Beiträge von Peter_Lehmann

Zitat

dann tschüss.

Sie hatten das letzte Wort und dabei soll es auch bleiben.
Deshalb hier zu.

Hallo Christoph,

und willkommen im Forum!
Handelt es sich wirklich um zwei echte Mailkonten, oder trifft das im folgenden Thread stehende:
Zwei GMX-Adressen, ein Abesender
auch bei dir zu?

Normalerweise kann man mit den Konten-Einstellungen jedes Konto einzeln bearbeiten und auch löschen.

MfG Peter

Egal ob du mehrere echte Konten oder "nur" mehrere Aliasse benutzt, du musst immer aus den vorhandenen Absendern auswählen.
So lange es nur drei Adressen sind, düftest du das doch wohl mit "Brain-01" hinbekommen.
Hast du wie ich eine "höhere zweistellige Zahl" an Absendern (das resultiert aus meiner persönlichen Strategie zur Spamvermeidung), dann helfen hervorragend Add-ond wie "Virtual Identity" und einige andere mit ähnlich klingendem Namen.
Ich bin über genau dieses Add-on begeistert, weil ich damit nicht nur jedem Empfänger automatisch und unverwechselbar seine gewollte Absenderadresse fest vorgeben kann, sondern auch noch fast alle sonst beim Versenden mögliche Einstellungen. Für mich bedeutet das natürlich, dass dort wo eine Verschlüsselung der Mail möglich ist, dieses auch ohne Nachzudenken aktiviert wird.

MfG Peter

Und ich "muss" wieder einmal voll zustimmen ... .

Aus der langen Versionsgeschichte geplaudert:
Irgendwann hatte mal jemand die Idee, einen Kalender in den TB fest einzubauen.
Und, isser fest eingebaut?

So manches wird nicht so heiß gegessen, wie es gekocht wird.
Und notfalls können wir doch wieder zurück zu Kmail oder Evolution ... .

MfG Peter

Hallo FfaM,

und willkommen im Forum!

Zitat

ich habe zwei Adressen bei GMX und dementsprechend auch beide Konten in Thunderbird.

und

Zitat

Bei GMX ist es ja so, dass man unter einem Konto mehrere Mailadressen haben kann, dementsprechend ist auch das Passwort das selbe. Rufe ich also die Nachrichten mit Thunderbird eigentlich von Adresse A ab und gebe dazu mein Passwort ein, dann läd er die Nachrichten von Adresse B mitherunter.

sagen mir, dass du den Unterschied zwischen Mailkonto und Mailadresse noch nicht so richtig verstanden hast.
Stell dir vor, du hast eine WG und diese hat einen Briefkasten. Und auf diesem Briefkasten klebt ein Zettel mit 5 Namen. Obwohl es alles einzelne Adressen sind, landet die Post in einem einzigen Briefkasten.
Bei deinem Mailprovider hast du 1 Mailkonto mit mehreren Adressen. Alle ankommenden Mails landen bei diesem einen Konto.

Lösung:
Nur das eine Konto (das "Hauptkonto") einrichten und das andere in den Kontoeinstellungen löschen. Du holst sonst ja eh nur das gleiche Konto sinnloserweise 2x ab!
Und alle weiteren Adressen sind lediglich "Weiterleitungen" oder "Aliasadressen". Diese richtest du im TB in dem eingerichteten Konto als "weitere Identitäten" ein. Beim Versenden kannst du dann aus einer Liste auswählen, welchen Absender du beim Empfänger gern anzeigen möchtest.

MfG Peter

Zitat von "FastAsAShark"

... Ich habe im Grunde keine weiteren Einstellungen an dem Mailprogramm vorgenommen. Somit ist das Programm noch "jungfreulich" und auch mit zusätzlichen AddOns unbelastet.

OK, damit Fragen 1-3 beantwortet.

