GMX Sicherheitsupdate ab 10.3.2009 kein APOP oder CRAM mehr

  • Diese email errechte mich heute:


    +++ Sicherheitsupdate am 10.3.2009 +++ Bitte Einstellungen in Mailprogrammen überprüfen! +++


    Ihre Sicherheit bei der Benutzung von GMX steht bei uns an erster Stelle. Damit Ihre Daten und E-Mails auch weiterhin optimal geschützt sind, wird in Kürze ein verbessertes Verfahren für das Login in Ihren GMX Account in Betrieb genommen.


    Wenn Sie Ihre E-Mails ganz oder teilweise über ein Mailprogramm wie z.B. Outlook, Thunderbird etc. abrufen und versenden, überprüfen Sie bitte am besten gleich Ihre Einstellungen:


    Nach der Umstellung am 10.3.2009 kann Ihr Mailprogramm Sie nicht mehr an unseren Mailservern anmelden, wenn die Optionen „APOP“ oder „CRAM-MD5“ aktiviert sind. Bitte entfernen Sie ggf. die Einstellungen für diese Optionen und wählen Sie stattdessen „SSL“ oder „TLS“ als sichere Verbindung!


    Eine ausführliche Schritt-für-Schritt-Anleitung für die Einstellung Ihres Mailprogramms finden Sie in unserer FAQ.


    Für das Login über die Weboberfläche unter http://www.gmx.net sind keine Umstellungen notwendig.
    ---


    So weit so gut, nur das ich in dem Empfangen Dialog von The Bat 3.85 die sache nicht einstellen kann.


    Beim Versenden geht es, aber beim Empfangen sind nur seltsame Sachen zur Auswahl ( Standart , APOP usw.. Die Einstellung "gleiche Einstelluug wie zum Versenden verwenden" fehlt..

  • Zitat


    und wählen Sie stattdessen „SSL“ oder „TLS“ als sichere Verbindung!


    Ist sowieso bereits bei sehr vielen GMX-Benutzern eingestellt.



    Zitat


    Beim Versenden geht es, aber beim Empfangen sind nur seltsame Sachen zur Auswahl ( Standart , APOP usw.. Die Einstellung "gleiche Einstelluug wie zum Versenden verwenden" fehlt..


    Bei der POP3-Authentifikation wählst du ganz einfach "Standard" und bei SMTP - "Gleiche wie beim Empfang".


    Am Besten auch gleich auf TLS umstellen, also:

    Code
    SMTP-Server: mail.gmx.net
    Verbindung: TLS
    Port: 465
    
    
    POP3-Server: pop.gmx.net
    Verbindung: TLS
    Port: 995
  • Zitat


    Am Besten auch gleich auf TLS umstellen, also:

    Code
    SMTP-Server: mail.gmx.net
    Verbindung: TLS
    Port: 465
    
    
    POP3-Server: pop.gmx.net
    Verbindung: TLS
    Port: 995


    gut, und wo gebe ich den TLS Code ein ?

  • Zitat


    Einen kleinen Pfeil oder Verbindung gibt es nicht , siehe Screenshot oben.


    Ich sehe den Screenshot schon. ;) Und auf ihm sehe ich unter anderem "Serveradresse: mail gmx.de" und darunter "Verbindung: Standard" und daneben den Pfeil, der auf eine sog. DropDown-Liste hindeutet. Wenn man also, wie vorgeschlagen, auf den Pfeil klickt, erscheint diese DropDown-Liste mit ein paar Einträgen, u.a. mit "Geschützt auf dediziertem Port (TLS)".


    So detailliert wollte ich das nicht beschreiben, weil ich annahm, dass es selbstverständlich und einfach ist.

  • Hi zusammen,


    ich verstehe die angeblich Verbesserung durch die Umstellung nicht, vielleicht könnt ihr mir auf die Sprünge helfen.



    GMX schrieibt:

    Zitat

    Damit Ihre Daten und E-Mails auch weiterhin optimal geschützt sind, wird in Kürze ein verbessertes Verfahren für das Login in Ihren GMX Account in Betrieb genommen.


    und nimmt die verschlüsselte Anmeldund APOP bzw CRAM-MD5 raus... ich soll jetzt bei TB! die Authentifikation "Regular" nehmen.


    Zitat

    Regular - This authentication mechanism requires an e-mail client to send a username and password to the server; both are sent in clear text, which could theoretically be read when intercepted. It is supported by most POP3 servers.


    Also Anmeldung vorher verschlüsselt und jetzt in Klartext und SSL bzw TLS gab es ja schon vorher, also wo ist die versprochene Verbesserung? :hae:


    In meinen Augen ist das doch schlechter, oder sehe ich das falsch?


