Beiträge von Peter_Lehmann

Hi dbhom,

und willkommen im Forum.
Grundsätzlich ist es unter Beachtung einiger Voraussetzungen möglich, das Profil ins Netz zu verlegen.
Im Profilordner (also ...\Dokumente und ...\user\Anwendungsdaten\Thunderbird <==) gibt es die profiles.ini, welche auf den eigentlichen Profilordner verweist. Der Profilordner ist der, mit dem "Zufallsnamen".

Du kannst also diesen Ordner ins Netzlaufwerk legen und mit der profiles.ini darauf verweisen. Das geht am einfachsten mit dem Thunderbird-eigenen Profilmanager (=> Doku). Aber Fachleute schaffen es auch mit dem Editor ... .

Neben der Beachtung von Zugriffsrechten usw. ist es ganz wichtig, dass immer nur ein Client auf das Profil zugreifen darf.

Und noch zwei abschließende Bemerkungen:
Obwohl ich seit mehreren Jahren als Privatperson ein sehr zufriedener TB-Nutzer bin, würde ich doch einem Universitätsklinikum eine kommerzielle Lösung mit eigenem Mailserver (LoNo + Domino oder meinetwegen auch ein Produkt von M$) empfehlen.
Und: ich habe mir erlaubt, die im Forum übliche Umgangsform zu benutzen. Denke mal, dass das nicht auf Probleme stößt ... .

Viel Erfolg!

MfG Peter

Hi,

alles völlig richtige Antworten ... .
Meine Erfahrung aus vielen Tausend per Thunderbird gesendeten und empfangenen Mails (mindestens auch noch 85% per S/MIME verschlüsselt) sagt mir, dass TB wirklich bitgenau überträgt. Meine Mails werden auch von so ziemlich allen in the wild befindlichen Clients gelesen.

Es ist auch bekannt, dass beim Mac "so manches ein klein wenig anders ist". Aber auch mit Mac-Freunden habe ich kaum (nicht "keine"!) Probleme.

Ich will hier nur an das einzig sichere Mittel erinnern, mit dem man eindeutig (!) feststellen kann, ob eine Mail bzw. ein Anhang wirklich bitgenau gesendet wird:
Holt euch aus dem Internet ein Programm, welches Prüfsummen (MD-5) bildet. Lasst von einem beliebigen Anhang (verschiedene Formate, .doc. .exe, .pdf usw.) die Prüfsumme berechnen und schickt die Anhänge und die Prüfsummen an Freunde mit verschiedenen Mailsclients - und auch an euch selbst. Dort empfangen, ablösen und die Prüfsumme berechnen - und vergleichen.

So könnt ihr zumindest feststellen, ob der TB sauber sendet und ob die anderen Programme auch sauber empfangen.

Ich habs gemacht, meine Feststellungen stehen oben. Auch der Mac bringt die gleiche Prüfsumme ... .

MfG Peter

... aber manchmal haben die "fähigen Leute" keine Zeit, obwohl sie den Beitrag gelesen haben.

Hallo Nemisis,

und willkommen im Forum.

Mit der "Sicheren Kennwortauthentifizierung " gibt es eine Möglichkeit, bei Servern welche keine durchgängige Verschlüsselung (TLS oder SSL) verwenden, die unverschlüsselte Übertragung des Passwortes zu verhindern. Der Rest, also der eigentliche Traffic, wird offen übertragen.

Wie du vielleicht weißt, kann jeder der direkten Zugriff auf deine Verbindung hat, mittels eines Netzwerksniffers nicht nur deine Mails (also den Traffic), sondern auch deine Konto-Passwörter mitlesen. Dies trifft vor allem zu, wen du nicht über einen eigenen Internet-Zugang, sondern über ein LAN (Firma, Uni, Wohngemeinschaft ...) ins Internet gehst. Hast du einen eigenen Zugang, dann ist dieses Mitsniffen zwar sehr wohl auch möglich, aber nicht ganz so einfach. Und diejenigen ..., haben andere Möglichkeiten.

