Es ist spät, und morgen klingelt wie immer um 05:15 der Wecker ... .
Suche mal mit Hilfe unserer Suchfunktion. Ich habe schon viel zu diesem Thema geschrieben.
MfG Peter
Beiträge von Peter_Lehmann
-
-
Hi Hili,
Geh doch mal ganz sachlich an diese Sache heran.
- Wie viele Leute schicken dir mit diesem Schlüssel verschlüsselte Mails?
- Wie viele kennst du davon persönlich bzw. hast mit denen schon Mails ausgetauscht?
- Was passiert wirklich, wenn ein Unbekannter von irgendwoher deine Mailadresse bekommt, und die mal schnell eine cry-Mail schicken sollte?Genau. Du kannst sie nicht lesen.
Und was machst du? Du schreibst ihm einen netten Dreizeiler, dass du diesen Schlüssel verbummelt hast, und schickst ihm gleich deinen neuen öffentlichen Key mit.Also, mache dir keine Sorgen
Mal ganz nebenbei:
Ich finde es sehr gut, dass du deinen Schlüssel zeitlich begrenzt hast. Das machen bei GnuPG die wenigsten.
Im professionellen Bereich (ich spreche von X.509-Zertifikaten und S/MIME) dürfen wir die Schlüsseldateien nur für eine Gültigkeit von einem Jahr ausstellen! (Chipkarten: 3 Jahre)
Warum? Sollte jemand den secret-Key erbeuten, hat er nur ein Jahr zur Verfügung ... .MfG Peter
-
Hi Bruce :-),
ich versuchs mal.
Und zwar versuche ich mal, das verbleibende Risiko herauszuarbeiten. In meinem Beruf nennt man das "das kalkulierbare Restrisiko".
Was bringt uns die Verschlüsselung des Traffics zwischen deinem Client und dem Server deines Providers?
- Es wird die o.g. Verbindung schon zu ihrem Beginn, also deren Aushandlung, verschlüsselt;
- bereits der Benutzername und dessen Passwort werden verschlüsselt übertragen;
- selbstverständlich werden nach der Anmeldung auch die zu übertragenden Mails verschlüsselt. Genau gesagt, nicht die Mails, sondern "der Traffic";
- auf dem Server des Providers liegen diese Mails dann wieder in lesbarer Form vor;
- wie der Austausch zwischen den einzelnen Providern und letztendlich zum Empfänger erfolgt, kannst du weder wissen noch beeinflussen. Es ist also kein end-to-end-Schutz deiner Mails!
- Herr Neugierig (da "Bob" und "Alice" schon vergeben sind, nennen wir ihn einfach mal "Wolfgang") kann deine Mails jederzeit beim Provider abgreifen bzw. bekommt sie sogar frei Haus geliefert.
- Also dient diese Verschlüsselung lediglich dem Schutz des kleinsten Stücks der Verbindung und dabei vor allem deiner Konto-PW.
- Und vor wem? Maximal vor eventuell vorhandenen neugierigen Administratoren in Firmen, einer Uni, von Internetcafes oder einer WG usw.
- Aber immer bei Verwendung öffentlicher Zugangspunkte wie unverschlüsselten öffentlichen WLAN-AP, wo wirklich jeder mitlauschen kann!
- Als "Gegenleistung" kannst du deinen Mailtraffic nicht auf Viren scannen.Und da sind wir beim zweiten Teil, dem Scannen des Mailtraffics.
- Den ankommenden Traffic scannen zu lassen betrachte ich als zwar nicht zwingend notwendig, aber keinesfalls schädlich.
- Für zwingend erforderlich halte ich es, Mailanhänge niemals aus dem Mailprogramm heraus zu starten, sondern immer erst ablösen, scannen und dann vor Ort starten => damit relativiert sich die Notwendigkeit des Scannens des Verbindung zum pop/imap-Server.
- Als sinnfrei betrachte ich das Scannen der Verbindung zum Postausgangsserver. Es bringt fast immer Nachteile und Probleme mit sich (Timeout bei größeren Anhängen usw.) Ein verantwortungsbewusster User scannt die Anhänge, bevor er sie anderen Leuten schickt!==> Schätze selbst ein, wie groß bei beiden Möglichkeiten dein kalkulierbares Restrisiko ist. Und beziehe auch deine eigene Bequemlichkeit mit ein.
