Hallo towerhill,
und willkommen im Thunderbird-Forum (<= Ja, so viel Zeit nehmen wir uns hier ...)
Nach einem kleinen Blick in unsere => Anleitung weißt du, dass du durch einen Klick in den jeweiligen Spaltenkopf die Anzeige beliebig sortieren kannst.
MfG Peter
Hi Christian,
Zuerst einmal ist festzustellen, dass eine (zugelassene) Prozessorchipkarte weltweit als das sicherste Mittel zur Speicherung eines kryptologischen Langzeitgeheimnisses (eben des private key) gilt. Bei einer ordnungsgemäß produzierten Chipkarte gibt es ggw. trotz intensiver Forschung keine effektive Lösung, um den private key von der Karte zu kopieren. Das bedeutet, dass das Chiffrat (der verschlüsselte symmetrische Schlüssel) zur Karte geleitet und dort im kryptologischen Coprozessor entschlüsselt wird. Dann geht der entschlüsselte symmetrische Schlüssel wieder übers Kabel zurück und mit seiner Hilfe wird auf dem Rechner der eigentliche Content entschlüsselt. Beim Signieren ist es umgekehrt, dann geht der Hashwert der Datei zur Karte usw. .
Der private key ist wiederum mit einer in der Regel 6-8 stelligen PIN gesichert, welche nach 3 Fehlversuchen die Karte sperrt ... .
Bei der Produktion der Karte gibt es zwei Verfahren zur Generierung der Schlüsselpaare ("Vorpersonalisierung"):
Der private key wird unmittelbar durch den auf der Karte befindlichen kryptologischen Rauschgenerator erzeugt und auf der Karte in seinem Slot gespeichert. Er verlässt also niemals die Karte! Eine Kartenkopie ist völlig ausgeschlossen. Ebenso eine externe Speicherung des private keys (key escrow).
Die zweite Lösung ist ein hochsicherer und zugelassener externer Rauschgenerator, welcher die Zufallszahlen liefert, die dann über ein ebenfalls hoch gesichertes System auf die Karte gebracht werden. Hier muss die Sicherheit durch bauliche, technische und organisatorische Maßnahmen gewährleistet werden. Und das wird sie auch ... . Für den Kunden sind beide Lösungen im Endeffekt identisch. Ein key escrow ist theoretisch möglich, aber kein Trustcenter würde das Risiko eingehen, gegen seine Policy zu verstoßen.
Wenn der private key auf der Karte ist, berechnet in beiden Fällen der kryptologische Coprozessor den public key. Nur dieser ist auslesbar. Später wird der public key noch mit den Zertifikatsdaten ergänzt und mit dem private key des Herausgebers signiert.
Und das ist dann das eigentliche Zertifikat.
Es ist auch möglich, dass die Karte nach einer der beiden ersten Möglichkeiten vorpersonalisiert wurde. Was noch fehlt, ist die Aufwertung des zweiten public key zum Zertifikat. Das wird die Lösung sein, welche dir dein Zertifizierungsdiensteanbieter (ZDA) anbietet. Auch eine gute Lösung. Hat (für den Herausgeber) den Vorteil, dass in einem Arbeitsgang alle Schlüssel erzeugt werden, der Kunde den zweiten erst nutzen kann, wenn er vorher dafür zahlt und das zweite Zertifikat erzeugen lässt. Es wird nur der public key zur Zertifizierung an das Trustcenter übertragen! Der private key - siehe oben ... .
Jetzt gibt es noch die dritte Möglichkeit, die "Billiglösung".
Es gibt Karten, welche eine Schlüsseldatei (.pfx, .p12) importieren können. Wenn diese erst einmal importiert sind, ist das Ergebnis mit den ersten beiden Fällen (in etwa) vergleichbar. Aber vorher war es eben eine billige Schlüsseldatei ... . Aber selbst bei den Kostnixzertifikaten produziert dein eigener Rechner (!!!) den private key und es wird nur ein so genannter Request (Zertifizierungsdaten + public key) übers Internet an das Trustcenter gesendet!
