Beiträge von Peter_Lehmann

Hi Gerhard,

die große Frage ist, WIE du deine Internetverbindung herstellst. Dass du DSL nutzt, konnte ich ja aus deinem Beitrag herauslesen.

Es gibt da grundsätzlich zwei Möglichkeiten:

1. Du benutzt einen Router, hast diesen über ein Konfigurationsmenue - sichtbar im Browser deiner Wahl - mit den Konfigurationsdaten deines (eines) Providers konfiguriert, und lässt die Internetverbindung über den Router herstellen. Lässt also den Router "wählen".

2. Du benutzt nur ein "dummes" DSL-Modem (oder betreibst deinen Router nur als Modem), hast die Konfigurationsdaten deines Providers auf deinem Rechner gespeichert und lässt deinen Rechner über das Modem die Verbindung herstellen, also "wählen". Diese Verbindungsart (Protokoll) nennt sich PPPOE.

Wenn du über einen Router verfügst, dann solltest du Variante 1 wählen.
Dann stellt der Router die Verbindung her und du benötigst lediglich eine einzige funktionierende LAN-Verbindung, damit Router und PC miteinander kommunizieren können. Dazu stellst du im Internet-Explorer unter Internetoptionen >> Verbindungen >> DFÜ-... Einstellungen "keine Verbindung wählen" ein. Damit gehen alle Verbindungen ins Internet über den Router raus.

Normalerweise (!) lassen sich alle Mailprovider bzw. deren Server über alle Internetprovider bedienen. Es gibt einige wenige Provider, die es nicht so ohne weiteres zulassen, wenn du über einen fremden I.-Provider reinkommst. Zum Beispiel Tonline. Aber auch da gibt es Lösungen.

Prüfe also erst einmal ab, ob Variante 1 oder 2. Wenn 1, dann mach mal so, wie vorgeschlagen. Wenn nicht, sehen wir weiter.

MfG Peter

Hi Vic~,

ja, das hatte ich auch schon gefunden.
Meine Frage bzw. Unklarheit war, was der "FIPS-Button" nun eigentlich bewirkt. Es sieht so aus, dass ich neben der Mozilla-eigenen Kryptologie eine alternative (FIPS-zugelassene) Engine benutzen kann. Die Begründung dafür haben wir ja beide erkannt und in unseren Beiträgen genannt. Ob meine/unsere Vermutung wirklich zutrifft, könnte man ja mal testen. Aktivieren, alle Zertifikate neu importieren usw. ... .

Bei uns in DL ist das allerdings kaum relevant. Wenn ich hier "vertrauliche Daten" bearbeiten und übertragen will, dann kann damit lediglich die niedrigste Stufe (VS-NfD) gemeint sein und es ist auch in diesem Fall immer eine BSI-Zulassung erforderlich. Und automatische Updates und BSI-Zulassung schließen sich ja von vorn herein aus ... . Aus diesem Grund werden hier auch handelsübliche (CotS-)Produkte wie LoNo oder Outlook in Verbindung mit einem intensiv geprüften und zugelassenen Plugin eingesetzt. Dort wird also die S/MIME-Kryptologie ins Plugin ausgelagert. Und dieses Plugin kann man dann bei Bedarf wieder in einer neuen zugelassenen Version bereitstellen.

MfG Peter

Hi,

hast du das Herausgeberzertifikat bereits importiert?
Die Uni wird sicherlich aus "Kostengründen" kein gültiges Zertifikat einer akkreditierten Zertifizierungsstelle verwenden, sondern sich ein Zertifikat selbst generieren. Und das Herausgeberzertifikat (welches das Serverzertifikat unterzeichnet hat) ist dann natürlich unbekannt. Also musst du dieses beschaffen und importieren.

MfG Peter

Hi Theo,

ich befürchte, dass ich dich da enttäuschen muss.
Die einzige Möglichkeit, die Datenmenge zu verringern ist, konsequent auf allen Schnickschnack zu verzichten und ausschließlich reine Textmails zu versenden und zu empfangen. Eine Komprimierung findet hier nirgendwo statt. Es werden lediglich Binärdateien und Umlaute in ein anderes Format umcodiert, aber damit wird die Datenmenge eher noch vergrößert. Du solltest deinen Wunsch auch deinen Mailpartnern mitteilen, damit sie dich nicht mit (nicht unbedingt notwendigen) Anhängen und Klickibunti- (HTML-)Mails zumüllen.