Und jetzt die schlechte und die gute Meldung:
1. Kaum ein öffentlich zugängiger Provider bietet dieses Verfahren an.
2. Aber wenn dein Provider die durchgängige Verschlüsselung der Verbindung zu seinem Server mit TLS oder SSL anbietet, dann ist die Verbindung bereits vor dem Senden des PW verschlüsselt! Damit macht das zusätzliche Verschlüsseln des PW keinen Sinn mehr.

Du weißt aber auch, dass diese Verschlüsselung der Verbindung nicht gleichzusetzen ist, mit der Verschlüsselung deiner Mails? Es wird also lediglich die Verbindung zu deinem eigenen Provider verschlüsselt! Das kannst du hauptsächlich als Schutz deines PW (oder als Maßnahme gegen allzu neugierige Administratoren ...) verstehen. Wenn du willst, dass keiner deine Mails lesen kann, dann musst du diese verschlüsseln. Du kannst gern in unsere FAQ schauen, ich habe dort dazu etwas geschrieben.

> smartcards oder fingerprint etc
Naja, jetzt wird es teuer ... .
Du kannst die zur Entschlüsselung von verschlüsselten Dateien, Mails und sonst was benötigten geheimen Schlüssel auf Smartcard speichern. Aber ich denke mal, das ist wohl etwas "überdimensioniert". Zumindest für die private Nutzung. (Mehr dazu steht in den FAQ!)

MfG Peter

Hi Boris,

ich kann deine Probleme weder verstehen noch nachvollziehen.
Ich persönlich sende und empfange seit Jahren fast ausschließlich über verschlüsselte Verbindungen und hatte noch nie Probleme damit. Diese Protokolle sind im TB sachgerecht implementiert und funktionieren ausgezeichnet. Einschließlich der gewollten (!) Fehlermeldungen bei falschen oder abgelaufenen Zertifikaten usw. Sicherheitsfeatures sollten nicht als unerwünscht betrachtet werden. Dann sollte man lieber auf TLS/SSL verzichten. Oder eben nach den Ursachen suchen.

Eine bekannte und nachvollziehbare Ursache ist das Problem mit den Virenscannern. Entweder man will die Verbindung zu seinem Provider verschlüsseln oder man will den gesamten Content scannen. Und es gibt eben sowohl Sicherheitsgateways als auch Desktopscanner, welche einen kryptierten Traffic nicht durchlassen. Man will eben wissen, was in die Rirma rein oder aus der Firma rausgeht. Und gleiches trifft eben auch auf den privaten PC zu. Hier muss man eben abwägen.

> ... sinnvoll ausmerzen?
Nun, es gibt Erweiterungen, mit denen man entsprechende Sicherheitsmeldungen unterdrücken kann. Hat in etwa so viel Wert, wie das Herausdrehen der Birne für die Öldruckkontrolle ... .

MfG Peter

Hi Lino33,

und willkommen im Forum.
Du hast deinen Provider gefragt, und dieser hat dir die korrekte Antwort gegeben.
Um das unerwünschte Versenden von Massenmails zu vermeiden (ich spreche hier von Spam und nicht von bewusst abonnierten Newslettern!), beschränken so ziemlich alle Provider die Anzahl der maximal zu versendenden Mails. Und mit 30 bist du ganz gut bedient.

Die kommerziellen Massenversender benutzen deshalb auch eigene Server - oder sie versenden nicht per Mailclient, sondern mit speziellen Programmen. Diese sind sogar in der Lage, die Masenmails an persönliche Adressen zu versenden, einschließlich Anrede ... .

Thunderbird selbst hat keine mir bekannte Größenbeschränkung für die Größe einer Adressliste! (Wobei ich jetzt in "normalen" Größenordnungen denke.

Ich kann mir auch nicht vorstellen, wie das bei Apple Mail funktioniert haben soll.

MfG Peter (der auch nicht ALLES weiß, und sich gern vom Besseren belehren lässt ...)

Hi,

dann kopiere die Datei mit der Nummernfolge in dein TB-Profil und benenne diese in signons.txt um.
Kannst du sie dann öffnen?

