ubuntuusers.de

Hallo User,

folgende Email habe ich, hier im Auszug erhalten:

DHL

Wichtige Informationen zu Ihrem Paket

Onlineversion <https://mailing3.dhl.de/go/5bkzq24za9axw7rmy6i2sxxxxxxxxxxxxxxxxxxxxxx=521927526>

DHL

Hallo,

ursprünglich sollte Ihr *DHL Paket* heute ankommen. Leider kam es auf dem Transportweg zu unerwarteten Verzögerungen (z.B. durch Stau, technische Störungen etc. <https://mailing3.dhl.de/go/9iozq24za9a5mxxxxxxxxxxxxxxxxxxxxxxa/7?t_id=521927526>)

Wir entschuldigen uns für diese Verzögerung und geben unser Bestes, damit Sie Ihre Sendung so schnell wie möglich erhalten.

Beste Grüße

DHL <https://mailing3.dhl.de/go/y0gzq24za9aweix008ukjweespc2knykxxxxxxxxxxxxxxxx7?t_id=521927526>

Ihr Sendungsstatus

Voraussichtliche Lieferung:

• 1-2 Werktage*

Die Email war mit Anhang Unterschreibe "smime.p7s", siehe dazu Anlage.

Was kann ich damit prüfen, wie prüfe ich richtig?

Zeigen die Links in der Mail tatsaechlich auf dhl.de oder werden die im Text nur so dargestellt? Das kannst du pruefen indem du mit der Maus drueber faehrst, aber nicht draufklickst, dann siehst du unten das Linkziel.

Die Links wurde anonymisiert.

Es geht nicht um die Links, sonder um die Datei "smime.p7s".

Mit Kleopatra anschaut:

https://i.imgur.com/uVpVA9t.jpg

Was kann man daraus ersehen?

Was kann ich mit Hilfe der smime.p7s weiter prüfen?

Greetz

undine

undine schrieb:

Was kann man daraus ersehen?

Dass der Ersteller nicht in der Lage war Textinformationen als solche zu kopieren... 😇

Es ist eigentlich Aufgabe des E-Mail Clients die Signatur mit dem Mailinhalt und den auf dem System bekannten Zertifikaten abzugleichen und zu warnen, wenn da etwas nicht zusammen passt.

Grundsätzlich kannst du die Zertifikate auch mit den Informationen von http://keyserver.deutschepost.de/ abgleichen - BTW: welcher große Geist hat da verhindert, dass man die Seite über HTTPS erreichen kann? 🙄

Im Zweifelsfall solltest du dich bei verdächtigen Mails an https://www.dhl.de/de/toolbar/footer/sicherheitshinweise.html halten.

War ist an der Signatur von DHL falsch?

Thunderbird 78 ist mein Email-Client.

Der sollte das können: https://www.thunderbird-mail.de/lexicon/entry/80-e-mail-verschl%C3%BCsselung-mit-s-mime/#1.3-Empfangen-von-Nachrichten

undine schrieb:

[…] Was kann ich damit prüfen, wie prüfe ich richtig?

Der Anhang ist wohl eine „isolierte S/MIME-Signatur“, eine elektronische Unterschrift.

Mit der Datei alleine lässt sich gar nichts anfangen, sondern nur die Kombination Unterschrift mit dem Dokument, für das die Unterschrift gelten soll, macht Sinn. Im Gegensatz zu Papier-Dokumenten, wo eine Unterschrift nur auf dem Dokument selbst Sinn macht, gibt es in der elektronischen Welt auch die Möglichkeit, diese beiden Elemente in getrennten Dateien abzulegen. Aber man benötigt schon beides.

Die Prüfung der Unterschrift für die E-Mail sollte der E-Mail-Client mit entsprechenden Funktionen und Dialogen unterstützen. Dazu muss auf dem Rechner eine kryptografische Basissoftware installiert und richtig mit dem E-Mail-Client verknüpft sein. Für S/MIME ist openSSL üblich, aber es gibt auch ein Zusatzprogramm für GnuPG.