Unabhängig davon kannst und solltest du natürlich notwendige Anhänge mit einem Komprimierungsprogramm (WINZIP oder WINRAR) vor dem Versenden komprimieren und auch deine Mailparter darum bitten. Aber das musst du eben vor dem Versenden oder nach dem Empfang der Mails manuell vornehmen.

MfG Peter

Wenn ich ein Thunderbird wäre, würde ich auch "bei 2.75 GB Größe, d.h. bei den 1000en von gespeicherten Mails" abstürzen.

> Problem ist immer noch vorhanden. Was tun?

Das Thema der übergroßen Maildateien hatten wir schon zu oft im Forum. Einfach etwas suchen ... .

Außerdem ist es wahrlich kein Problem, bei einem zerschossenen Profil die relevanten Dateien in ein neu erstelltes Profil zu übernehmen. Wie, wurde auch oft genug beschrieben.

MfG Peter

Edit: War wohl etwas langsam ... .

Korrektur meines letzten Beitrages:

Mir hat die Sache keine Ruhe gelassen und ich habe noch etwas gegooglet:
Im TB und auch im FF ist das "FIPS 140-1-Modul" als zusätzliches Kryptomodul eingebaut.

Wikipedia:
FIPS PUBS 140-1 and 140-2
Federal Information Processing Standards Publications (FIPS PUBS) 140 is a US government standard for implementations of cryptographic modules — hardware or software that encrypts and decrypts data or performs other cryptographic operations (such as creating or verifying digital signatures). Many products sold to the US government must comply with one or more of the FIPS standards.

Und in folgendem Artikel können Interessierte mehr über die integrierten kryptologie der Mozilla-Produkte lesen:
http://www.cio.gov/fbca/presentations/mozilla_crypto_pki.pdf

Ich habe es noch nicht getestet, aber ich vermute mal, dass man "FIPS" aktivieren kann und danach noch einmal alle seine Zertifikate eingeben muss, um mit Ihnen zu arbeiten. Inwieweit dieses für uns als private Nutzer Sinn macht oder notwendig ist, wage ich zu bezweifeln.
Meine zweite Vermutung in dieser Richtung ist, dass Mozilla damit für den US-Amerikanischen Markt etwas eingebaut hat, damit TB und FF in Behörden usw. genutzt werden dürfen. Wäre also sinngemäß gleichzusetzten mit einer BSI-Zulassung für diese Produkte ... .

MfG Peter

Hi Micha,

deine Frage scheint nicht ganz einfach zu sein, und selbst ich, der sich seit vielen Jahren mit diesem Fachgebiet befasst, muss passen.

FIPS: Federal Information Processing Standard, (FIPS) ist die Bezeichnung für technische Standards, die das Institute of Computer Sciences and Technology (ICST) in den USA herausgibt.
Etwa anderes ist mir nicht geläufig - und ich kann ein Kryptomodul namens FIPS auch nicht zuordnen. Und ich habe selbiges auch noch nie benutzt ... .

Ich habe jetzt erstmalig mal FIPS aktiviert - und auch bei mir waren alle (sehr viele!) Zertifikate verschwunden. Zum Glück waren sie nach einem Neustart des TB alle wieder da (so dass ich meine Sicherheitskopie des Profiles nicht benutzen musste ... .).

Mehr kann ich dazu nicht beitragen, leider.

MfG Peter

> Aber wo ist der Wählunterschied zwischen WLAN - Verschluesselung WEP - -WPA/WPA2 ???? Der Router wählt doch so oder so ? Oder verstehe ich da etwas falsch ??

Nö, keinesfalls.Deswegen ist mir die Sache auch völlig suspekt.
Die Frage, welche wir als letzte Möglichkeit sahen ist, ob du wirklich den Router ins Internet "wählen" lässt (also den Router wirklich als Router betreibst) oder ob du den Router nur als dummes Modem betreibst und den Internet-Zugang vom Rechner aus mittels PPPOE herstellst.
Manchmal ist diese Einstellung noch aus "DSL-Modem-Zeiten" drin, und viele DSL-Router können das.

Ansonsten - wie schon geschrieben - ich muss passen. Sorry.

MfG Peter

Hi Jophi,

jetzt bin ich auch bereit, etwas ausführlicher zu antworten ... .

Der Unterschied ist der, dass Auskuck den zentralen Zertifikatsspeicher des Betriebssystems nutzt und Thunderbird eben nicht. (Er hätte ja auch Probleme, diesen auf einem Linuxrechner oder einem mac zu finden.)

