Beiträge von Peter_Lehmann

Hi XadoX,

mit dem, was du uns an Informationen gibst, ist es natürlich nicht einfach einen Fehler zu suchen ... . Und auch die Bemerkung, "das der Fehler irgendwann mal im Bugtracker von Thunderbird bereits erwähnt wurde", ist auch nicht gerade sehr aufschlussreich. Ich würde sie sogar als unfair bezeichnen. Ich würde da als Provider wenigstens einen Link angeben.

Ich weiß, dass TB bei Mängeln in der Verschlüsselung (nicht dem Server entsprechende oder abgelaufene oder gar selbst zertifizierte Zertifikate) sehr kritisch reagiert. Und das ist auch gut so! Ich erinnere an mein gern genutztes Gleichnis mit der herausgedrehten Birne für die Öldruckkontrolle. Es ist auch bekannt, dass andere Hersteller von MUAs hier "um der lieben Ruhe willens" etwas schlampen.

Ich selbst benutze bei 11 Konten TLS oder SSL. Es handelt sich um etablierte Mailprovider und um einen eigenen Server. Und o.g. Problem hatte ich wirklich noch nie. Allerdings habe ich auch schon 2x bekannte dt. Provider darauf hingewiesen, dass deren Serverzertifikat abgelaufen ist bzw.1x dass der Serverename nicht stimmt. Sie haben darauf reagiert ... .

Ein paar Fragen:
- stimmt der eingetragene Servername mit dem in der Fehlermeldung überein?
- wie lautet dieser? (um mit zu testen)
- stimmt der Name im Zertifikat mit dem oben genannten?
- ist es ein bereits im TB "eingebautes" Zertifikat oder ein nachinstalliertes?
- kannst du den Inhalt des Zertifikates mal posten?
- ist SSL zwingend erforderlich (manche Provider verlangen es)?
- funktioniert die Verbindung problemlos, wenn ohne Verschlüsselung?

Und du weißt auch, dass TLS/SSL keine echte Ende-zu-Ende-Verschlüsselung ist, also lediglich maximal dein Mailpasswort vor dem Ausspähen schützt?

MfG Peter

Hi Gerhard,

wenn du links neben das Eingabefenster für die Signatur schaust, dann siehst du folgendes:

Dies ist ein Text, der an jeden Ihrer Beiträge angehangen werden kann. Es besteht ein Limit von 255 Buchstaben.

MfG Peter

Hi Sina,

steht doch alles klar und deutlich drin:
Die Mailadressse stimmt nicht.

Ihr habt die Adresse bestimmt auf einem Zettel bekommen oder selbst aufgeschrieben. Und dabei - oder beim Eintippen - etwas falsch gemacht. Vielleicht ein kleines kaum sichtbares Leerzeichen ... ?

Vorschlag: Vergleiche doch mal mit deiner Freundin oder lasse dir von ihr die funktionierende Adresse zumailen.

Nebenbei:
Als ich (vor vielen Jahren ...) noch ganz jung war, habe ich auch mancher Bekanntschaft eine falsche Adresse gegeben :-). Damals waren es noch Postadressen.

Und ein großes Lob an dich: Du warst so klug, und hast die Adresse nicht mit in dein Posting eingetippt. Gut so!

MfG Peter

Hi Sven,

ich kann dir leider keine Verbindliche Aussage für GnuPG und Enigmail geben, da ich, wie du unten sehen kannst, S/MIME bevorzuge.