Was du unbedingt verhindern musst ist, dass der an-access-Scanner (Virenwächter) das TB-Benutzerprofil überwacht. Das kann nicht nur zu echten "Betriebsstörungen" führen, sondern sogar zum Totalverlust aller deiner Mails.
MfG Peter
-
Hi corsa.b,
und willkommen im Forum!
Du bist schon auf dem richtigen Weg.
Speichere dir mal einen Originaladresseintrag aus dem Adressbuch des TB als csv-Datei ab. Dann schau dir diese Datei am besten mit einem normalen Texteditor an - und vergleiche diesen mit deiner csv-Datei.
Meist sind es die falschen Trennzeichen oder die Reihung der Felder ist unterschiedlich. Sind es nur die Trennzeichen, kannst du das Problem mit "Suchen und Ersetzen" sehr schnell lösen. Ist es die Reihung, kannst du mit der Tabellenkalkulation deiner Wahl die Felder so verschieben, dass sie passen, notwendige Leerspalten einfügen und überflüssige Spalten löschen.Kleiner Tipp: Einen vollständigen Dummie-Adressbucheintrag mit Feldinhalt = Feldname anlegen. Dann hast du eine prima Vorlage für csv-Dateien.
MfG Peter
-
Hi 123dabei,
und willkommen im Forum!
Ich kenne deine eingesetzte "Sicherheits-"Software nicht. Weiß also nicht, ob diese nur wie von ZA bekannt eine "Firewall" ist, oder in der von dir genutzen Version ein "Sicherheits"paket darstellt, welches auch einen Virenscanner enthält.
Aber wenn du, was IMHO sinnfrei ist, deinen ausgehenden Mailtraffic on-access scannen lässt, dann ist mir klar, wieso das so lange dauert.
Dein Anhang muss von BASE-64 nach binär zurück codiert werden, wird gescannt und wieder codiert. (Was ZA aber genau macht, weiß ich nicht!) Aber all das dauert!Hast du schon mal die Einstellungen von ZA angesehen, ob du das Scannen des ausgehenden Mailtrafics deaktivieren kannst?
Außerdem empfehle ich dir das Lesen (zumindest) der entsprechenden Passagen in unserer Anleitung/FAQ. Auch die Forensuche bringt viele Beiträge zum Thema Virenscanner & Co. zu Tage.MfG Peter
-
Hi OldTrautmann,
und willkommen im Forum!
Du kannst dir jederzeit den Quelltext anschauen. Entweder per Menue, per Button "Andere Aktionen" im TB3 oder per [Strg]+[U], was wohl die schnellste Möglichkeit ist. Mehr Informationen gibt es in einer Mail nicht ... .
Oder du kannst einstellen, Ansicht > Kopfzeilen > alle. Geht auch per Tastenkombination.
MfG Peter
-
Hallo Jobst,
Die Sache ist eigentlich ganz einfach ... .
Wenn du ein Update deines Systems machst, erkennt das Installationsprogramm, dass dort schon ein /home vorhanden ist, und bindet es nach Rückfrage wieder ein. Fast alle Programme finden dann ihre .-Ordner im ~/ wieder und funktionieren sofort. Das /home wird ja nicht angerührt.
Ich lasse hier ganz bewusst die Datensicherung außer acht, nur ganz "mutige" Menschen verzichten darauf ... .Ob ein Upgrade von 10.3 auf 11.2 möglich ist, weiß ich auch nicht. Versuchen ... .
Meine Empfehlung:
Richte dir für /home eine eigene Partition ein! Auch sie wird immer sofort bei einer Neuinstallation erkannt und ohne Veränderungen übernommen. Also je eine Partition für /, eine für swap und eine für /home.
Dann werden bei 11.2 einige Veränderungen vorgenommen. Kein KDE3 mehr, neue Ordner als Voreinstellung usw. Deshalb empfehle ich, als ersten anzulegenden Nutzer einen Dummie anzulegen und diesen zu starten. Dann unter /home die bisherigen Nutzer umbenennen /home/<user> ==> /home/<user>_old.