Dann ist es (nicht überall, aber in bestimmten Bereichen ...) üblich, die Zertifikate in ihrer Funktion zu beschränken. Diese sind dann also nur zum Entschlüsseln, oder zum Signieren oder nur zur Authentifizierung an IT-Systemen oder nur zur qualifizierten Signatur usw. zu verwenden. Ergebnis: bestimmte kryptologische Angriffe laufen ins Leere. Dann sind eben zwei, drei ... oder auch 5 Zertifikate auf der Karte.
Und (wieder in bestimmten Bereichen bzw. Programmen ...) wird der kryptologische Rauschgenerator der Karte auch direkt zur Erzeugung des jeweiligen symmetrischen Einmalschlüssels verwendet. Und es gibt schon Unterschiede zwischen dem Pseudozufallszahlengenerator der WinDOSe und dem kryptologischen Rauschgenerator einer Prozessorkarte ... .
So, jetzt habe ich dich mit Fachwissen zugedröhnt. Deine Frage kannst du jetzt selbst beantworten 
Und immer schön sicher bleiben, auch wenn "Wolfgang" deswegen Probleme mit seinem Schlaf hat ... .
MfG Peter
Hi Christian,
und willkommen im Forum.
Zunächst muss ich sagen, dass ich noch absoluter Anfänger in Sachen E-Mail-Sicherheit bin, aber dennoch nicht darauf verzichten möchte.
Das ist sehr lobenswert.
Ich würde dir aber sehr empfehlen, das ganze schrittweise anzugehen. Also nicht gleich mit dem Einbinden eines weiteren CSP und der Chipkarte, sondern erst einmal mit einem Softwaretoken.
Meine Anleitung in den FAQ kennst du?
Jedoch bringt jedes Lesen im Internet mehr Fragen als Antworten, ...
deshalb: siehe oben ... .
Karte: Sparkassen HBCI-Karte von S-TRUST (Karte ist HBCI- und signierfähig)
Leser: Cherry Smartboard G83-6744 mit integriertem Leser
System: Windows XP SP3, TB 2.0.0.19
Das Cherry Smartboard ist eine gute Wahl. Benutze den neuesten Treiber direkt von der Webseite des Herstellers.
Die Middleware benötigst du (unter anderem), um die proprietäre Schnittstelle der Karte in eine standardisierte pkcs#11-Schnittstelle gegenüber der Anwendung umzuwandeln. Das Problem ist also, dass der CSP mit genau deiner Karte umgehen kann. Die "andere Seite" ist standardisiert.
Du solltest dich also an den Hersteller der Karte wenden (Dt. Sparkassenverlag), und diesen fragen.
Wenn der CSP zur Karte passt, kannst du mit diesem Programm deine Karte und auf dieser deine Zertifikate in irgend einer Form "sehen" und den Inhalt (alles, außer dem private key!) anzeigen lassen. Damit ist der erste Schritt getan.
Welche Datei du dann als zusätzliches Modul in den Kryptographiemodul-Manager laden musst, müssen wir dann sehen. Bei meinen vielen Tests hat es immer irgendwie funktioniert ... . Ein gutes Programm liefert auch immer eine Anleitung mit.
MfG Peter
Hallo JensElisabethPeters ,
und willkommen im Thunderbird-Forum (<= ja, so viel Zeit nehmen wir uns ... .)
Selbstverständlich kannst du im Thunderbird (fast) beliebig viele Mailkonten einrichten.
Du kannst auch einem Mailkonto (fast) beliebig viele Mailadressen (= Aliasse) zuordnen.
Aber bitte erwarte nicht, dass wir uns jetzt hinsetzen und unsere => Anleitung abtippen.
Also selber durchlesen, versuchen selbige zu verstehen und eventuell noch vorhandene Fragen posten. Dann helfen wir gern.
MfG Peter
Bei den genannten IPs handelt es sich um "private Adressen", also sind diese nur aus dem Firmennetz zu erreichen. Gleiches trifft für die Servernamen zu.
Hier kann also durch mich nicht gegengeprüft werden.
Wenn du die Server anpingst, müsstest du in der Antwort die genannten IPs sehen. Wenn das so ist, kannst du wahlweise die IP oder den Servernamen im Programm eintragen.