Also nur einige Bemerkungen allgemeiner Art zur elektronischen Signatur.
Ich glaube nämlich, dass du hier etwas "voreilenden Gehorsam" betreibst.
Gegenwärtig lassen sowohl die Empfehlungen des BSI (für Produkte, welche mit eingestuften Informationen arbeiten) als auch die Auflagen der Bundesnetzagentur für qualifizierte (!) Signaturen für die nächsten Jahre noch SHA1 als Algorithmus zu. Und die Anforderungen an qualifizierte Signaturen sind jenseits von dem, was du dir vorstellen kannst.
Sicherlich hast du gelesen, dass Chinesische Wissenschaftler einen erfolgreichen Angriff auf SHA1 gefahren haben. Das klingt erst einmal nach "totaler Unsicherheit". Aber was verstehen wir denn in diesem Fall unter "erfolgreich"? Es wurde bewiesen, dass es unter bestimmten Bedingungen und mit bestimmten Methoden möglich ist, die Anzahl der Fehlversuche um eine Zehnerpotenz zu verringern, um eine Datei mit dem gleichen Hashwert zu produzieren. Das heißt aber noch lange nicht, dass dieses Ziel bereits erreicht ist bzw. dass man dafür schon eine Lösung hätte.
Und eine derart produzierte Datei bedeutet auch keinesfalls, dass es sich um eine "sinnvolle" Datei handelt. Das Ergebnis wäre dann eine mit digitalem Müll gefüllte Datei, die eben nur den gleichen Hashwert (unter SHA1) besitzt. Für jede praktische Anwendung sinnlos - aber laut Signaturgesetz "eindeutig" dem Ersteller der Signatur zuzuordnen und vom ihm nicht mehr abzustreiten. Und in genau diesem Moment nicht mehr als Signatur zu gebrauchen.
Und genau aus diesem Grund beraten die nationalen Sicherheitsagenturen regelmäßig und geben die abgestimmte Empfehlungen heraus. Und bereits jetzt gibt erste Anwendungen, welche alternative Algorithmen unterstützen (bei weitem noch nicht alle Anwendungen!). Die anderen Anwendungen werden nachziehen - und zu gegebener Zeit wird dann (wohl allmählich, mit dem Auslaufen der Zertifikate) auf neue Algorihtmen migriert.

Ein Vorpreschen ist imho sowohl nicht erforderlich, als auch ggw. noch von Problemen begleitet.

MfG Peter

Ja, das ist schon sehr seltsam. Verstehen müsste er es schon - und dann die Fehlermeldung wegen "unbekannt" bringen.

gurke111:
Stehen denn auf der Webseite deines Providers wirklich keine exakten Angaben über die in den MUA einzutragenden Daten? Diese müssen ja nicht für den TB beschrieben sein.

MfG Peter

Hi Gerhard,

ich persönlich nutze keine Tools, um mein Profil zu sichern. Ich mache dies im Rahmen meiner "allgemeinen Sicherung" und insges. auch etwas anders, als es ein Windows-User macht. Ich gehe aber mal davon aus, dass TB-Backup wirklich das gesamte Profil sichert. Es stammt doch wohl von einem der erfahrenen User unseres Forums und ich kann mich daran erinnern ... .

Ich persönlich habe mir aber angewöhnt, bei jeder relevanten "Operation" am System (nenneswerte oder "gefährliche" Konfigurationsänderungen, Tests, Versionsspünge oder andere kritische Sachen) die jeweilige Konfigurationsdatei oder auch in unserem Fall das komplette Profil als *_bak an die gleiche Stelle zu kopieren. Das ganze dauert nur wenige Sekunden, hat mir aber schon oft in "ausweglosen" Situationen geholfen. Schlimmstenfalls konnte ich dann immer mit einem Rettungssystem die nicht funktionierende Konfigurationsdatei löschen und die gesicherte umbenennen.
Gleiches trifft hier auch zu, wenn beim Update wirklich etwas schief gehen sollte. Wenn es wirklich nicht mit der neuen Version gehen sollte, kannst du dann jederzeit ohne Datenverlust (!) die neue Programmversion wieder deinstallieren, das dann unter Umständen defekte Profil löschen und das Backup wieder umbenennen - und alles ist so, wie vor der Übung.

Sicherlich geht das (vermutlich) auch mit dem TB-Backup. Nur so geht es einfach schneller ... .

Updaten des Profiles:
Bei einem Versionssprung (TB 1.5.x zu 2.x) werden beim ersten Start des Programmes am Profil einige Änderungen vorgenommen. Es handelt sich dabei um automatische Anpassungen. Du brauchst also dabei nichts tun, außer ein paar Sekunden länger beim Start zu warten. Allerdings kann/wird es dabei passieren, dass du eben dieses Profil dann nicht mehr unter 1.5.x verwenden kannst, bzw. dass es dabei zu Problemen kommen _kann_.
Und genau das ist der Grund, warum du eine Kopie des Profils machen solltest. Klar kannst du das gesicherte Profil löschen, wenn alles funktioniert. Du hast ja deine Datensicherung.

Nebenbei:
Sicherlich wird so mancher dieses für übertrieben halten. Aber es sind zum einen die Erfahrung aus über 25 Jahren "Computerei" und zum anderen fahren wir doch auch mit Sicherheitsgurt UND einem halben Dutzend Airbags spazieren ... .

MfG Peter

Letzteres stimmt auf jeden Fall.
Ja, mehr fällt mir momentan nicht ein, sorry.

MfG Peter

Nun, das ist auch eine Lösung

Danke für deine Rückantwort.