Arbeitsschritte:
1. Von der Webseite des TC deren class-1-Herausgeberzertifikat laden und dieses in den TB importieren, Vertrauen aussprechen.
Begründung dafür: Da man einem class-1-Zertifikat grundsätzlich nicht von vorn herein vertrauen darf (es erfolgte ja keine Personenüberprüfung!), wird dem TB auch ein derartiges Zertifikat nicht von Hause aus mitgegeben. Du musst also BEWUSST dieses Z. installieren und dem Herausgeber und somit derartigen "minderwertigen" Zertifikaten dein Vertrauen aussprechen. Nebenbei: eine bekannte große Softwarefirma sieht das allerdings etwas anders. Gegen entsprechende bedruckte Papiere können auch andere Herausgeberzertifikate den Weg in die Installationspakete finden und dem Nutzer diese Entscheidung abnehmen ... .

2. Danach deine eigene aus dem IE exportierte Schlüsseldatei in den TB importieren.

3. Danach die Zertifikate deiner Mailpartner nach "Websites" (kleiner Bug im TB) importieren und denen das Vertrauen aussprechen. Voraussetzung dafür ist, dass deren Herausgeberzertifikate bereits importiert wurden, sonst gehts nicht.

4. Unter Einstellungen > Konten > S/MIME-Sicherheit deinem eigenen Mailkonto dein eigenes Zertifikat zuweisen.

Jetzt müsste es gehen. Vermute mal, der Punkt 1. wars schon.

Ergänzung zum Verständnis das "Vertrauen" betreffend:
Bei PGP stellt jeder seine Schlüssel selbst aus, und das "Zertifikat", also die Bestätigung, dass der Schlüsselinhaber wirklich die genannte natürliche Person ist, wird durch weitere (möglichst viele) PGP-Nutzer erzeugt. Das nennt sich "Web of Trust" und ist eine gute Sache. Allerdings sieht ein von 20 Dummie-Personen beglaubigter öffentlicher Schlüsses auch schon sehr "echt" aus. Anerkennen werde ich aber immer eine Beglaubigung, wie sie zum Beispiel der Heise-Verlag schon seit Jahren vornimmt.

Anders ist das bei den so genannten X.509-Zertifikaten. Dort bestätigt ein Trustcenter die Identität der im Zertifikat genannten Person. Und diese Identitätsprüfung machen sie sehr genau. (Ich weiß, wovon ich schreibe!) Und wenn du dem Trustcenter das Vertrauen aussprichst, dann vertraust du auch, dass die im Z. genannte Person wirklich diese ist.
Außer natürlich, bei den class1-Kostnixzertifikaten. Hier wird lediglich eine Mailadresse verifiziert.
Aber völlig unabhängig davon, für die private Kommunikation unter Freunden ist dies völlig ausreichend. Von der Verschlüsselung her, sind diese den "richtigen" Zertifikaten (fast) ebenbürtig. Und um ganz sicher zu gehen, kann man sich ja vom Mailpartner 1x den Fingerprint am Telefon vorlesen lassen.

MfG Peter

Hi Deafjophi,

und willkommen im Forum (so viel Zeit muss schon sein).
Du musst das Z. (richtiger: die Schlüsseldatei) aus der Zertifikatsverwaltung (IE) exportieren. Und zwar mit dem privaten Schlüssel und als .pfx-Datei. Diese kannst du dann im TB importieren.

MfG Peter,
der auch dann einen Gruß schreibt, wenn der Anfragende dazu zu bequem ist.

Zitat von "Vic~"

Ja - - "leider" bin ich ein absolutes PGP-Kind!

Ja, das kann ich sehr gut nachvollziehen. Irgendwann in grauen (? wirklich so grauen ... ?!) DOS-Zeiten habe ich mir mit meinem 1K2-Modem das als Geheimtipp gehandelte Programm PGP 2.?? von einer örtlichen Box runtergeladen. Und war sofort begeistert! Begeistert schon deswegen, weil mir ja "das Thema", allerdings in Form grüner Metallkisten, schon 15 Jahre lang wohlbekannt war. Als ich die engl. Dokumentation mühsam übersetzt und verteilt hatte, kam dann die uns allen bekannte dt. Doku mit den "NutzerInnen" heraus ... . Und dann folgte die von dir so schön bezeichnete "Missionierung" der Umwelt. Und die "Zertifizierung" der pubkeys auf der ceBit am Heisestand.

