Voyager 6.8.2: Zertifikatsprobleme bei Posteo und Mailbox.org

    *Sorry, ist ein Doppelpost zum Unterforum "Sicher mailen". aber vielleicht ist es hier passender. Kann ein Mod bitte eines der beiden Posts löschen/verschieben? - Danke*

    Hallo!
    Ich versuche gerade, meine erste Voyger-Installation einzurichten.
    Kann es sein, dass Voyager nicht die Originalzertifikate der Mailserver (Posteo und Mailboxorg) verwendet, sondern selbst erstellte?
    Ich bekomme bei jedem Versuch, ein Konto einzurichten die Meldung "Unischeres ZA-Zertifikat", und bei genauerem Ansehen handelt es sich auch nicht um das veröffentlichte Zertifikat des Servers, sondern um ein 512bit(!)-RSA-Zertifikat ohne Wurzel-CA, welches genau in dem Moment des ersten Serverkontaktes von mir erstellt wurde und 20 Jahre gültig sein soll?!
    Ich habe schon Versucht, die SwissSign- und StartCom-Wurzelzertifikate zu importieren, aber es bleibt bei den o.g..
    So stelle ich mir einen Man-In-the-Middle-Angriff vor. Mache ich etwas falsch (gedanklich oder praktisch)? Startpage und Co sowie die Forensuche haben nichts gefunden?!
    Danke für Infos
    A.Borque
    PS: Das Verhalten tritt an zwei völlig unterschiedlichen Rechnern auf, die "sauber" sein sollten. Und eigentlich sollte sich auch der Virenschutz nicht dazwischen schalten.

    Zitat von a.borque

    Kann es sein, dass Voyager nicht die Originalzertifikate der Mailserver (Posteo und Mailboxorg) verwendet, sondern selbst erstellte?

    Das Verhalten bei Voyager bezüglich der Wurzelzertifikate ist dasselbe wie bei TB! Wählt man über "Optionen | S/MIME und TLS..." die interne Implementierung, wird die vom Programm erstellte Zertifikatsdatenbank verwendet. Deren Inhalt ist über das Adressbuch, Menü "Ansicht | Zertifikatsdatenbanken" sichtbar. Die dort enthaltenen Wurzelzertifikate sind natürlich nicht vom Programm erstellt worden, sondern vom Programm bzw. den Programmierern gesammelt und in der eigenen Datenbank gespeichert. Fehlende müssen manuell hinzugefügt werden.

    Wählt man stattdessen MS Crypto-API, wird die Windows-Zertifikatsdatenbank verwendet (zugänglich z.B. über "Systemsteuerung | Internetoptionen | Inhalte | Zertifikate". Die dort enthaltenen Zertifikate sind ebenfalls nicht von Windows bzw. MS erstellt, sondern nur zusammengestellt worden.


    Zitat von a.borque

    Ich bekomme bei jedem Versuch, ein Konto einzurichten die Meldung "Unischeres ZA-Zertifikat", und bei genauerem Ansehen handelt es sich auch nicht um das veröffentlichte Zertifikat des Servers, sondern um ein 512bit(!)-RSA-Zertifikat

    Na ja, 512 Bit ist eigentlich unsicher. Es sollen mindestens 1024 Bit sein. Ansonsten sind es fast alles nur 2048 Bit Zertifikate in der o.g. Datenbank. Schaue nach, ob dein Zertifikat dort als ein 512 Bit Zertifikat enthalten ist. Dann müsstest du es ersetzen, falls du ein besseres hast.

    Kann es sein, dass ein Virenscanner die SSL-Verbindung bei Mail überprüft?
    Oder irgendein Spamfilter-Plugin, der SSL prüft? Wie Antispamsniper etc?
    Das solltest du deaktivieren, dann hören die Probleme auf.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (23. Mai 2015 um 13:09)

    Hi!
    Virenscanner war auch mein erster Gedanke, der war es aber nicht.
    Aber Antispam Sniper ist die Lösung! Danke!! Da wäre ich nicht so schnell drauf gekommen, dass sich der Spamfilter in die SSL-Verbindung einklinkt. Ich wechsele von Thunderbird und da wird der eingebaute Filter erst nach dem Empfangen aktiv.

    Bleibt die Frage, ob ich Antispam Sniper so einstellen kann, dass er seinen Job macht, ohne sich in die SSL-Verbindung einzuklinken (die Mails als nach dem Empfang filter), oder einen stärkeren Schlüssel verwendet. Oder gibt es ein anderes Antispam-Plugin ohne diese Probleme?

    Anstispamsniper ist schon mehrfach im Forum für solche Störungen aufgefallen.
    Aber, da lässt sich nichts ändern. Schmeiß das Ding raus.

    Ein Filter der nur Zertifikate mit 512bit verwendet ist unsicher!

    Ein Spamplugin, das ohne Einklinken geht, ist das kostenlose Regula.
    Es filtert nach Empfang. Das nehm ich derzeit.
    Kann aber sein, dass es nur bei POP3 und The Bat! läuft.
    Teste es mal.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Zitat von a.borque

    Bleibt die Frage, ob ich Antispam Sniper so einstellen kann, dass er seinen Job macht, ohne sich in die SSL-Verbindung einzuklinken

    In den ASS-Optionen im Reiter "Konten" kann man die Prüfung der SSL-Verbindungen abschalten (s. Screenshot auf der Webseite). Allerdings wird dann wohl bei verschlüsselten Verbindungen nicht mehr gefiltert.