Jetzt die neuen/alten Nutzer anlegen und damit einloggen. Damit hast du saubere Verhältnisse in /home. Und jetzt kannst du die zutreffenden Ordner von /home/<user>_old nach /home/<user> verschieben. Bei den .-Ordnern eben immer etwas überlegen, ob du die alten wirklich benötigst. Bei .thunderbird kannst du das bedenkenlos machen. Oder zur Sicherheit nicht verschieben, sondern kopieren.Ich installiere immer neu! Habe noch nie ein Upgrade gemacht (von 5.x bis 11.2!) und bin damit immer gut gefahren. Stabilität geht mir vor Bequemlichkeit! (Vorausssetzung ist natürlich dei eigene /home-Partition!)
Viel Erfolg!
MfG Peter
-
Hi Marc,
mir ist nicht verständlich, warum ihr für den ocsp-Responder eine eigene CA aufgesetzt habt.
Wir signieren sowohl die crl als auch die ocsp-Antwort mit je einem Serverzertifikat, welches von der gleichen CA signiert wurde. Dieses Zertifikat unterschreibt ja im Auftrag genau dieser CA, dass die crl und auch die positiven Antworten stimmen.
Versuchs mal damit.Ansonsten kann ich nur sagen, dass es bei mir mit TB2 mit ocsp funktioniert. Den TB3 nutze ich noch nicht.
Der ocsp-Pfad ist in allen Nutzerzertifikaten eingetragen. Im TB ist eingestellt, dass er diesen Eintrag nutzen soll.MfG Peter
-
Hi reki,
wir Großeltern helfen uns doch gern
Zwei kleine Ergänzungen noch dazu:
1. Wenn du die Signons.* löschst, sind natürlich auch die eingespeicherten Passwörter weg. Ich sags ja nur ... .
2. Ich bin mir jetzt nicht ganz sicher bei der neuen Version des TB, ob du nicht auch gleich die "signons.sqlite" mit umbenennen solltest. signons.* ist die Datei, in welcher die Passwörter gespeichert werden.Also, wenn es nach dem Umbenennen der drei genannten Dateien immer Probleme gibt, benenne die o.g. Datei auch noch mit um.
((@wissende: Falls der Punkt 2 Blödsinn beinhaltet, sagt es mit bitte ... .))MfG Peter
(der immer noch an seinem TB2 festhält ... .) -
Selbstverständlich ist das standardisiert. Den x.509-Standard kann jeder einhalten - oder auch nicht ... .
Jedenfalls freut es mich, dass es jetzt auch bei dir funktioniert.
MfG Peter
-
Ohne dass du auch nur einen Buchstaben in die Suche eintippst, wird dir nichts angezeigt. Ist nun mal so ... .
-
Hallo Thomas,
du erwartest aber nicht etwa, dass der ldap dir die Adresseinträge von sich aus liefert? Einen einzigen Buchstaben (einen Punkt oder ein @) musst du schon eingeben.
Nebenbei: Ich freue mich, dass so langsam einige User mehr sich mit dem Thema ldap befassen ... .
MfG Peter
-
Hi basti2010, (<== ja, so viel Zeit nehmen wir uns hier ... .)
Vielen Dank für deine Information, denn um eine solche handelt es sich ja wohl.
Du hast die Möglichkeit, deine Kritiken, Wünsche und Anregungen direkt an die Entwickler weiterzuleiten. Den Link dazu findest du im Forum. Die Entwickler lesen hier kaum mit, und von uns wird für dich hier niemand einen Bugreport verfassen.Mit den hier üblichen Grüßen!
Peter
-
Hi regi,
ehrlich, manchmal frage ich mich wozu wir uns die Mühe machen, und eine Anleitung verfassen ... .
==> https://www.thunderbird-mail.de/wiki/Das_Profil-Verzeichnis_finden
MfG Peter
-
In Kurzfassung:
POP3:
schon sehr alt (um 1984)
Mails werden vom Server heruntergeladen, lokal gespeichert und auf dem Server gelöscht.IMAP:
das moderne Protokoll
Vorteil: die Mails bleiben auf dem Server, können somit auch mit mehreren Clients abgeholt werden
auf dem Client befindet sich lediglich eine Liste mit den auf dem Server vorhandenen Mails
zum Betrachten wird die Mail jedesmal neu heruntergeladen (du kannst sie auch zusätzlich lokal speichern)
==> die lokale Ansicht spiegelt die tatsächlichen Verhältnisse auf dem Server wieder
==> alles, was du lokal machst (auch das Löschen!) wird dann auf den Server repliziertAlso: du hast deine Mails lokal gelöscht - und der imap-Client hat reagiert, wie er sollte ... .