Zitat

Allerdings bei der spezielle aufkommenden Eigendynamik der verschiedenen Programme möchte ich nicht ausschließen, dass sich das eine oder andere Update auch dort breitgemacht hat.

Keine Sorge, das dürfte für uns unbedeutend sein.

Zitat

Man bin ich froh, dass ich hier noch einen Rechner ohne Internetzugang habe. da funktioniern noch alle alten Installationen.

Ich gehe mal davon aus, dass das nicht der ist, mit dem du deine Mails verschicken willst.

Zitat

Die Probleme tauchen nur bei verschiedenen Empfängern auf.

Wenn das stimmt, dann ist das eine sehr wichtige Aussage!
Das bedeutet, dass du kein Sendeproblem, sondern die anderen ein Empfangsproblem haben

Zitat

Auch kann ich bei denen nicht den Quellcode erfragen. Da wäre die Empfänger vollkommen überfordert.

Um das o.g. zu beweisen, wirst du nicht darum herum kommen. Bei jedem mir bekannten Mailprogramm gibt es die Möglichkeit, den Quellcode einzusehen. Du siehst im Quellcode eingehender Mails mit welchem Mailclient diese arbeiten. Man kann sie ja aber auch fragen. Beim Thunderbird reicht es, eine Mail zu markieren und [Strg]+[U] zu drücken. Der eingebettete Mailanhang ist dann ganz schnell zumindest als ein solcher zu erkennen. Hier die ersten Zeilen eines entsprechenden Anhanges:

Content-Disposition: attachment;
	filename="DSC00132.JPG"




/9j/4AAQSkZJRgABAQEASABIAAD/2wBDAAYEBQYFBAYGBQYHBwYIChAKCgkJChQODwwQFxQYGBcU
FhYaHSUfGhsjHBYWICwgIyYnKSopGR8tMC0oMCUoKSj/2wBDAQcHBwoIChMKChMoGhYaKCgoKCgo
KCgoKCgoKCgoKCgoKCgoKCgoKCgoKCgoKCgoKCgoKCgoKCgoKCgoKCgoKCj/wAARCAHgAWgDASIA
AhEBAxEB/8QAHwAAAQUBAQEBAQEAAAAAAAAAAAECAwQFBgcICQoL/8QAtRAAAgEDAwIEAwUFBAQA

Meinst du nicht, dass du die Empfänger danach fragen kannst? Du kannst sie aber auch bitten, ihre Mails mal mit dem Webmailclient ihres Providers anzusehen. Dann kann der PC des Empfängers als Fehlerquelle ausgeschlossen werden.

Zitat

Bei mir haben Testmails anstandslos funktioniert - da ich aber nicht weiß, wo ich überhaupt suchen muss, kann ich leider die Testläufe nicht noch weiter in den WorstCase treiben.

Nach meiner oben stehenden Anleitung dafür immer noch nicht?

Zitat

Bei AntivirenProgramm bin ich etwas überfragt. Wüsste nicht, wo ich da nachsehen müsste. Bei mir fragt Norton regelmäßig nach Updates. Daher gehe ich davon aus, dass dieser als AV seine Aufgabe erfüllt.

Es geht nicht darum, ob dein AV-Programm "seine Aufgaben erfüllt", sondern dass dieses niemals
- mit dem on acess-Scanner (oft als "Hintergrundwächter" oder ähnlich bezeichnet) das TB-Userprofil überwacht, und
- den ausgehenden Mailtraffic scannen darf.
Siehe auch hier: 6 Antivirus-Software, Firewalls und externe Spam-Filter
Nebenbei: Auch sonst lohnt es sich, unsere Anleitung zu lesen ... . Es erleichtert auf jeden Fall den Umgang mit dem TB.

Selbstverständlich kann das Problem auch bei eingehenden Mails und einem falsch konfigurierten AV-Scanner beim Empfänger auftreten. Deshalb auch die Untersuchung des Quelltextes bei denen.

