aldor
Anmeldungsdatum: 14. Februar 2007
Beiträge: 204
Wohnort: Heidelberg
|
Hallo! In Firefox sehe ich in der Adresszeile sofort, ob TLS genutzt wird und kann innerhalb weniger Klicks Informationen zu Zertifikat und Cipher Suite einsehen. Mit den Add-Ons Flagfox und DNSSEC/TLSA Validator habe ich weitere relevante Infos unmittelbar im Blick bzw. in Reichweite. Im Gegensatz dazu ist man bei Thunderbird im völligen Blindflug unterwegs. Anscheinend zeigt das kleine Schloss-Symbol vor dem Kontennamen zwar an, dass durch IMAP SSL/TLS-gesichert ist. Aber das ist herzlich wenig. Ich konnte nicht rausfinden, wie man Informationen zur verwendeten TLS-Version, cipher suites oder Server-Zertifikat überhaupt einsehen kann. Für SMTP noch weniger. Ich habe versucht, Thunderbird nach den Tipps aus dem Privacy Handbuch zu härten. Die kann ich aber nur teilweise umsetzen, weil der Mailserver meiner Uni keine aktuellen Ciphers bietet (und die Admins nicht auf meinen Hinweis reagiert haben). Cipher Suites kann man in Thunderbird wohl aber nur global und nicht pro E-Mail-Konto einschränken, so dass es nicht möglich ist, für meinen privaten E-Mail-Account starke Ciphers zu erzwingen ohne mich von meinen Uni-E-Mails auszusperren. Den Hack zu DANE in Thunderbird halte ich unter Sicherheitsaspekten für kontraproduktiv – GnuTLS mit speziellen Optionen selbst kompilieren und dann pflegen zu müssen, das kann eigentlich nur in die Hose gehen. Hab ich nur Tomaten auf den Augen, oder gibt es in Thunderbird wirklich keine Möglichkeit (auch nicht per Add-On) mehr Details zu erfahren?
|
u1000
Anmeldungsdatum: 2. Oktober 2011
Beiträge: 1850
|
Ein wenig mehr Licht ins Dunkle bringt das Ad-on "Paranoia" 0.2.5 von GDR. Es zeigt wenigstens schonmal an, ob emails auf dem Weg zu Dir über nur verschlüsselte oder auch unverschlüsselte Server ging. Ist aber aber leider keine Antwort zu Deiner Frage... Viele Grüße
u1000
|
aldor
(Themenstarter)
Anmeldungsdatum: 14. Februar 2007
Beiträge: 204
Wohnort: Heidelberg
|
u1000 schrieb: Ein wenig mehr Licht ins Dunkle bringt das Ad-on "Paranoia" 0.2.5 von GDR.
Das habe ich schon seit Längerem installiert. Das ist aber eine andere Baustelle, weil es bei Paranoia um den Mail-Transport zwischen den Anbietern geht. Es wertet die Received-header-Zeilen aus – bzw. versucht es. Die Ergebnisse, die Paranoia ausspuckt, sind aber zumindest bei mir häufig ziemlich unbrauchbar. Grundsätzlich muss man sich drauf verlassen, dass die beteiligten Mail-Server die Header nach bestem Wissen und Gewissen (bei Servern ist das eine witzige Formulierung …) in die Mails schreiben. Paranoia unterscheidet zwischen lokal bei einem Anbieter übertragenen Mail, bei denen fehlende Verschlüsselung nicht angeprangert wird, und solchen, die durch die Weiten des Netzes gehen und verschlüsselt sein sollten. Dabei wertet Paranoia die DNS-Namen irgendwie aus (glaube ich – vielleicht, wenn es LMTP als Protokoll erkennt). Einerseits kann Paranoia aber kaum wissen, ob Server, die zu einem Anbieter gehören, tatsächlich physisch an einem Ort stehen. Andererseits sind mir auch schon Fälle aufgefallen, bei denen Paranoia Server ein und des selben Anbieters als unterschiedlich betrachtet hat, weil die DNS-Namen nicht zusammengepasst haben. Paranoia betrachtet eine Verbindung als sicher, sobald den String with gefolgt von ESMTPS findet. Das sagt recht wenig über die Qualität der Verschlüsselung aus und auch nichts darüber, ob eine Authentifizierung mittels Zertifikaten erfolgt ist oder gar DANE zum Einsatz kam. Das ist aber nicht Paranoia anzukreiden, sondern den Mailservern. Manche Mailserver machen das besser und schreiben beispielsweise ausführlich Received: from XXXXXXXXXXXXXXX.com (XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.com [XXX.XXX.XXX.XXX])