MfG Peter

Nun, zumindest gibt es unter "Datei" den Eintrag "Alle Ordner des Kontos komprimieren" ... .

MfG Peter

Hi,

ich nutze schon seit längeren privat ausschließlich den TB, kann deswegen keine Aussagen zu gpgsm machen. Kann also nur den täglichen "praktischen Test" mit unserem Plugin machen. Und natürlich den jetzt folgenden Test:

Der verwendete Algorithmus ist als OID in der ASN.1-Struktur eincodiert. Diese Angabe benötigt der Empfänger, um den richtigen Algorithmus zum Entschlüsseln zu verwenden.
Vielleicht liegt es an der Information "smimeCapabilities", die bei signierten Mails in der PKCS#7 Struktur mit übergeben werden kann. Outlook und Outlok Express sind ja dafür bekannt, dass sie ohne diese Info vom Empfänger nur RC2 40 bit senden.

Wenn man den "Anhang" smime.p7m aus einer Mail löst, kann man diesen mit folgender Kommandozeile betrachten:
openssl asn1parse -in smime.p7m |less

Die Angabe zum Algorithmus findet man in der aufgeschlüsselten ASN.1-Struktur als eine der letzten Angaben (hier: des-ede3-cbc):
...
320:d=5 hl=2 l= 8 prim: OBJECT :des-ede3-cbc
...

Ich habe das gerade noch einmal an einer Reihe von empfangenen Mails getestet => und damit die Aussage unseres LoNo-Plugins bestätigt. Habe auch bewusst ein paar Mails von anderen Clients und mit anderen Algn. gesendet. Auch hier die richtige Anzeige.

Einschränkend muss ich noch ergänzen:
Ich benutze ausschließlich exakt dem Standard entsprechende Schlüssel und Zertifikate unseres Trustcenters sowie privat ebenso standardgemäße aus meiner kleinen "Privat-CA". D.h., bei beiden stimmen die Profile. Das muss bei den kostnix-Zertifikaten einiger Herausgeber nicht unbedingt der Fall sein.

MfG Peter
(und tnx an Jan ...)

Hi tribal,

und willkommen im Forum.
Also zuerst einmal zu deiner Beruhigung: Deine Mails und dein bisheriges Profil sind mit "an Sicherheit grenzender Wahrscheinlichkeit" nicht weg. Du solltest jetzt zur Sicherheit trotzdem erst einmal den kompletten Profilordner (\Thunderbird) sichern.

Überprüfe zuerst einmal, ob du das Konto genau so eingerichtet hast:
https://www.thunderbird-mail.de/hilfe/dokument…onto_server.php
Meine Empfehlung: wirklich die Einstellungen noch einmal einzeln löschen und händisch neu eintragen.

Kannst du den Server per telnet erreichen?
peter@pluto:~> telnet pop.googlemail.com 995
Trying 209.85.135.16...
Connected to pop.googlemail.com.
Escape character is '^]'.

Den "Firewall" und den Virenscanner komplett für den Test deaktivieren. (Wenn du über einen Router ins Netz gehst, ist das überhaupt kein Problem.)

Eine Möglichkeit zum Deaktivieren von SSL/TLS über einen Einstellungsdialog kenne ich nicht (außer natürlich in den bekannten Kontoeinstellungen). Vielleicht dort mal deaktivieren, neu starten und wieder aktivieren???

MfG Peter

Ich glaube, ich muss mich korrigieren. Sorry!
Habe mich mit "Relay Access Denied" ablenken lassen und nicht bis zum Ende gelesen ... .

Wir sollten also das: "Please check the message recepients" beachten.
Also doch die Empfängeradresse.

Was passiert, wenn du die Mail an eine andere Adresse oder an dich selbst verschickst?
Stimmt bei der Empfängeradresse (wenn es nur die eine ist, mit dem Problem) wirklich alles? Keine unzulässigen Zeichen (Leerzeichen, ein Punkt direkt vor dem @ usw), stimmt der Suffix? Mitunter schleichen sich da schwer erkennbare Fehler ein. Funktioniert diese Adresse mit einem anderen smtp?
Die Fehlermeldung deutet zwar genau in diese Richtung, aber es kommt auch vor, dass ein Provider aufgrund einer Blacklist bestimmte, ihm einmal aufgefallene Provider sperrt. Dann ist die Fehlermeldung zwar eine andere, aber wer weiß ... .

Und trotzdem noch einmal zur Absenderadresse: Sie muss wirklich zu dem Account in den smtp-Einstellungen passen. Viele Provider sind aus gutem Grund da sehr streng.