MfG Peter

Hi,

Widerrufslisten oder auch crl geben Zertifizierungsstellen (ca oder allgemein Trustcenter) heraus, wenn Zertifikate vor Ablauf ihrer Gültigkeit zurückgezogen oder eben widerrufen werden. Gründe können Kompromittierung, Verlust oder in der Art sein. Bei Personenzertifikaten kommt dies schon sehr häufig vor ... . Bei einer Bank dürfte dies allerdings seltener der Fall sein. Auf jeden Fall wäre das ein sehr negativer Werbeeffekt.

Ein gutes Programm prüft gleich zu Beginn der Signaturprüfung, ob das Zertifikat für die Mailsignatur in der crl steht. Wenn ja, dann gibt es eine deutliche Warnung aus.

Es schadet also keinesfalls, wenn du die crl importiert hast. Hättest aber auch darauf verzichten können, siehe oben. Jetzt kann es allerdings passieren, dass nach der ersten erfolgreich empfangenen signierten Mail eine Meckermeldung wegen abgelaufener crl kommt. Das ist kein Fehler, sondern ein Sicherheitsfeature. Die Trustcenter geben crl immer nach einer Sperrung und nach Ablauf i.d.Regel eines Monats heraus. Ich kenne auch eines, welches früh und abend eine crl generiert ... .

MfG Peter

Heiggo: bin in Hannover, gleiche Übung wie damals bei dir.

> Wenn der "Nein" sagt, kannst Du immer noch "basteln".

... und damit deinen Arbeitsplatz riskieren.

MfG Peter

Unter nochmaligem Verweis auf die FAQ will ich gleich antworten:

Bei der Signatur mit X.509-Zertifikaten wird ein "Vertrauensbaum" aufgebaut.
Ganz oben (oder unten => root) sitzt eine anerkannte Autorität, der man vertrauen darf. Das kann eine nationale Sicherheitsbehörde (in unserem Fall das BSI) oder auch ein anerkanntes Unternehmen (Trustcenter) sein. Mit deren root-Zertifikat signieren sie das Zertifikat einer untergeordneten Stelle, zum Beispiel eines Bank. Und mit deren Zertifikat wird dann die Mail signiert.
Wenn du ein Zertifikat selbst herausgibst und auch selbst signierst, dann ist dieses Vertrauen eben nicht so viel wert. Aber du vertraust ja deiner Bank ... .

Allerdings ( Heiggo) gibt es mittlerweile auch schon Banken, die von der Bundesnetzagentur als Trustcenter selbst für qualifizierte Signaturen (!) anerkannt sind. In deren Zertifikat steht aber auch das root der BNA. ich habe keine Lust nachzusehen ... .

MfG Peter

Hi Thomas,

und willkommen im Forum.
> Weiß jemand Rat?

Aber klar doch ... .
Könnte ja jetzt sagen, tippe mal deine Frage in die Suchfunktion des Forums ein.
Dann würdest du viele Antworten bekommen, welche dir in etwa folgendes sagen:

Bei einigen Providern gibt es wirklich bekannte Probleme, wenn man nach dem Senden per smpt noch zusätzlich die Mail per imap in den sent-Ordner kopieren will. Die Ursachen wurden nie so richtig ermittelt oder beschrieben.
Meine persönliche Lösung:
Die Mails in den lokalen Gesendet-Ordner speichern lassen und die aufhebenswerten Mails markieren und mit der Maus in den imap-Ordner schubsen.

MfG Peter

Hi Gerhard,

in unserem Wiki (oder ganz oben unter "Fragen und Antworten") findest du einen langen Beitrag von mir über Verschlüsselung und digitale Signaturen. Dort kannst du dich gern erst einmal belesen.

Aber keine Angst: die Mails von der Bank kannst du trotzdem lesen. Die Signatur der Bank bestätigt "nur", dass die Mails wirklich von der Bank und auch unverfälscht sind. Und keine Bank wird dich zu "Kontrollzwecken" auffordern eine TAN einzugeben usw.

In meinem Beitrag kannst du lesen, wie du die Signatur aktivierst und überprüfst. Es ist ganz einfach und wenn noch Fragen übrigbleiben, dann stelle sie bitte. Das hilft mir auch, die FAQ zu verbessern.