by smtp.rzone.de (RZmta XXXX OK)
with ESMTPS id XXXXXXXXXXXXXXX
(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (curve secp521r1 with 521 ECDH bits, eq. 15360 bits RSA))
(Client did not present a certificate)
for <XXXXXXXXXXXXXXXX>;
Wed, 12 Oct 2016 XX:XX:XX +0200 (CEST) oder wenn es mal richtig gut läuft mit gültigem Zertifikat (kommt nicht so häufig vor) Received: from XX.XXXXXXXXXXXX.de ([XXX.XXX.XXX.XXX])
by smtp.rzone.de (RZmta XXXX OK)
with ESMTPS id XXXXXXXXXXXXXXX
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (curve secp521r1 with 521 ECDH bits, eq. 15360 bits RSA))
(Client CN "XXXXXXXXXXXXXXXXX.de", Issuer "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX CA" (verified OK))
(Client hostname verified OK)
for <XXXXXXXXXXXXXXXXX>;
Thu, 6 Oct 2016 XX:XX:XX +0200 (CEST) Ausgerechnet in diesen Fällen versagt Paranoia: Es sucht nach "with", findet "with 521" (in dem Klammerausdruck), hält "521" für das Protokoll, stellt fest, dass die Strings "521" und "ESMTPS" verschieden sind, und stuft die Verbindung folglich als unverschlüsselt ein. Auf GitHub ist der Fehler seit Mitte November 2015 gemeldet (Issue #14: TLS connections not recognised). GDR! / gjedeer meinte Ende März: „I'll try to support this format in the next release if nobody submits a pull request... but that's going to happen somewhere between now and +INF 😉“
Vermutlich fliegt Paranoia bei mir wieder raus. Wäre zwar schön und der Aufwand, die gröbsten Fehler in der Regex auszubügeln, dürfte sich in Grenzen halten. Aber im jetzigen Zustand ist es keine große Hilfe. Mailheader kann man immer noch manuell einsehen. Hat jemand noch Ideen zu meiner ursprünglichen Frage?
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
aldor schrieb: Ich habe versucht, Thunderbird nach den Tipps aus dem Privacy Handbuch zu härten. Die kann ich aber nur teilweise umsetzen, weil der Mailserver meiner Uni keine aktuellen Ciphers bietet (und die Admins nicht auf meinen Hinweis reagiert haben).
Wie schlimm ist das Problem/um welche Server handelt es sich? Du kannst die Admins auch noch auf das bettercrypto Projekt hinweisen, das richtet sich direkt an Admins.
|
aldor
(Themenstarter)
Anmeldungsdatum: 14. Februar 2007
Beiträge: 204
Wohnort: Heidelberg
|
sebix schrieb: Wie schlimm ist das Problem/um welche Server handelt es sich?
Wenn ich die empfohlenen Einstellungen aus dem Privacy-Handbuch umsetze, funktionieren meine privaten E-Mail-Accounts noch problemlos, nicht aber mein Uni-E-Mail-Account. Leider zeigt mir Thunderbird ja nicht an, welche TLS-Versionen und Ciphers jeweils zum Einsatz kommen. Also kann ich mich nur durch sukzessive Änderungen der Parameter in about:config an das Problem heran tasten. security.tls.version.min funktioniert mit 1 , nicht aber mit 2 oder 3 , d. h. der Mailserver bietet TLS 1.0, aber kein TLS 1.1 oder TLS 1.2.
Außerdem schlägt die Verbindung fehl, wenn ich nur noch die beiden empfohlenen Cipher Suites ecdhe_rsa_aes_128_gcm_sha256 und ecdhe_ecdsa_aes_128_gcm_sha256 zulasse und alle anderen deaktiviere. Auch mit ecdhe_ecdsa_aes_256_sha klappt es nicht. Mit dhe_rsa_aes_256_sha funktioniert die Verbindung schließlich. Dass es keine andere Möglichkeit gibt, als in about:config rumzufummeln und Thunderbird nach jeder Änderung neu zu starten, ist irritierend. Warum kommt man nicht einfacher an die wesentlichen Infos? Mit welchen Zertifikaten die Server sich ausweisen, kann ich nach wie vor nicht nachvollziehen.