MfG Peter

Guten Tag FastAsAShark,

und willkommen im Forum! (<= Ja, so viel Zeit nehmen wir uns hier ...)

Wollen wir der Sache mal auf den Grund gehen.
- Nutzt du den Thunderbird "pur" oder hast du Add-ons installiert?
- Wenn ja, welche?
- Was passiert, wenn du den Thunderbird im Safe-Mode (also mit deaktivierten Add-ons) startest?
- Tritt der Effekt nur bei einem/einigen bestimmten Empfängern oder grundsätzlich bei allen auf?
- Passiert das auch, wenn du an dich selbst eine Testmail sendest (=> das sollte immer der erste Test bei Problemen sein!)
- Ist der Mailanhang im Quelltext zu sehen? Sowohl bei dir, als auch bei einem der Empfänger der "leeren" Anhänge.
- Und zuletzt: Lässt du sinnloserweise deinen AV-Scanner den ausgehenden Mailtraffic überwachen?

Bitte auf jede Frage eine Antwort, und dann sehen wir weiter.

MfG Peter

PS: Auch wenn der Transport von Megaanhängen niemals Aufgabe eines Mailsystems war und ist - ich habe meinen Widerwillen unterdrückt und schon Testmails mit 50 MB Anhang verschickt. Die Anhänge wurden bitgenau übertragen und empfangen. Und nochmal: sinnvoll ist eine derartige Übertragung nicht, aber glücklicherweise wehren sich auch die Provider dagegen. 4MB sind aber niemals ein Problem.

Nein, da war von mir nicht das kleinste Quäntchen Ironie versteckt! Ehrlich!

Die von dir gepostete Fehlermeldung war lediglich schon sehr oft Thema hier. Und bevor ich jetzt selber suche und dann auch noch mal was zu dieser Fehlermeldung schreibe, gebe ich den Hinweis zur Suchfunktion. Und wenn ein User schon selbst gesucht haben sollte, dann sollte er auch in seiner Frage anzeigen, dass die Suche erfolglos war bzw. die geposteten Lösungen ihm nicht geholfen haben.
Wozu habe ich wohl geschrieben:

Zitat

Wenn nicht, melde dich bitte noch mal.

Ja, wie zwingst du den TB zur Abfrage eines neuen PW?
Du zwingst ihn überhaupt nicht dazu!
Das kann einzig und allein der angesprochene Mailserver.
Wenn du den Server kontaktierst, dann fragt jeder Mailserver nach erfolgreicher Kontaktaufnahme nach dem Benutzernamen und nach dem Passwort für dieses Mailkonto. Wenn der Client diese Informationen nicht aus der Datei signons.sqlite auslesen kann, reicht der Client diese Frage an den User weiter. Dieser muss dann das PW eintippen und kann durch Setzen eines Hakens festlegen, dass dieses PW gespeichert werden soll.

Und wenn der Mailserver eben die Frage nach Benutzernamen und PW nicht stellt, oder sogar mit einer Fehlermeldung antwortet, dann ist genau an dieser Stelle die Ursache zu suchen. Also lange vor der Speicherung des PW.

OK?

MfG Peter

edit: mittlerweile habe ich auch deine Lösung gefunden.
DANKE, dass ich versuchen durfte, dir zu helfen.

103,5% Zustimmung, vor allem zu deinem letzten Satz!

Hallo,

also ich habe euch beide verstanden.
Susanne mit ihrer Ironie (da nehmen wir beide uns nicht viel ...) und ihrer Datensparsamkeit (da herrscht sogar echte Übereinstimmung!) und AZEngeln mit seiner Frage.
Ich kann auch den Sinn hinter deiner Frage gut verstehen. Nur eben, der Bedarf hält sich wohl in Grenzen. Ich habe mir damit geholfen, indem ich beim Einpflegen der Adressdaten eben sehr aufmerksam bin.