(Diese Kurzfassung ersetzt aber nicht das Lesen und Verstehen diverser Anleitungen!)
MfG Peter
-
Hi ickbins,
und willkommen im Forum!
Lass mich raten .... .
1. Du verwaltest deine Konten per IMAP ??????????????? und
2. du hast es bis jetzt geschafft, um unsere Anleitung einen großen Bogen zu machen?Wenn beides zutrifft, dann war ...
1. Zwar gut, aber im Zusammentreffen deiner Löschaktion und mit 2. ein großer Fehler.Merke: Helfen können wir nur, wenn wir auch INPUT haben. Sonst müssen wir raten, und das bringt nicht viel.
Tipp: Suche mal mit Hilfe unserer Suchfunktion und evtl. auch mit Wikipedia nach IMAP (wenn meine Vermutung Nr. 1 zutrifft). Dann wirst du erkennen, was passiert ist.MfG Peter
-
Hallo Jürgen,
wenn du beim TC ein Zertifikat sperren lässt, wird es auch sauber in deren Sperrliste (crl) eingetragen. Soweit gut.
Aber nenne mir bitte drei Leute, die auch ihren Mailclient so eingestellt haben, dass sie Sperrlisten downloaden und auswerten lassen
(OK, brauchst nur noch zwei ... .)Was auf jeden Fall funktioniert ist, dass deine Zertifikate auf der Such-/Downloadseite als gesperrt angezeigt werden. Und da du ja bislang niemandem deine Zertifikate gegeben hast, wird sie ja auch niemand benutzen. Und selbst wenn, kann ja trotzdem ein Absender diese Zertifikate zum Verschlüsseln an dich diese verwenden. Du kannst mit den eingerichteten Schlüsseln auch die damit verschlüsselten Mails lesen. Ich schleppe alle seit Jahren gesperrten Zertifikate in meinen Speicher für eigene Z. mit. Ich brauche sie, sollte ich mal eine Mail lesen wollen, die mir jemand vor 5 Jahren geschickt hat. Sonst könnte ich sie löschen (die Zertifikate und natürlich auch die Mails ... ).
Da ich diverse Sperrlisten auswerte, wird auch im TB jedes mal sauber angezeigt, dass das Zertifikat des Absenders gesperrt oder abgelaufen ist.Martin:
Ich bin heute noch nicht dazu gekommen, mal mit einem frischen Testprofil unter TB3 mehrere Zertifikate auf einem Namen zu testen. Es gibt Anzeichen (=> Jürgen schreibt so etwas), dass es mit Zertifikaten eines anderen Anbieters problemlos funktioniert und die Probleme nur bei Zertifikaten vom TC HH auftreten. Das kannst du ja auch mal testen. Ich bleibe aber an dem Problem dran.MfG Peter
-
Ich schaue mir das morgen mit TB3 an.
Fakt ist, dass ich schon seit Jahren (von TB1 bis TB3) mehrere Zertifikate auf meinem Namen hatte und es sind noch nie Probleme aufgetreten.
Auf dem TB3 habe ich allerdings (was ich sonst nie mache!!!) ein altes Profil einfach weiter verwendet. Ich werde mir morgen mal noch einige Zertifikate herstellen und importieren. Ich melde mich mit dem Ergebnis.MfG Peter
-
Hi methusalem,
du schreibst, dass du EIN ... Mailkonto mit MEHREREN Absenderadressen verwendest.
Hier ist die Sachlage recht klar. Da kannst du auch nur ein Zertifikat in den Kontoeinstellungen speichern. Die anderen Adressen sind ja Aliasse.Es gibt da eine Erweiterung mit der du auch im Dialog für "weitere Identitäten" die Möglichkeit hast, diesen jeweils ein Zertifikat hinzuzufügen. ==> https://addons.mozilla.org/de/thunderbird/addon/8814
MfG Peter
-
Keine Sorge, selbstverständlich kannst du mit dem Thunderbird ein gmx-Konto bedienen. Überhaupt kein Problem.
Ich wollte nur wieder einmal klarstellen, dass das Verbiegen der Mailprotokolle nicht immer und nicht bei jedem Provider funktionieren muss. Es kann also jederzeit passieren, dass ein Provider so wie es in den Regeln steht, die heruntergeledenen Mails löscht.MfG Peter