Nur, mittlerweile hat sich für mich die (Krypto-)Welt weiter entwickelt. In Behörden und Firmen setzt man auf S/MIME und verwendet zunehmend elektronische Signaturen nach SigG. Langsam schließt unsere HiTec-Nation zu Österreich und Belgien auf, wo schon lange ein digitaler Personalausweis/Bürgerkarte eingeführt wurde ... . Und in dem Trustcenter, in welchem ich jetzt arbeite, sehe ich ja auch den steigenden Bedarf.

Ja, und dann habe ich eben auch privat beschlossen, etwas für die (meine eigene) Kompatibilität zu tun und bin auch privat auf S/MIME umgestiegen. Was nicht bedeuten soll, dass ich keinen GnuPG-Schlüssel mehr hätte und auch keineswegs eine Herabwürdigung von GnuPG darstellt!!

Und die Missionierung?
Läuft auf Hochtouren. Jedenfalls hat meine kleine Privat-CA alle Hände voll zu tun.

MfG Peter

Nun, jetzt weiß ich wenigstens, was du willst. Auch wenn mir persönlich der Sinn des ganzen unter einer dicken Staubschicht verborgen ist.

Aber möglich ist es!
Du kannst mit Hilfe des Profilmanagers das TB-Profil an jede beliebige (mit den entsprechenden Rechten versehene!) Stelle verschieben. Die Anleitung für den Profilmanager findest du in der Doku.
Du kannst allerdings auch durch einfaches Editieren der profiles.ini und etwas sonstige Handarbeit das gleiche erreichen. Der Profilmanager macht nix anderes - ist aber sicherer (vor dem User).

MfG Peter

Hi Björn,

und willkommen im Forum.
Trotz längerem Nachdenkens ist es mir nicht geglückt zu erkennen, was du mit "USB-Stick in TB einbinden" meinst.
Und wenn du uns dann nähere Erläuterungen dazu gibst, dann liefere bitte gleich noch ein paar Angaben, welches Betriebssystem du nutzt usw. ... .

MfG Peter

> Thunderbird neu starten und er geht wieder.

Stimmt!

Zumindest geht er wieder, bis die 2 GB oder eine andere Grenze wieder erreicht sind ... .

(Das hier stehende soll KEINE Kritik an flux sein, der mit den Informationen über seine gemachten Erfahrungen und Lösungen anderen Usern helfen will !!! Ich schreibe ganz pauschal an eine Vielzahl User, die genau dieses Problem haben.)

Hast du schon mal was davon gehört, dass man auch Unterordner anlegen kann/sollte?
Dass dann jeder Unterordner unabhängig vom anderen seine eigene Größe haben darf? Und dass bei einer Störung die einzelnen Unterordner meist noch völlig intakt sind?
Dass du vielleicht gar keine 2 GB an Mails hast, sondern nur noch nie komprimiert hast und somit alle längst gelöschten Mails mit dir rumschleppst?
Dass man den Posteingang - so wie den Posteingangskorb in einem gut geführten Büro - ständig leer halten sollte? Ist es denn so kompliziert, die Mails gleich nach dem Lesen in die Unterordner zu verschieben?
Weißt du, dass der Posteingangsordner die sensibelste Stelle eines jeden (!) Mailclients ist? Ein einziger unbemerkt eingefangener Virus, ein falsch konfigurierter Virenscanner, der mit seinen aktuellen Signaturen von heute den Virus von gestern erkennt und gleich "desinfiziert" und damit die Komplette Maildatei unbrauchbar macht.

Ja, und all das kann man mit etwas gutem Willen und einer kleinen Portion "Brain 01" aus der Dokumentation heraus lesen. Sogar auf der Einstiegsseite stehen gleich die entsprechenden Hinweise.

MfG Peter,
der heute wieder sehr direkt ist ... .

Hi Ludger,

Wenn dein Provider (!) es ermöglicht oder anbietet, unter einem Mailkonto (=Benutzername) mehrere Mailadressen einzurichten, dann kannst du diese Adressen so wie beschrieben im TB dem jeweiligen Mailkonto als Alias zuordnen. Geht problemlos und es gibt da auch keine (mir bekannte) Mengeneinschränkung.

Die Mails werden dann alle gemeinsam abgeholt (ist ja ein einziges Konto) und beim Beantworten kannst du durch Klick in die Absenderzeile zwischen den einzelnen Aliassen auswählen.

Wars das?