MfG Peter

Hallo Susanne,

ich glaube eher nicht, dass diese Grenze künstlich gesetzt wurde.
Ich stelle mir nur vor, was beim Lesen und Schreiben in solch einer Monsterdatei passiert. Da werden mehrere Dateien mit (nach den Vorstellungen mancher User) 10-x0 GB Größe offen gehalten und darin herumgeschrieben. Ja, herumgeschrieben und nicht nur angehängt, denn es werden ja mittendrin auch noch Löschkennzeichnungen gesetzt. Dann muss das ganze noch life indiziert werden. Von der ständigen Umcodierung der binären Anhänge ganz zu schweigen. Manche pressen das ganze dann auch noch ständig durch ihre AV-Scanner. Und dann gibt es die IMHO ganz Wahnsinnigen, die ihre POP3-Konten auch noch mit einem Intervall von unter 1 Minute ständig abrufen wollen. [Schon der Gedanke schüttelt mich!]
Und das Ganze nicht etwa auf einem Server mit 50 und mehr GB RAM, sondern auf einer privaten Rödelkiste mit "Grundausstattung". <= Ja, auch auf denen muss der TB stabil laufen!
Wen ich das jetzt schreibe, könnte ich sogar meinen ersten Satz korrigieren ... .

Es gibt absolut keinen Grund, solche Monsterdateien zu züchten!
Wenn jemand 4GB Posteingang hat und dann hier angeheult kommt, dann kann ich ihn nicht bedauern! Wir haben oft genug geschrieben, dass die INBOX immer leer zu sein hat, bzw. nur die noch nicht gelesenen und bearbeiteten Mails enthalten sollte. Wie in einem richtigen Büro werden die Briefe nicht im Briefkasten archiviert, sondern in einzelnen Ordnern abgelegt. Und Ordner kann der TB (im nicht ausgetesteten Rahmen des Sinnvollen) beliebig viele anlegen und verwalten. Ob man dann noch Ordner nach Projekten, nach Personen, Jahrgängen bzw. diverse Unterordner anlegt, bleibt jedem selbst überlassen.
Wenn man das beachtet, den AV-Scanner vom Profil fernhält und den mbox-Dateien auch die entsprechende Pflege angedeien lässt, kann eigentlich überhaupt nichts passieren.

BTW:
Auch wenn ich meine Mailkonten schon lange nicht mehr mit dem Grufti POP3 bewirtschafte, sondern mit dem modernen IMAP, so lagere ich dennoch mir wichtige Mails in einer lokalen Ordnerhirarchie. Ich habe dort 30 Jahre alte Erinnerungen aus der Anfangszeit der E-Mail (damals noch per uucp verschickt!). Da ich Mailanhänge niemals in der Mail archiviere, sondern stets ablöse, bin ich trotz meiner Tausenden von E-Mails weit von der genannten Grenze entfernt.

MfG Peter

Hallo rafontan,

und willkommen im Forum!
Bitte tippe mal die von dir gepostete Fehlermeldung "Der Server antwortete kein weiterer Text" in unsere Forensuche ein. Du wirst eine ganze Menge Antworten bekommen, nach denen du weiter vorgehen kannst. Das ist alles, was wir darüber wissen. Sicherlich wirst du damit weiter kommen.
Wenn nicht, melde dich bitte noch mal.

MfG Peter

Hallo AZEngeln,

und willkommen im Forum!
Ergänzung zu deiner Frage: ... und es darf nix kosten ... ?
Der Thunderbird als E-Mailclient kann das von Hause aus nicht. Ist ja auch "nur" ein E-Mailclient.
Auch ist mir kein derartiges Add-on bekannt, wohl auch deswegen, weil deine diesbezügliche Frage die erste zu dieser Problematik ist, die mir unter die Augen kam. Und Add-ons werden nun mal von Leuten entwickelt, die meistens selbst den entsprechenden Bedarf haben und dann ihre Entwicklung der Allgemeinheit zur Verfügung stellen.