MfG Peter

Hi,

nur ganz kurz:
der smtp-Server wird niemals . heißen! (Jedenfalls ist das seeeehr unwahrscheinlich.)
Das könnte maximal ein Webmail-Server sein. Und da hat die Zertifikatsprüfung auch völlig Recht.
Was steht denn im Zertifikat drin - mal diesen Namen einsetzen ... .

Hab doch noch mal "http://www.mailer.ukb.uni-bonn.de" in den Browser eingegeben ... .

So, ich bin für die nä. drei Tage weg.

MfG Peter, der allen eine "gute Nacht" wünscht.

Hi Fabian,

und willkommen im Forum.
Nun, du hast zumindest gesucht. Das ist schon viel wert ... .
Ich hoffe mal, dass du "den richtigen Thunderbird" kopiert hast. Nicht etwa c:\Programme\Thunderbird ! Diese Kopie kannst du getrost löschen. TB trennt sauber Programm- und Nutzerdaten und legt letztere im so genannten "Profil" ab. Wo sich dieses befindet, findest du in unserer Dokumentation, deren Studium ich dir wärmstens empfehle.

Dieses Profil kopierst du komplett (!) von deinem alten Rechner auf den neuen. Wohin du diesen aber kopieren musst, dass kann ich dir nicht sagen, da ich um Vista noch möglichst lange eine Bogen machen will.

Aber wenn du in unsere Suchfunktion "Vista" als Suchwort eingibst, wirst du garantiert viele Treffer landen.

Viel Erfolg!

MfG Peter

Hi KommX,

und willkommen im Forum.
Nein, ich kann dir auf deine Frage leider auch keine Antwort geben. Einfach aus dem Grund, weil meine Rechtschreibprüfung "Brain_01" heißt, seit über 55 Jahren ständig gepflegt wird und hoffentlich noch eine Weile funktioniert.
Wollte damit sagen, dass ich mich nicht auf derartige Hilfen verlasse und deshalb im TB selbige auch deaktiviert habe.

Aber zwei Informationen wollte ich dir noch mitgeben:
1. Wenn jemand eine Antwort auf eine Frage weiß, dann schreibt er diese auch. Da wartet hier wirklich niemand "künstlich".
2. Es gibt im Outlook und in anderen Mailprogrammen unendlich viele Features, die TB niemals alle haben wird. TB spielt in einer anderen Liga als Outlook oder Lotus Notes. TB hatte auch nie den Ehrgeiz O. zu verdrängen - was uns eher bei Outlook-Express gelingen wird.

Ich wünsche dir trotzdem viel Freude mit Thunderbird - und würde mich freuen, dich weiterhin hier im Forum "zu sehen".

MfG Peter

Hi ZX81,

und willkommen im Forum.
Das, was du vor hast, finde ich sehr gut. Könnte die Lösung des weltweiten Spam-Problems sein ... .
Nur leider kenne ich auch keine Lösung, wie du eine Client-Authentifizierung hinbekommst.
Von Hause aus, ist die Client-Authentifizierung nicht vorgesehen. Ob man durch manuelle Anpassungen in der user.js etwas machen kann, entzieht sich meiner Kenntnis (es lesen aber genügene Programm-Insider mit, ich bin nur "der mit den Zertifikaten" ...).

Das, was sehr gut funktioniert, ist die S/MIME Verschlüsselung und Signatur. Aber alle Einstellungsmöglichkeiten sind lediglich auf die Mailkonten bezogen. Die Antwort des MTA ist also nur logisch. Ich wüsste auch nicht, wie du dem MTA ein User-Zertifikat präsentieren könntest.

Ich würde mich freuen, wenn du weitere Erkenntnisse posten würdest, und wünsche dir viel Erfolg.

MfG Peter

Hi,

und du bist sicher, dass es ein Class2- oder Class3-Zertifikat ist?
Hole dir zur Sicherheit noch das root Class1 von http://www.trustcenter.de, importiere es und spreche das Vertrauen aus.