    Gruß

  • Zitat


    Also Anmeldung vorher verschlüsselt und jetzt in Klartext und SSL bzw TLS gab es ja schon vorher, also wo ist die versprochene Verbesserung?


    Dadurch will man wohl die Benutzer zur TLS/SSL-Nutzung zwingen. Es heißt ja auch:


    Zitat

    Bitte entfernen Sie ggf. die Einstellungen für diese Optionen und wählen Sie stattdessen „SSL“ oder „TLS“ als sichere Verbindung!


    Nach dem 10.03. wird es wohl entweder eine unsichere oder sichere Verbindung (über TLS/SSL) geben. Im Prinzip ist es nachvollziehbar, denn diejenigen, die eine sichere Verbindung wollen/brauchen, sind längst auf TLS/SSL umgestiegen. APOP benutzt wahrscheinlich kaum noch jemand. Daher hat's GMX abgeschafft.

  • Zitat


    Dadurch will man wohl die Benutzer zur TLS/SSL-Nutzung zwingen. Es heißt ja auch:


    jepp, das dachte ich mir auch... insbesondere die WLAN Nutzer müssen jetzt endlich eine sichere Verbindung nutzen.


    Zitat


    Im Prinzip ist es nachvollziehbar, denn diejenigen, die eine sichere Verbindung wollen/brauchen, sind längst auf TLS/SSL umgestiegen. APOP benutzt wahrscheinlich kaum noch jemand. Daher hat's GMX abgeschafft.


    ok, genau hier liegt mein Verständnisfrage:


    APOP bzw CRAM-MD5 beziehen sich doch nur auf Authentifikation, also auf die Anmeldung bei GMX (Austausch von Username und Passwort)


    und


    TLS/SSL ist doch ein Netzwerkprotokoll zur sicheren Übertragung von Daten... d.h. das sind doch zwei vollkommen unterschiedliche Sachen.


    Da ich vorher beides zusammen nutzen konnte und nach dem 10.03. nur noch TLS/SSL scheint ja eine sichere Authentifikation überflüssig (gewesen) zu sein?

  • Zitat


    APOP bzw CRAM-MD5 beziehen sich doch nur auf Authentifikation, also auf die Anmeldung bei GMX (Austausch von Username und Passwort)


    und


    TLS/SSL ist doch ein Netzwerkprotokoll zur sicheren Übertragung von Daten... d.h. das sind doch zwei vollkommen unterschiedliche Sachen.


    Korrekt.


    GMX schreibt da etwas ungenau. Ob das Versenden oder Empfangen gemeint ist, wissen die Götter.


    Allerdings frage ich mich, was dann als Authentifikation eingestellt werden soll? Login? Plain?
    Wie gut, das dass Mailclients automatisch aushandeln.

    The Bat! Pro 10.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.3.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Kann vielleicht jemand den GMX-Newsletter mit dieser Nachricht hier anhängen? Ich habe meinen entweder ungelesen gelöscht oder gar keinen bekommen.



    Zitat


    Da ich vorher beides zusammen nutzen konnte und nach dem 10.03. nur noch TLS/SSL scheint ja eine sichere Authentifikation überflüssig (gewesen) zu sein?


    Die schadet eigentlich nie, aber nicht alle Free-Mail-Anbieter unterstützen sie. Entweder gar nicht oder nicht in Verbindung mit TLS/SSL, vgl. z.B. Google Mail.



    Zitat


    GMX schreibt da etwas ungenau. Ob das Versenden oder Empfangen gemeint ist, wissen die Götter.


    Ich glaube, dass beides gemeint ist:

    Zitat

    Wenn Sie Ihre E-Mails ganz oder teilweise über ein Mailprogramm wie z.B. Outlook, Thunderbird etc. abrufen und versenden...



    Zitat


    Allerdings frage ich mich, was dann als Authentifikation eingestellt werden soll? Login? Plain?


    Außer "MD-5 APOP" und "MD-5 CRAM“ bleibt ja eigentlich nur "Standard".

  • Zitat


    Kann vielleicht jemand den GMX-Newsletter mit dieser Nachricht hier anhängen? Ich habe meinen entweder ungelesen gelöscht oder gar keinen bekommen.


    Ich habe den Newsletter ebenfalls bisher nicht bekommen und finde bei der Suche innerhalb GMX auch keinen Hinweis auf eine evtl. Umstellung. :nixwiss:

  • Zitat


    Kann vielleicht jemand den GMX-Newsletter mit dieser Nachricht hier anhängen? Ich habe meinen entweder ungelesen gelöscht oder gar keinen bekommen.



  • Soweit ich jetzt an anderer Stelle in Erfahrung bringen konnte, ist eine verschlüsselte Authentifizierung durch einen verschlüsselten Tunnel (TLS/SSL) hindurch doppelt gemoppelt.