Solltest du allerdings meine einleitende Frage mit NEIN beantworten, du also gewillt sein, hier eine entsprechende Entwicklung zu bezahlen, dann sehe ich schon Möglichkeiten wie du das gewünschte erhalten kannst. Es gibt genügend Freelancer, die einen derartigen Auftrag annehmen würden. Der Gockel hilft bestimmt weiter.

Zu Susannes Vorschlag:
Das klappt zwar sehr gut, aber "leider" nicht immer.
Ich habe deinen Beitrag zum Anlass genommen, und wieder mal meinen Namen beim Gocken eingetippt. Hunderte Antworten, aber nur eine einzige betrifft mich. Und das bei rund 15.000 Forenbeiträgen hier und in mehreren anderen Foren
Mit etwas Mühe klappt das schon mit der Datensparsamkeit.

MfG Peter

Hallo Rothaut,

klar habe ich das gelesen. (Lesen das unsere User auch?).
Ich habe auch absolut nichts dagegen, dass Sören da etwas zu diesem Thema schreibt. Ganz im Gegenteil!!!
Ich finde es gut, dass jemand mit entsprechendem Wissen dieses unseren Usern rechtzeitig bekannt gibt.

Nur, ich möchte eben auch rechtzeitig auf garantiert auftretende Probleme und Alternativen hinweisen.

Denke mal, dass Sören das aus meinem Beitrag auch so rausgelesen hat.

MfG Peter

Hallo Thomas,

und du meinst, dass wir TB-User hier im Forum dir darauf eine Antwort geben können?

Zitat

Aber muss es sein, ...

Bitte klicke auf das große TB-Logo oben links. Darunter verbirgt sich ein Link, über den du zu den Entwicklern kommst. Diese lesen hier bei uns garantiert nicht mit.
Dann kannst du (in schönstem Englisch) den Entwicklern deinen Unmut dazu kundtun.

Tut mir leid, dass ich dir keine andere Antwort geben kann.
(BTW: auch mir gefällt es nicht ... .)

MfGPeter

... und weise bitte auch auf folgendes hin:

Wenn die User, so wie du geschrieben hast, ohne nachzudenken das tun:

Zitat

Wenn du jetzt noch den Mail und den ImapMail-Ordner aus deinem Profilverzeichnis löschst, sollten die E-Mails neu heruntergeladen werden und das neue Format nutzen.

dann kann ich mir schon vorstellen, was passiert.

Wenn ein POP3-Account regelkonform betrieben wird, dann werden die heruntergeladenen Mails beim Abmelden des Clients auf dem Server gelöscht (aber das weißt du ja ...). Der oft beschriebene schmutzige Trick mit der Option, die abgeholten Mails auf dem Server "einfach so" zu behalten, kann, muss aber nicht ausgeführt werden. So mancher Provider hat etwas dagegen, wenn seine (zumeist zahlungsunwilligen) Kunden von sich aus an den Protokollen herumschrauben.
Es kann also ohne weiteres passieren, dass auf dem POP3-Server nichts mehr zum Abholen vorhanden ist.
Ich höre das Geschrei schon jetzt.

Derjenige, der den unbedarften Usern derartige Tricks für die Umstellung der lokalen Mailspeicherung anbietet, wird dann auch den Support dafür übernehmen

Und dann würde ich auch exakt und deutlich die Vor- und Nachteile der beiden Speichermethoden gegenüberstellen. und zwar so, dass <user> nach genauem Abwägen selbst entscheiden kann, was für seine Bedürfnisse die bessere Lösung ist.

MfG Peter

Hallo Peter,

also wenn ein Server den Versuch einer Authentifizierung ablehnt, dann hat er meistens damit Recht. WOWEREIT!

Also dröseln wir das mal auf.