Du solltest jetzt Ausgugg öffnen und die dortigen (funktionierenden) Einträge penibel mit denen im Thunderbird vergleichen. Dann solltest du auch eventuelle Fehlermeldungen beachten und hier im exakten Wortlaut nennen. "seitdem können wir über TB keine Mails mehr empfangen." ist keine Fehlermeldung!
Und nebenbei: In einer Firma gibt es (meistens) auch Administratoren und sonstiges IT-Personal ... .
MfG Peter
Hallo GH,
hier kann dir wirklich niemand helfen.
Wenn du uns keinerlei Angaben gibst ("der Emailserver geändert, ..., POP3 10.203.xx.xxx 110") dann kann ich mich nur immer wieder wiederholen: "- die exakten Serverdaten richtig im Thunderbird eingetragen wurden".
Das du mit "Ausgugg-Maximus" deine Mails abholen kannst, ist immerhin ein Beweis für die Punkte 1 und 2.
MfG Peter - der zum Glück nicht wie "Wolfgang" direkt auf deinen Rechner schauen kann bzw. darf ... .
Hi gnomhawaii,
Gibt es Mailserver über die man mit TB keine Mails abrufen kann?
Wenn es sich um einen
- ordnungsgemäß betriebenen pop3 oder imap-Server handelt;
- dieser vom Client aus erreichbar ist (=> Test mit telnet, siehe Anleitung) und
- die exakten Serverdaten richtig im Thunderbird eingetragen wurden
dann kann Thunderbird von jeden Mailserver Mails abholen. Gleiches trifft auch für den Postausgangsserver (smtp) zu.
Thunderbird kann auch problemlos mit einer größeren Anzahl von Mailkonten umgehen. Müssen halt alle einzeln eingetragen werden.
Vermutlich liegt dein Problem in einer nicht richtigen Konfiguration.
MfG Peter
Hi jeversu,
und willkommen im Thunderbird-Forum.
Ja, dieses Problem ist uns gut bekannt, die Forensuche bringt einige Beiträge damit zu Tage.
Zwei Lösungsansätze:
- Versuche mal nach "Anderer Ordner" >> und dann wieder den Gesendet-Ordner auf dem Server. Manche berichten, dass es bei ihnen funktionierte.
- Speichere die gesendeten Mails lokal und schubse die aufhebenswerten Mails dann manuell auf den Server. Das klappt immer.
MfG Peter
Hi Klaus,
ich gebe dir völlig Recht - andere Programme machen es "anders" und für Einsteiger evtl. etwas einfacher.
Aber dafür haben wir ja unsere Anleitung ...
Die Methode beim Thunderbird hat aber auch viele Vorteile: Viele Provider im Ausland sperren zum Bsp. den Zugang zu fremden smtp. Dann freue ich mich über die Flexibilität. Denn den smtp der zum Mailprovider mutierten bekannten Datenkrake mit den 2 "g" und den 2 "o" lassen kurioserweise fast alle Provider passieren.
MfG Peter
Hi Klaus,
und willkommen im Thunderbird-Forum.
Hast du jedem Konto auch den richtigen smtp zugeordnet?
Du hast die Möglichkeit mehrere smtp-Einträge zu konfigurieren. Und du musst dann auch den Konten "den richtigen" in den Kontoeinstellungen zuordnen.
MfG Peter
Hi seven7en,
ich freue mich, dass du das Problem nach selbständigem Lesen diverser Anleitungen (!!) selbst lösen konntest. Das ist der beste Weg.
Falls du weitere Fragen hast, sind wir gern für dich da.
Jetzt gehe bitte noch einmal zu deinem Beitrag, betätige den [Ändern]-Button und schreibe hinter die Überschrift "[gelöst]". Danke.
MfG Peter
Hast du dieses Problem auch im Safe-Mode?
und du antwortest mit: "Weiß ich nicht. ", erwartest aber, dass wir dein Problem lösen ... .
Was hält dich ab, den Thunderbird ein einziges mal im Safe-Mod zu starten und damit sicher festzustellen, ob es sich beim Verursacher deines Problems um den "reinen Thunderbird" oder um ein irgendwie inkompatibles AddOn handelt? (Was unsere Vermutung ist).