Außerdem muss zum Zeitpunkt der Signatur-Prüfung die Zertifikatskette verfügbar sein, entweder durch lokale Installation von Zertifikaten oder durch Internet-Zugriff.

Wichtig: Im E-Mail-Client muss die Darstellung aller aktiven Inhalte abgeschaltet sein! Sonst lässt sich zwar nicht die Kryptographie selbst aus hebeln, aber die Darstellung des Prüfergebnisses fälschen und das ist für den Anwender genauso fatal. Zu aktiven Inhalten zählt hier auch die HTML-Darstellung von E-Mails.

Hallo Userse,

folgende Kleopatra Check Meldung:

https://i.imgur.com/nZnA5k2.jpg

Wie muss ich Thunderbird 78.8.1 damit das DHL Zertifikat richtig genutzt wird?

Wie muss ich Thunderbird 78.8.1 einrichten damit das DHL Zertifikat richtig genutzt wird?

Andere s/mime Zertifikate werden unauffällig, s/mime und Sysmbol in Email angezeigt.

Greetz

undine

undine schrieb:

Andere s/mime Zertifikate werden unauffällig, s/mime und Sysmbol in Email angezeigt.

Ich nutze TB nicht, und kann dir daher nicht sagen, wie du deinen Zertifikatsspeicher in TB administrieren solltest. Allerdings sagst du, dass sonst s/mime Prüfungen korrekt angezeigt werden.

Wie in dem jpg der Keopatra Ausgabe zu entnehmen ist, handelt es sich wahrscheinlich um eine Mail von "noreply.kundenkonto@dhl.de", die mit dem Zertifikat von "noreply@dhl.de" signiert ist. Die Zertifikatskette "noreply@dhl.de → DPDHL User CA I5 → GlobalSign Root CA - R3" ist ja mitgeliefert (siehe jpg). Das Root CA (GlobalSign) sollte ja in der Liste deiner vertrauenswürdigen Zertifizierungsstellen aufgeführt sein.

Das "Problem", was ich sehe, ist der etwas laxe Umgang von DHL mit der Nutzung von Zertifikaten bei der Signierung. Gemäß meiner Vermutung ist die Mail von einer andern Mailadresse als "noreply@dhl.de" gesendet worden. Das ist illegal und wird daher bei der Prüfung gemeldet werden. Man könnte nur DHL informieren, was sie für einen Fehler bei der Signierung der Mail gemacht haben und um Abstellung des Problems beim zukünftigen Schriftwechsel bitten. Ich hatte ein vergleichbares Problem bei der Benachrichtigung der DHL Paketablage festgestellt.

Gemäß meiner Vermutung ist die Mail von einer andern Mailadresse als "noreply@dhl.de" gesendet worden. Das ist illegal und wird daher bei der Prüfung gemeldet werden.

Die Email ist in Zusammenhang mit einem Ebaykauf gekommen.

undine schrieb:

Die Email ist in Zusammenhang mit einem Ebaykauf gekommen.

Das Zertifikat ist gemäß deinem jpg aber von DHL. Wie lautet denn die Absender-eMail-Adresse, welche die Signatur geschickt hat? Wenn diese Mail Adresse nicht "noreply@dhl.de" lautet, stimmt die Vermutung in meinem Post.

Hallo shiro,

die Emailadresse kann ich gerade nicht sagen.

Jetzt habe ich Thunderbird 78.13.0 (64-Bit).

https://forum.ubuntuusers.de/topic/libreoffice-die-gescannte-unterschrift-als-ste/

Bei Behörden kennt man eigentlich nur das Fax. Mit so was wie (igitt) IT möchte man da eigentlich nichts zu tun haben. Auch sonst ist ein signierter Datenaustausch eher selten (bei Mails bekommt man dann die Frage ob der smime.p7s Anhang etwas bösartiges sei).

Somit wäre meine Antwort: Es wäre schön, wenn irgendeine Art der Signierung durchgängig in der Praxis angewendet würde.