1. Test der Erreichbarkeit des Servers:

peter@mars:
peter@mars:~> telnet smtp.spur-1-freunde-berlin-brandenburg.de 25 (auch mit 587 getestet)
Trying 85.13.129.239...
Connected to smtp.spur-1-freunde-berlin-brandenburg.de.
Escape character is '^]'.
220 dd3336.kasserver.com ESMTP

OK, der Server ist erreichbar, der von dir eingetragene Servername ist korrekt.

2. Verbindungssicherheit, Port und Art der Authentifizierung
Posteingangsserver: KEINE, 110, unverschlüsseltes PW => alles korrekt. Es funktioniert ja auch.
Postausgangsserver: KEINE, 587, unverschlüsseltes PW => alles korrekt, zumindest der Test mit telnet funktioniert mit dem erfolgreichen connect. Die Anmeldung kann ich ja mangels Passwort nicht überprüfen. DU kannst das aber, und solltest das bei Problemen auch testen!

3. Benutzername, Passwort, Art der Authentifizierung
Zur Art der Authentifizierung habe ich ja oben schon was geschrieben. (Immer alle drei Punkte prüfen!)
Was mir aber auffällt, ist der Benutzername. Hast du wirklich für den Posteingangs- und Ausgangsserver unterschiedliche Benutzernamen? (Und passt auch wirklich die Antwortadresse dazu?)

MfG Peter

Hi anti-neutrino,

Zitat

- Als erstes erstelle ich mir eine neue Datenbank in XCA. (Passwortgesichert und möglichst auf geschützten USB-Stick)

korrekt
Wenn du dabei noch das Netzwerk deaktivierst ist alles in Ordnung.
Zumindest unter Linux schreibt das Programm auch nur in den definierten Ordner. Ich gehe aber davon aus, dass der Entwickler das auch auf der WinDOSe so eingerichtet hat, also dass er sonst keine temporären Dateien ablegt.

Zitat

- Dann brauche ich ein Herausgeberzertifikat? [unter "Zertifikate" - "Neues Zertifikat"? oder doch unter "Zertifikatsanträge"?] Auf längere Zeit anlegen und das ist bereits signiert. Das dann noch unter "Key usage" auf "Certificate sign" stellen?

Du musst als erstes ein selbst signiertes Zertifikat anlegen ("Nummer 1"). Dazu nutzt du das IMHO gleich angebotene Template "[default] CA". Bei sämtlichen TrustCentern ist das erste Zertifikat (root-, Wurzel- oder Herausgeberzertifikat genannt) immer ein selbst signiertes Zertifikat. Es sei denn, sie sitzen in der Hirarchie unter einem anderen Herausgeber und dann wird das Herausgeberzertifikat (der öffentliche Anteil des Schlüsselpaares!) durch den privaten Schlüssel dieser vorgelagerten CA signiert. Aber das trifft für dich ja nicht zu.
Gültigkeit: 10 bis 15 Jahre. Ja, es ist damit bereits signiert.
Alle Einstellungen können so bleiben, weil im Template bereits sinnvoll gesetzt. (Musst natürlich die korrekten Daten eintragen.
Da der TB damit locker umgehen kann (und mir die wenigen Sekunden längere Erzeugungszeit nichts ausmachen) verwende ich immer RSA-Schlüssel mit 4 Kbit.

Zitat

- Dann erstelle ich die Userzertifikate. Diese kann ich dann mit dem Herausgeberzertifikat signieren. Eigentlich gleiches Vorgehen wie beim Herausgeberzertifikat ("Zertifikate" - "Neues Zertifikat") nur bei "Unterschreiben" - "Verwende dieses Zertifikat zum unterschreiben..." auswählen? Als Key usage dann "Digital Signature" wählen?

