an das nötige Update kommt. Umso wichtiger, dass das Management ihren Experten nicht unnötig auf die Nerven geht.
Ganz interessanter Aspekt: Es ist möglich, dass jemand über diese Lücke bereits angegriffen wurde, bevor sie publik wurde. Ein wichtiger Punkt ist also der, nicht nur die Updates rasch einzuspielen oder JDNI stillzulegen, sondern auch die eigenen Systeme zu untersuchen und zu beobachten, ob da nicht schon ein Schadcode schläft. Dazu kommen viele Admins vor lauter Management-Theater gar nicht. Außerdem taucht das im Excel Sheet in der Spalte Kosten auf. Das ist nun ganz und gar nicht gewünscht.
Als Privatanwender denke man an seine IoT, Smartwatches und sonstwas für Spyware im "modernen" Haushalt, für die es u.U. gar keine Updates gibt. Ich würde spätestens jetzt dafür sorgen, dass alle diese Geräte mit unklarem Status nicht in mein Netz kommen.
-
Will man allerdings einen Termin löschen so klappt das lediglich beim 1. Mal. Einen 2. Termin der Serie kann man nicht löschen.
Eben probiert. Bei mir klappt das. Betterbird 91.4.0-bb22, Linux, mit Kalender in der eigene NextCloud ebenso wie mit Testkalendern bei Posteo. Auch bei aktivierter Offline-Unterstützung.
Schau mal in die Release Notes des Betterbird, ob es dort diesbezüglich eine Änderung gegenüber dem Thunderbird gab. Ich meine, dass nicht. Dann teste mal mit einem Kalender bei einem Provider in der Cloud, z.B. GMX.
-
Zitat
Viele Jahre lang brauchte es ein Add-on namens Enigmail, wenn man E-Mails verschlüsseln wollte. Seit August 2020 ist eine OpenPGP-basierte Ende-zu-Ende-Verschlüsselung jedoch als Kernfunktion eingebaut.
Hier hat Heise entweder schlecht recherchiert oder sich zumindest unglücklich ausgedrückt. Denn das trifft zwar auf PGP zu, jedoch nicht auf S/MIME. Das ging auch zuvor schon ohne eine Erweiterung installieren zu müssen.
-
Ich hab's jetzt aber anders hingekriegt:
Ja, dann war der falsche Schlüssel aktiviert. So einfach. Das kann man eigentlich komplett über die GUI lösen, so wie es Thunder-PGP gemacht hat. Dort werden zu jedem Konto die verfügbaren Schlüssel angezeigt. Für die aktive Benutzung muss man dort einen aktivieren. Die anderen bleiben passiv.
Merkwürdig bleibt, dass du das gemäß deinen Aussagen in #1 ja alles gemacht hast.
Jetzt wähle ich in der Liste der Schlüssel den neuen Schlüssel aus und schließe danach den "Konto-Einstellungen"-Tab.
Ich werd's mal im Hinterkopf behalten, falls das hier noch jemand meldet.
-
// Einen lieben Gruß an alle, die, wie meine Kollegen und ich, seit Samstag kaum mit einem anderen Thema zu haben.
-
Einfach Linux auswählen. Beachte aber:
Auch auf aktuellen Rechnern bringen die VMs, vor allem, wenn der Nutzer sich in den darunter liegenden Details nicht gut auskennt, stets Einschränkungen mit sich. Wie eben bei der Grafik.
Funktionieren wird es. Mit Abstrichen bei der Grafik und ggf. bei der Performance.