MfG Peter

Musste auch erst googelen:
(Man lernt eben nie aus )

Xesmtp is a user configurable relay-only Mail Transfer Agent X(MTA) with a sendmail compatible syntax. ...

XEsmtp is a wrapper for SMTP client library based on the libESMTP library http://www.stafford.uklinux.net/libesmtp/). ...

MfG Peter

Hi,

das scheint schon so zu stimmen:

peter@pluto:~> telnet smtp.teleos-web.de 25
Trying 212.62.69.126...
Connected to smtp.teleos-web.de.
Escape character is '^]'.
220 sally.dts-online.net XESMTP Perl-MailServer-Dingen

Nehme mal an, dass "gurke" auch wirklich "smtp" geschrieben hat und im Beitrag nur ein Tappfühler vorliegt.
Anhand der Fehlermeldung - die recht eindeutig ist - kann es imho wirklich nur an fehlender Authentifizierung liegen. Und damit ist nicht die Empfängeradresse, sondern die eigene Absenderadresse (die in den Konto-Einstellungen) gemeint.

Also bitte noch einmal die Absenderadresse und die smtp-Einstellungen überprüfen. Authentifizierung aktiviert? Server und Benutzername (!) OK?

MfG Peter

@ Naturfreund:

Hi Gerhard,

natürlich ist es völlig egal, WIE du deinen Profilordner (und auch sämtliche sonstigen relevanten Dateien deines Rechners) sicherst. Wichtig ist, du machst es! Und damit bist du schon "besser" als viele andere Nutzer unseres Forums.

MfG Peter

Letzteres kann ich bestätigen.
Ich habe auch noch keine Lösung gefunden, wie man das durch Untersuchung des .p7m herausbekommen kann. Ich meine hiermit die Anzeige der ASN.1-Struktur oder ähnliches mittels openssl.

Nebenbei: Falls du noch jemand suchst, der sich die Arbeit mal ansieht, kannst du dich gern bei mir melden. Ein klein wenig verstehe ich davon

MfG Peter

Hi Katajanokka,

und willkommen im Forum.
Ein schönes Thema hast du ... .
Ich wusste es auch nicht aus dem Kopf und habe ebenfalls etwas gesucht. Es ist zwar nicht der direkte Beweis, aber - wir wir zu sagen pflegen - "mit an Sicherheit grenzender Wahrscheinlichkeit" unterstützt TB zumindest v3.
Hier der Link: http://www.mozilla.org/projects/security/pki/nss/smime/
Bei uns hier im Forum findest du garantiert dazu keine Antwort. Ich würde es bestimmt wissen ... .

MfG Peter

Hi,

dabei wird doch genau darauf auf unserer Startseite schon hingewiesen:

https://www.thunderbird-mail.de/hilfe/dokument…blem_regeln.php

Aber wie heißt es doch so schön: "Lernen durch Schmerzen" ... .
Wie oft sollen wir noch schreiben, dass der Ordner "Posteingang" die sensibelste Stelle in jedem (!) Mailprogramm ist. Und dass dort maximal die neu reingekommenen Mails zu liegen haben, welche dann gleich in Unterordner verschoben werden.

MfG Peter

Yankee:

Du solltest etwas kooperativer sein, wenn wir dir helfen sollen ... .

Also, "der ping kommt sofort". Nehme an, dass du damit ein in akzeptabler Zeit eintreffendes Echo meinst.
Was ist mit der Namensauflösung?
Und hast du mit telnet die Erreichbarkeit der Server getestet?
Kannst du dich mit Benutzername/Passwort auch am Server anmelden?
(Beschreibung in der Dokumentation)

Dass der Aufbau der Internetverbindung immer eine gewisse Zeit dauert, haben wir ja schon geschildert. Wenn du unbedingt den Router über Nacht ausschalten musst, dann schalte ihn 5 Minuten vor den Tests ein. Und nach diesen 5 Minuten gleich mit den Test beginnen.

Ich kann mich nur wiederholen, mit den Ursachen und den Wirkungen ... .

MfG Peter

Du hast meine erste Frage noch nicht beantwortet: bist du wirklich dauerhaft im Internet oder trennt der Router die Verbindung nach xx Minuten?

Mit dem ping interessiert mich nicht die Antwortzeit, sondern ob sofort eine Antwort kommt oder erst nach einer bestimmten Zeit (einige Fehlermeldungen und erst dann ein Echo).

Du solltest nicht an den Wirkungen (TB) herumdoktern, sondern erst einmal nach den Ursachen suchen. Und da solltest du mit der Internetverbindung beginnen.

MfG Peter