MfG Peter
Hi Joram,
also normal ist das nicht
Du solltest also Ursachenforschung betreiben und dich dabei nicht auf den Thunderbird beschränken.
Zuerst stell im TB mal sicherheitshalber ein, dass die empfangenen Mails nicht vom Server gelöscht und nur die Kopfzeilen geholt werden. Damit schaust du also nur nach, ob Mails im Postfach liegen.
(Ich gehe einfach mal davon aus, dass du pop3 nutzt.)
Dann schau dir deine Einstellungen an. Hast du Filter eingerichtet?
Deaktiviere mal zum Test das Spamfilter. Vielleicht werden die Mails als solcher erkannt und - weil so eingestellt - gleich gelöscht? Schaue dir auch unter "Ansicht" im Menue an, ob du eventuell etwas in der Ansicht ausgeblendet hast. Könnte ja sein ... .
Wenn die nächsten Mails angezeigt werden (sie werden ja jetzt nicht gleich runtergeladen!), öffne Webmail und schaue dir die Mails dort an. Sind sie wirklich "da"? Sind es seriöse Mails oder augenscheinlich Spam? Ist überhaupt ein richtiger Inhalt da? usw. Schätze also ein, ob TB irgend einen Grund hätte, diese Mails nicht anzuzeigen.
Und wenn du beides überprüft hast, klicke auf die Mails und schau sie dir im TB an. Das ist zwar etwas mühsam, aber zur Ursachenfindung IMHO erst mal notwendig.
MfG Peter
Hi snemies,
denk doch mal ganz sachlich über dein Ansinnen nach ... .
Klar kannst du diese Trennzeichen ändern. Kannst meinetwegen zwei einfügen. Kein größeres Problem.
Aber wer soll denn diese Trennzeichen auswerten?
Richtig - die Mailprogramme, welche deine Mails empfangen und evtl. weiterleiten.
Du müsstest also weltweit diese Änderung auf allen Mailprogrammen durchführen lassen. Ob du wohl dazu Zustimmung finden wirst ... ?
Diese Trennzeichen haben sich bewährt, haben ihren Sinn (Auch wenn manche diesen nicht erkennen wollen/können), sind standardisiert und wir sollten sie so lassen, wie und wo sie sind.
MfG Peter
Immer noch nicht gefunden?
=> Ansicht >> Nachrichtentext.
MfG Peter
Hi Andre',
es ist zwar ein klein wenig verworren, was du da schreibst:
> Server seitig ist das in pop3-Konto
und
> Wenn ich z.B. nicht zu Hause bin (PC) rufe ich die Mail´s über imap vom Laptop ab.
Da du nur einen imap-Server per imap bedienen kannst, vermute ich mal stark, dass es wirklich ein (modernerer) imap-Server ist, den du auch per pop3 bedienen kannst. Viele Provider lassen das ebenso zu.
Jetzt verschiebst du also mit deinem Mailprogramm die mit smtp gesendeten Mails zusätzlich per imap in den Gesendet-Ordner deines Kontos.
Aber: pop3 hat standardmäßig nur Zugriff auf den Posteingangsordner (Inbox) beim Provider. Bei imap kannst du ja alle Ordner "abonnieren", also auf deinem lokalen Rechner anzeigen lassen. Bei pop3 geht das nicht, da siehst du nur den Inhalt der Inbox. Das ist eben so und 1982, als diese alten Protokolle pop3 und smtp entwickelt wurden war das auch gut so.
Es gibt einige wenige Provider (web.de gehört wohl dazu), da kannst du übers Webfrontend einstellen, dass auch andere Ordner in den Posteingang "gespiegelt" werden und somit per pop3 abgeholt werden. Aber das ist sehr selten.
Mein Vorschlag: Stelle deine Konten (besser: die Bedienung deiner Konten im Mailprogramm) auf imap um ... .
MfG Peter
Hi Antonius,
ich antworte mal im Auftrag deines direkt angesprochenen Thunderbird:
Sei froh, dass ich für dich eine verschlüsselte Verbindung betreibe und aufpasse, dass sich kein (böswilliger) Fremder in deine Verbindung reindrängelt.