MfG Peter

Und es gibt noch einen Grund:

Mehrere Foren hatten in der Vergangenheit Probleme mit "geschützten" Dateien als Avatare. Ich denke da an mein Lieblingsicon mit der Mülltonne, aus welcher ein blaues "e" schaut oder an ein bekanntes rosafarbenes "T" ... .

Soll Thunder jetzt etwa noch neben dem Stress und den rechtlichen Problemen, die er als Forenbetreiber wegen "dummer Bemerkungen" der Forenmitglieder haben kann, jetzt auch noch jeden Avatar auf rechtliche Unbedenklichkeit überprüfen?

Also lieber weg damit - damit wir uns auf das Wesentliche konzentrieren können.

MfG Peter

@ Cheffi,

> Nebenbei, es dauert wenige Minuten, um in ein WEP-Wlan einzudringen.

Das weiß (und kann) ich auch.
Aber nenne mir bitte blitzartig 3 Leute aus dem Reichweiten-Umkreis deines WLAN, die das know-how auch besitzen. Geredet wird da viel.
Und wenn carbian66 auch noch ab und an die registrierten mac-Adressen ansieht, bekommt er es auch noch mit.
(Ja, ich weiß auch, wie man mac-Adressen faket.)

Ich habe ja auch bewusst von einer Risikoanalyse geschrieben. Der Begriff des "kalkulierbaren Restrisikos" ist dir sicherlich bekannt. In einer Großstadt oder in der Nähe eines Studentenwohnheimes usw. würde ich es auch nicht machen - und es auch niemandem raten.

Die Frage nach der Art der Einwahl finde ich gut. Ich habe von vorn herein vorausgesetzt, dass der Besitzer eines Routers auch "den Router wählen lässt", aber man weiß ja nie ... .

MfG Peter

Hi klimroth,

und willkommen im Forum.
Lass mich raten:
Du holst deine Mails mit pop vom Server ab.
Und du hast dir nie die Dokumentation durchgelesen und entsprechende nachträgliche Einstellungen im Programm vorgenommen.
Habe ich richtig geraten?

Bei allen mir bekannten Mailclients ist es standardmäßig so, dass nach dem Abholen der Mails selbige vom Server gelöscht werden. Das ist, wie gesagt, der Standard bei pop. Du kannst aber, wenn du es unbedingt willst, einen entsprechenden Haken in den Konteneinstellungen setzen, welcher das Löschen verhindert.
Und genau das, findest du in der Dokumentation.
Nebenbei und bevor es kommt: Ja, auch bei Outlook-Express ist das genau so ... .

Die Mails müssten also jetzt bei dir lokal gespeichert sein. Richtig?

Es gibt Lösungen, selbige wieder auf den Server zurück zu schubsen. Dazu kannst du zum Beispiel die Erweiterung "Mail redirect" (oder so ähnlich) nutzen. Vorher solltest du aber etwas in den Forenbeiträgen blättern (=> Suchfunktion), denn du bist wahrlich nicht der erste, dem das widerfahren ist.

MfG Peter

Heiggo:
... bis auf eine Ausnahme:
Wenn wir Serverzertifikate herstellen. Dann verschicken wir die Schlüsseldatei mit einem (für uns unbekannten - weil PIN-Brief - Transport-)Passwort, welches du bei der Installation auf NULL setzen musst. Der Server kann schlecht sein PW einhacken ... .

Hör auf, am Wochenende an die Arbeit zu denken. Sonst siehst du bald um den Kopf herum so grau aus, wie ich

Wünsche einen schönen Sonntag.

Peter

Hi Fairyniobe,

nun ein 50%-Erfolg ist doch auch schon mal was, oder?
> Die Dokumentation habe ich (auch ohne sie gelesen zu haben) korrekt befolgt.
Hast du dir wenigstens jetzt die Zeit genommen, die Doku und die FAQ durchzulesen? Soviel Zeit muss sein, vor allem, wenn Probleme aufgetreten sind ... .

Hast du bei freeenet die Daten genau so eingegeben:
pop: mx.freenet.de (evtl. auch pop3.freenet.de)
smtp:mx.freenet.de
Benutzername: email.adresse@freenet.de

Als sehr wichtig betrachte ich den Hinweis bezügl. des Benutzernamens, den pop hast du ja schon so bestätigt.

Dann gehe zum Passwortmanager und lösche eventuell schon vorhandene Einträge für die freenet-Server raus. Kann ja sein, dass da schon mal ein unkorrekter Eintrag gespeichert wurde. Bei Verschlüsselung jeweils NIE aktivieren, den richtigen Port eintragen.

MfG Peter