    Da GMX das (TLS/SSL) jetzt Zwangseinführt, wird die Option "verschlüsselte Authentifizierung" abgeschaltet, weil unnütz... und das Ganze als verbessertes Verfahren verkauft... meine Interpretation dazu. ;)

  • Zitat


    Soweit ich jetzt an anderer Stelle in Erfahrung bringen konnte, ist eine verschlüsselte Authentifizierung durch einen verschlüsselten Tunnel (TLS/SSL) hindurch doppelt gemoppelt.


    Eine doppelte Absicherung vielleicht? Werden die Anmeldedaten auch bereits duch TLS übertragen oder nur die Nachrichten? :denk: Sonst müsste ja eigentlich die "Authentifikation"-Schaltfläche ausgegraut sein, wenn man TLS wählt.



    Zitat


    Da GMX das (TLS/SSL) jetzt Zwangseinführt,


    Nicht ganz. Die alten Ports funktionieren weiterhin. Nach dem 10.03. also entweder mit oder ohne TLS, aber in beiden Fällen ohne APOP/CRAM. Das bestätigen auch die Anleitungen, auf die GMX verweist.


    Darüber hinaus musste man die Option "Anmeldung durch gesicherte Kennwortauthentifizierung" bei der Einrichtung von OE schon immer abschalten. Die OE-Benutzer müssen jetzt daher eigentlich nichts ändern.



    Zitat


    und das Ganze als verbessertes Verfahren verkauft...


    Hauptsache, es funktioniert. :)



    P.S. Heute ist übrigens bereits der 10.03. und APOP geht noch neben TLS. Mal sehen, wie es morgen wird.

  • Zitat


    Werden die Anmeldedaten auch bereits duch TLS übertragen oder nur die Nachrichten? :denk: Sonst müsste ja eigentlich die "Authentifikation"-Schaltfläche ausgegraut sein, wenn man TLS wählt.


    mir wurde gesagt dass die Anmeldung durch den SSL/TLS Tunnel geschieht, so wie wenn du eine https Webseite aufrufst und dich dann auf der Webseite einloggst.


    Ich bin aber kein Netzwerktechniker und kann das nicht verifizieren... evtl. weiß das ja jemand hier und kann das bestätigen?

  • Zitat


    P.S. Heute ist übrigens bereits der 10.03. und APOP geht noch neben TLS. Mal sehen, wie es morgen wird.


    Heute ist bereits der 12.03. und die APOP-Authentifikation klappt bei mir neben TLS weiterhin. K.A., was die da mit Abschalten gemeint haben. :nixwiss:


    Code
    12.03.2009: FETCH - Einleitung TLS-Handshake
     12.03.2009: FETCH - Besitzer: DE, Bayern, Munich, GMX GmbH, pop.gmx.net.
     12.03.2009: FETCH - TLS-Handshake vollständig
     12.03.2009: FETCH - Verbunden mit dem POP3-Server
     12.03.2009: FETCH - bestätigt (APOP-MD-5)
     12.03.2009: FETCH - 1 Nachrichten in der Mailbox, 1 neu
     12.03.2009: FETCH - 1 Nachrichten vom Server gelöscht
     12.03.2009: FETCH - Verbindung beendet - 1 Nachrichten empfangen
  • den kleinen Pfeil habe ich nun gefunden. Damit war die Drop Down List Box gemeint.
    Nun dort kann ich einstellen
    a:) geschützt auf Standard Port
    oder b.) geschützt auf dezidiertem port


    egal wie, danach kann man nicht mehr versenden:


    19.04.2009, 12:45:07: SEND - Sende Nachricht(en) - 1 Nachrichten in der Warteschlange
    19.04.2009, 12:45:08: SEND - Einleitung TLS-Handshake
    >19.04.2009, 12:45:08: SEND - Zertifikat S/N: 06BDD8EF3B614249C31A4C5EE1AF6C96, Algorithmus: RSA (1024 Bits), ausgestellt von 10 Nov 2008 bis 17 Nov 2009, für 1 Host(s): mail.gmx.net.
    >19.04.2009, 12:45:08: SEND - Besitzer: DE, Bayern, Munich, GMX GmbH, mail.gmx.net.
    >19.04.2009, 12:45:08: SEND - Aussteller: ZA, Western Cape, Cape Town, Thawte Consulting cc, Certification Services Division, Thawte Premium Server CA, premium-server@thawte.com.
    !19.04.2009, 12:45:08: SEND - TLS-Handshakefehler. Keine Übereinstimmung zwischen Hostname ("mail.gmx.de") und Zertifikat.
    19.04.2009, 12:45:08: SEND - Verbindung beendet - 0 Nachrichten versandt
    19.04.2009, 12:45:08: SEND - Einige Nachrichten wurden nicht versendet - prüfen Sie die Logdatei nach Informationen