MfG Peter

Zitat von "GH_1929"

Was mich störrte, dass es an drei Computer fast gleichzeitig passierte. Ich habe keine Erklärung wie es passieren konnte.
GH_1929

Ich habe mir deinen Beitrag noch einmal durchgelesen.
Das obige macht mich doch sehr stutzig. Pannen und Abstürtze sind ja in der IT (vor allem in der privat betriebenen) nichts Ungewöhnliches. Aber dass auf drei Rechnern das gleiche Problem auftritt, will ich nicht glauben.

Du solltest dich vielleicht mit dem Gedanken "anfreunden" dass ein anderer jetzt der Herr über deine Mailkonten ist. Das geht manchmal schneller, als du denkst.

Sollte es dir gelingen (was ich dir wünsche), deine PW-Datei wieder herzustellen und du kannst die PW sehen (mach das erst mal und schreibe sie auf) und du kommst trotzdem nicht ins Konto - dann ist genau das passiert.

In diesem Fall solltest du dich schnellstens an deinen Provider wenden und dir helfen lassen. Die Provider sind auch daran interessiert, dass ihre Konten sauber bleiben und helfen i.d.Regel problemlos.

MfG Peter

Hi GH_1929,

schön, dass du an das Backup gedacht hast ... .
In deinem Profil befindet sich eine Datei Namens "signon.txt". Darin werden die PW gespeichert. Auf manchen Systemen heißt diese datei auch in der Art: "12345678.txt". Mit dem Master-PW verschlüsselst du diese Datei.

Möglicher Lösungsweg:
1. Diese Datei (sie ist "versteckt") finden und "wiederfindbar" umbenennen (=> signons.tx_).
2. Und jetzt die Datei aus dem Backup an die richtige Stelle kopieren.

Wenn du Glück hast, funktioniert alles wieder.

Wenn du das Master-PW hast (sonst nutzt dir ja alles nichts), dann kannst du dir aber auch die einzelnen Kontopasswörter anzeigen lassen.
Versuche es zumindest einmal und schreibe dir die PW auf einen Zettel ... .

Und noch ein Hinweis (unabhängig vom Thema):
Zum sicheren Speichern von schützenswerten Daten eignet sich das kleine kostenlose Tool "Locknote" (http://www.steganos.de) hervorragend.

Ich wünsche dir Erfolg.

MfG Peter

Hi,

die Notes.id ist definitiv keine Schlüsseldatei im p12 oder pfx-Format (X.509). Das wird also so nie funktionieren.
Ich kenne leider nur die v.6.x von LoNo. In der v.7.x soll erstmalig eine echte S/MIME-Funktion eingebaut worden sein. Und in dieser Version _könnte _ich_mir_vorstellen_, dass es eine richtige Exportfunktion gibt.

Es kann auch ohne weiteres ein Tool zur Konvertierung vom Notes-Format in das X.509-Format geben. Wäre zumindest theoretisch möglich.
Hier hat sich allerdings noch niemand Mühe gegeben, das näher zu erkunden. Wir verlassen uns weder auf die von unseren amerikanischen Freunden eingebaute Verschlüsselungsfunktion noch auf die (in v.7.x) eingebaute Funktion zur Erzeugung der X.509-Zertifikate. Wir nutzen lieber ein zugelassenes Plugin eines deutschen Herstellers und die Zertifikate unseres eigenen Trustcenters ... .

MfG Peter

Hi Toolman,

ich kanns selbst nicht testen, (nicht nur ...) weil wir hier nicht per pop abholen, sondern LoNo "in voller Schönheit" vom Domino nutzen.
Dein eigenes Zertifikat ist die Notes.id (toolman.id), welche es ja geben muss, sonst könnte der Absender nicht an dich verschlüsselt senden.
Diese ID musst du auf deinem LoNo-Client haben (c:\lotus\notes..\data\).

Aber frage mich nicht, wie du dieses in den TB bekommst. Je nach LoNo-Version gibt es da ja echtes S/MIME, da müsste es evtl. möglich sein,
deine Schlüsseldatei (also Zertifikat incl. privatem Schlüssel) irgendwie als p12 oder pfx zu exportieren.

Ich werde auch gleich mal den Heiggo auf die Spur hetzen

MfG Peter