Auch völlig korekt.
Du solltest einmal einen Zertifikatsantrag bis auf den echten Usernamen voll ausfüllen.
Ich schreibe bei "o" den Namen meiner CA rein, bei "OU" "user" bei Erweiterungen/Typ = Endinstanz, 1 Jahr (!) Gültigkeit, Digital Signature, key encypherment, data encypherment, E-Mail Protction und unter Netscape die von dir bereits erwähnte Bemerkung "XCA generatet Certificate. Nur für private Anwendungen und einfache Signaturen". (Wo hast du diese denn her?)
Ich lasse auch regelmäßig Sperrlisten generieren, und trage dafür unter "crl distributions point" den entsprechenden Ort ein. Aber ich denke mal, bei deinem kleinen Nutzerkreis ist das wohl etwas überdimensioniert.
Dann speichere ist dieses als Template "S/MIME-User" an, und rufe dieses Template bei jedem neuen Userzertifikat auf.
Gleiches mache ich natürlich auch für openVPN- SSL- und sonstige Zertifikate. Das spart bei der "Massenproduktion echt Zeit.
Selbstverständlich kannst du auch die Vorlage für die CA editieren und die entsprechenden Angaben (Name der CA usw.) fest vorgeben.

Zitat

Bei beiden Zertifikaten wäre SHA1 eine sinnvolle Auswahl?

SHA1 ist der immer noch übliche Algorithmus für die Signatur. Aber auch nur, weil international damit alle Mailclients zurecht kommen. Im eingeschränkten und eng begrenzten Nutzerkreis kannst du natürlich mit anderen Alg. experimentieren. Einen großen Gewinn hast du aber nicht.

Zitat

Ansonsten ist öfter von Templates die Rede, gibt es da vielleicht "Mustertemplates" für das übliche Procedere?

Wurde beantwortet.

Zitat

Brauche ich den Menüpunkt "Private Schlüssel" überhaupt?

Wo?
Bei der Erzeugung der Zertifikate ist das wohl selbsterklärend
Oder meinst du in der GUI ganz links?
So lange du die Zertifikate und Schlüsseldateien nicht exportiert hast, brauchst du die dort stehenden privaten Schlüssel selbstverständlich. Sonst kannst du sie nicht exportieren. Du kannst sie danach löschen (wenn der Empfänger die Schlüsseldatei erhalten und auch getestet hat ... .)
Die Schlüssel der CA und auch deine eigenen Schlüssel solltest du tunlichst dort stehen lassen. Und du solltest sie sogar exportieren und auf eine DVD brennen! Gemeinsam mit den exportierten Schlüsseldateien (.p12 oder .pfx) für die CA.
Ich empfehle sogar, die gesamte "Containerdatei "ca xxxxxx.xdb" nach Abschluss der Erzeugung der Zertifikate auf die DVD zu brennen. Denn: CA-Schlüssel weg = CA tot.
Und an dieser Stelle noch einmal zur Erinnerung: Die Nutzer können auch ihre Schlüssel selbst erzeugen, dir einen Request schicken, den du dann lediglich signierst. Dann hast du natürlich nur deine eigenen privaten Schlüssel vorliegen, incl. die deiner eigenen CA.

Zitat

Kann ich ganz auf Passwörter für die Zertifikate verzichten, wenn alle Zertifikate persönlich ausgetauscht werden?

Selbstverständlich kannst du das.
Für Serverzertifikate ist das sogar üblich. (Denn dort hast du ja niemanden, der bei jeder ssl-Verbindung das PW eintippt.)
Ob das "gut" ist, musst du selbst einschätzen. Das PW eines Softwaretokens ist lediglich ein Schutz auf dem Transport ("Transportpasswort")

Zitat

Mein Mailpartner erhält ja nur meinen öffentlichen Schlüssel, kann damit die Mail verschlüsseln und ich kann die Mail dann mittels des privaten Schlüssels wieder öffnen. Dafür reicht aber ein Zertifikat, oder? Mein Mailpartner erhält mittels meiner Signatur meinen öffentlichen Schlüssel und das wars?