Und ich werde meines Auftrages entsprechend, dich so lange mit Fehlermeldungen nerven, bis die im Zertifikat befindlichen Einträge exakt mit den Namen der Server übereinstimmen. Und ich akzeptiere nicht, wenn ein Server pop.xxx.yy heißt und du mir ein Zertifikat mit dem Namen "localhost" vorsetzt.
Und wenn du das als "Mist" bezeichnest, dann hast du das Prinzip noch nicht verstanden.
Wenn du auf diese Serviceleistungen keinen Wert legst, es dir also egal ist ob dich jemand belauschen kann oder als "man in the middle" in deiner Verbindung ist, dann kannst du die gesicherte Verbindung gern in den Einstellungen deaktivieren. Es ist ja schließlich deine Privatsphäre ... .
Es soll da auch irgend so eine Erweiterung geben, mit deren Hilfe du diese gut gemeinte Warnung einfach unterdrücken kannst. Aber da mir als dein Thunderbird ein derartiges Verhalten zuwider ist, musst du schon selbst danach suchen. Die Wirkung dieses AddOn ist die gleiche, als würdest du in deinem Auto die Warnleuchte für die Öldruckkontrolle herausdrehen.
Dein Thunderbird
Wenn du dir wirklich sicher sein willst, dass niemand dein Mails liest, dann installier dir einen Portable TB auf einem USB-Stick, den dann nur du nutzt und sieh zu, dass den Stick niemand anderes in die Finger bekommt.
kleine Ergänzung:
- verschlüssele ALLE Mails
- natürlich auch den Stick
- gehe damit nie an einen fremden Rechner
- sperre deinen PC immer in einen Pz-Schrank, damit dir niemand in deiner Abwesenheit "etwas" einbaut
- kaufe dir einen abstrahlgeprüften Rechner (Zone 0), damit das unauffällige Auto vor dem Haus ...
- hänge dir immer ein schwarzes Tuch über Rechner und Kopf, damit die Kamera hinter dir ...
Jetzt wird es langsam [OT]
Aber der erste Punkt ist Pflicht (wenn man will dass niemand die Mails liest), die nächsten beiden Punkte eigentlich auch.
Aber wir haben ja alle nichts zu verbergen ... .
Nebenbei zum sicheren Löschen:
Der "dicke Magnet" ist ein "Gauss-Ofen". Vollstapeln mit zu löschenden HD, 10 Minuten einschalten, Warten bis sie wieder abgekühlt sind und ab in den Schrott ... . Dieser wird aber nur bei einer sehr hohen Schutzwürdigkeit benötigt. Etwas tiefer gibt es dafür zugelassene Programme, die sehr sicher löschen. Und mit DBAN (Boot-CD) hat jedermann eine Freeware zur Hand, die das Löschen mit sehr hoher Sicherheit erledigt.
Und immer daran denken: DIE Sicherheit gibt es nicht, nur die "an Sicherheit grenzende Wahrscheinlichkeit" Und man kann auch alles übertreiben ... . (s. oben)
MfG Peter
Dann schau dir die Einstellungen deines bisherigen Programmes an. Es müssen auch dort die Namen der Server (pop.xxx.de oder imap.xxx.de) eingetragen sein.
MfG Peter
Hi ToLu,
leider schreibst du nicht, nach welchem Protokoll du deine Mails abholst. Aber wenn ich "direkt auf dem Server ..." lese, vermute ich mal imap.
Selbstverständlich beherrscht der TB auch dieses Protokoll.
Du kannst bestimmte Ordner in den Einstellungen "zum Offline-lesen wählen" oder auch einzelne Mails einfach in einen lokalen Ordner kopieren. Letzteres geht auch mit Filter. Du kannst auch bestimmte Mails sogar mit einem AddOn (ImportExportTools) ins standardisierte .eml-Format konvertieren und an einem Platz deiner Wahl außerhalb des TB archivieren. Das geht sogar automatisiert.
Am besten, belese dich mal in der Anleitung/den FAQ und falls dann noch Fragen auftreten, beantworten wir sie dir gern.
MfG Peter