Diejenigen, die PDF mit Signaturen verarbeiten können, brauchen keine bildliche Unterschrift. Die Personen, die eine PDF Datei nur ausdrucken, freuen sich, wenn eine bildliche Unterschrift auf dem Papier ist (das gibt doch Vertrauen).

Das Anhang smime.p7s sieht bei mir auch "bösartig" aus.

Wie sieht es bei euch Thunderbird Nutzern aus?

Wie geht Ihr damit um?

Greetz

undine

Das Anhang smime.p7s sieht bei mir auch "bösartig" aus.

Also eine "smime.p7s" ist nicht "bösartig". Es ist ein Abschnitt einer Multipart-Mail, der von manchen Mail Clients unzureichend interpretiert wird und dann als "Anhang" angezeigt wird.

Beispiel: Wenn du eine Mail erhältst, ist das heute häufig eine Multipart-Mail, die im Body der Mail durch eine Trennzeile (beginnend mit "–") separiert die einzelnen Inhaltsblöcke beinhaltet. Jeder Inhaltsblock hat eine Beschreibung (content-type), damit der eMail-Client weis, ob in dem Block einfacher Text, HTML-Content, Bilder oder anderer binärer Inhalt steckt. Je nach deiner Konfiguration und der Fähigkeit der eMail Clients wird der entsprechende Inhalt vom Client aufbereitet dir angezeigt. Schau dir mal eine Mail mit mutt an, dann verstehst du das eventuell besser.

Wie beim Signieren gemäß S/MIME vorgegangen wird, ist in der RFC 2311 recht gut beschrieben. Mit einer Hash-Methode (s. micalg) wird der Hashwert des Mail-Bodys bzw der Content-Parts bestimmt und mit dem privaten S/MIME Schlüssel des Senders encrypted.

Dein Mail-Client muss nun den Anhang "smime.p7s" als Aktionsaufforderung verstehen. Kann er damit nicht umgehen, zeigt er die Datei als "Anhang" an. Wenn er die Signatur auswerten kann, holt er sich den öffentlichen S/MIME Schlüssel des Senders (e-Mail-Adresse), entschlüsselt die p7s Datei ermittelt den Hashwert nach der mitgeteilten Methode und prüft, ob errechneter und übermittelter Hash-Wert gleich sind. Manchen Mail Clients reicht dies bereits, obwohl noch eine Reihe weiterer Kriterien zu prüfen wären. So muss die eMail Adresse des Senders mit der im öffentlichen Zertifikat übereinstimmen oder der Signatur-Zeitstempel nicht wesentlich von dem der Mail abweisen. Letzterer Test wird in der Regel unterlassen. Doch Abweichungen bei der Mail Adresse werden durchaus festgestellt, wenn z.B. im Zertifikat "*"-Namen verwendet wurden.

Wenn also das Zertifikat für "noreply@dhl.de" ausgestellt wurde, der Sender aber xyz@dhl.de ist, gibt es somit einen Warnhinweis.

Manchen Mail Clients reicht dies bereits, obwohl noch eine Reihe weiterer Kriterien zu prüfen wären. So muss die eMail Adresse des Senders mit der im öffentlichen Zertifikat übereinstimmen oder der Signatur-Zeitstempel nicht wesentlich von dem der Mail abweisen.

Wie sieht es beim Thunderbird aus?

Wie sieht es beim Thunderbird aus?

Für diese Aussage fühle ich mich nicht qualifiziert genug. Ich hatte nach meinem Wechsel auf Ubuntu zuerst mit viel Euphorie Thunderbird und einen Exchange Adapter (für mich knock out Kriterium) ausprobiert. Nach einigem Frust bin ich auf Evolution umgestiegen (da gehört der EWS Adapter dazu).

Nach Aussage der >>>Webseite<<< soll aber Thunderbird S/MIME beherrschen. Wie weit die Unterstützung geht, kann ich aber nicht beurteilen.