Korrekt.
Ich empfehle folgendes:
- beim Export der Userzertifikate ("Schlüsseldateien") immer PKC #12 with Certifikate chain" anzugeben. Dabei wird in einer einzigen Containerdatei *.p12 der private Schlüssel des Users, sein Zertifikat und das Zertifikat der CA exportiert. Damit ist beim Import in den Mailclient immer gleich das Zertifikat des Herausgebers mit installiert. Diesem muss allerdings immer das Vertrauen bewusst ausgesprochen werden.
Ich übergebe immer am meine Nutzer:
- das Herausgeberzertifikat
- die jeweilige Schlüsseldatei, und
- das Zertifikat des Nutzers, welches er auch per Mail zusammen mit dem Herausgeberzertifikat an andere Nutzer übergeben kann.

Zitat

Vielleicht kann ich ja zu einer Art "XCA FAQ" mit beitragen, wenn ichs endlich ganz kapiert habe?

Wenn du dir das antun willst, gerne. Aber du solltest erst mal suchen, denn das gibt es doch garantiert schon.

Zitat

An dieser Stelle auch herzlichen Dank an Peter_Lehmann ohne den ich wohl nie so weit in die Materie eingestiegen wäre!

Gern geschenen!

MfG Peter

Hallo LAndrov,

als ich mich das letzte mal durch die umfangreiche englische Dokumentation gequält habe, fand ich dort, dass die Verschlüsselung der (damals noch) in der signons.txt gespeicherten Passwörter mit dem symmetrischen Verfahren 3DES erfolgt. Ich gehe davon aus, dass die Entwickler dieses Verfahren weiterhin verwenden oder evtl. auch auf ein moderneres Verfahren umgestiegen sind, wofür es aber eigentlich keinen Grund gibt.
3DES ist zwar ein sehr altes, aber in all den Jahrzehnten nie kryptologisch gebrochenes Verfahren. Du kannst also davon ausgehen, dass diese in dem mit einem guten Masterpasswort geschützten PW-Manager ausreichend sicher gespeichert werden.
Aus dem Masterpasswort wird dann, wie bei solchen Anwendungen üblich, der Schlüssel für das symmetrische Verfahren abgeleitet, welcher dann natürlich auch lokal gespeichert sein muss. Aus dieser Ableitung (Hashwert) kann nur mit einem enorm großen Aufwand das verwendete und einzugebende Passwort zurückgerechnet werden.
Nach dem Öffnen des PW-Managers bleiben die Konten-PW bis zum Beenden des Programms unverschlüsselt verfügbar. Ich vermute (!), dass sie dazu im RAM gecached werden, wie in solchen Fällen üblich. Auch das steht in der Security-Dokumentation der Mozilla-Produkte, aber das habe ich mich mit meinen beschränkten Englischkenntissen nicht mehr durchgearbeitet.

HTH

MfG Peter

Hallo Mountainbird,

Zitat

Meine Frage ist: Ist bekannt, ob der bzw. die Thunderbird-Entwickler sich mal zu einem etwas moderneren und sichereren Speicherformat durchringen können?

Aha, da hast du also etwas über andere mögliche Speicherformate gelesen ... .
Hast du dir aber auch wirklich mal die "Mühe" gemacht, die Vor- und Nachteile der einzelnen Verfahren ernsthaft miteinander zu vergleichen und vorurteilsfrei zu bewerten? Diese Vor- und Nachteile gibt es nämlich bei allen angedachten und bereits genutzten Verfahren.

Wenn du bestimmte Regeln einhältst, und dazu gehören auch bestimmte Pflegemaßnahmen, das Fernhalten des AV-Scanners vom Mailprofil und eine sinnvolle Aufteilung des Mailbestandes auf mehrere mbox-Dateien usw., dann treten auch keine Probleme auf.
[Oder ich persönlich muss da was falsch machen, denn ich hatte in den über 30 Jahren, in denen ich mich mit E-Mail befasse noch keinerlei nennenswerte Schwierigkeiten.]

MfG Peter