Du kannst die Admins auch noch auf das bettercrypto Projekt hinweisen, das richtet sich direkt an Admins.
Auf die Probleme hingewiesen habe ich bereits (allerdings ohne Verweis auf diese Seite). Habe leider keine Reaktion bekommen.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
aldor schrieb: security.tls.version.min funktioniert mit 1 , nicht aber mit 2 oder 3 , d. h. der Mailserver bietet TLS 1.0, aber kein TLS 1.1 oder TLS 1.2.
Das ist zB bei OpenSSL < 1 der Fall.
Außerdem schlägt die Verbindung fehl, wenn ich nur noch die beiden empfohlenen Cipher Suites ecdhe_rsa_aes_128_gcm_sha256 und ecdhe_ecdsa_aes_128_gcm_sha256 zulasse und alle anderen deaktiviere. Auch mit ecdhe_ecdsa_aes_256_sha klappt es nicht.
Auch das passt zu OpenSSL 0.9.8. Mit dhe_rsa_aes_256_sha funktioniert die Verbindung schließlich.
Immerhin mit PFS! Dass es keine andere Möglichkeit gibt, als in about:config rumzufummeln und Thunderbird nach jeder Änderung neu zu starten, ist irritierend. Warum kommt man nicht einfacher an die wesentlichen Infos? Mit welchen Zertifikaten die Server sich ausweisen, kann ich nach wie vor nicht nachvollziehen.
Mit tools wie sslyze oder cipherscan kannst du alle ciphers und protokolle, die der Server kann abklopfen.
Du kannst die Admins auch noch auf das bettercrypto Projekt hinweisen, das richtet sich direkt an Admins.
Auf die Probleme hingewiesen habe ich bereits (allerdings ohne Verweis auf diese Seite). Habe leider keine Reaktion bekommen.
Da gibt es wohl nicht mehr, was du hier machen kannst. Ausser darauf pochen, dass die Admins ihre Infrastruktur in den Griff bekommen.
|
aldor
(Themenstarter)
Anmeldungsdatum: 14. Februar 2007
Beiträge: 204
Wohnort: Heidelberg
|
sebix schrieb: Mit tools wie sslyze oder cipherscan kannst du alle ciphers und protokolle, die der Server kann abklopfen.
Klingt gut. Ich hab mir die Seiten bei GitHub mal angesehen. Leider sind die nicht in den Paketquellen und auf meinem Produktivsystem baue ich nur in Ausnahmefällen Software selbst. Vielleicht teste ich das mal in einer virtuellen Maschine. Es bleibt aber mein grundsätzliches Unverständnis, warum Thunderbird sich so dermaßen in Schweigen hüllt. Es dürfte kein Hexenwerk sein, von Firefox die nötigen Dialogboxen zu übernehmen. Ich stelle mir das so vor, dass man in Thunderbird bei Rechtsklick auf den Kontennamen zwei Einträge im Kontext-Menü findet: „IMAP-Sicherheit“ (bzw. „POP3-Sicherheit“) und „SMTP-Sicherheit“. Wenn man auf diese klickt, bekäme man jeweils ein Fenster, welches „Seiteninformationen → Sicherheit“ von Firefox entspräche. (In Firefox: Klick auf Schloss-Symbol neben der Adressleiste und anschließend auf „Weitere Informationen“.)
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
aldor schrieb: Es bleibt aber mein grundsätzliches Unverständnis, warum Thunderbird sich so dermaßen in Schweigen hüllt. Es dürfte kein Hexenwerk sein, von Firefox die nötigen Dialogboxen zu übernehmen.
Hier kann ich sagen, dass die beiden Programme zwar ein paar Gemeinsamkeiten haben (Die GUI basiert auf gleichen Technologien, ebenso das Rendern von HTML), aber abgesehen davon gibt es nicht viele Gemeinsamkeiten und sie entwickeln sich auch immer weiter auseinander.
|