From sebastian at debianfan.de Mon Feb 3 10:16:29 2025 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 03 Feb 2025 10:16:29 +0100 Subject: Letsencrypt und Thunderbird Message-ID: <5053c8053ebd254c8d9cfad7bed8cedf@debianfan.de> Moin, seit dem letzten Thunderbird-Update auf 128.6.1esr (64-Bit) meldet er "ungültiges Zertifikat" bei smtp (postfix) & imap ( dovecot). Komischerweise gibt es bei Outlook, K9Mail (Android) und irgendeinem Apple Mailclient keine Probleme. Das Zertifikat ist bereits aktualisiert. Das Thema betrifft mehrere Server - unabhängig voneinander - alle mit faktisch der gleichen Postfix/Dovecot/Letsencrypt-Konfiguration. Vorschläge ? gruß Sebastian From trashcan at ellael.org Mon Feb 3 10:56:49 2025 From: trashcan at ellael.org (Michael Grimm) Date: Mon, 3 Feb 2025 10:56:49 +0100 Subject: Letsencrypt und Thunderbird In-Reply-To: <5053c8053ebd254c8d9cfad7bed8cedf@debianfan.de> References: <5053c8053ebd254c8d9cfad7bed8cedf@debianfan.de> Message-ID: <74681E53-7B35-42A5-85AD-A1473AA014A8@ellael.org> Sebastian K-H W Deiszner via Postfixbuch-users wrote: > seit dem letzten Thunderbird-Update auf 128.6.1esr (64-Bit) meldet er "ungültiges Zertifikat" bei smtp (postfix) & imap ( > dovecot). > > Komischerweise gibt es bei Outlook, K9Mail (Android) und irgendeinem Apple Mailclient keine Probleme. > > Das Zertifikat ist bereits aktualisiert. > > Das Thema betrifft mehrere Server - unabhängig voneinander - alle mit faktisch der gleichen Postfix/Dovecot/Letsencrypt-Konfiguration. > > Vorschläge ? Könnte es hiermit zu tun haben, indem Thunderbird OCPS Must Staple Zertifikate jetzt schon ablehnt? https://letsencrypt.org/2024/12/05/ending-ocsp/ HTH, Michael From ae at ae-online.de Mon Feb 3 11:20:55 2025 From: ae at ae-online.de (Andreas Ernst) Date: Mon, 3 Feb 2025 11:20:55 +0100 Subject: Letsencrypt und Thunderbird In-Reply-To: <5053c8053ebd254c8d9cfad7bed8cedf@debianfan.de> References: <5053c8053ebd254c8d9cfad7bed8cedf@debianfan.de> Message-ID: Gude, Am 03.02.25 um 10:16 schrieb Sebastian K-H W Deiszner via Postfixbuch-users: > Moin, > > seit dem letzten Thunderbird-Update auf 128.6.1esr (64-Bit) meldet er > "ungültiges Zertifikat" bei smtp (postfix) & imap ( > dovecot). kann ich hier so nicht bestätigen: macOS 15.3 mit TB 128.6.1esr (64-Bit)15.3 gegen openSUSE Leap 15.6 postfix 3.9.1-lp156.485.2 dovecot 2.3.21.1-lp156.133.1 Grüße Andreas -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae at ae-online.de | www.ae-online.de www.tachyon-online.de From Daniel at Mail24.vip Fri Feb 7 20:19:35 2025 From: Daniel at Mail24.vip (Daniel) Date: Fri, 7 Feb 2025 20:19:35 +0100 Subject: TLS Test von comcrypto In-Reply-To: <20250207191132.6A8F320809@evaluation.comcrypto.de> References: <20250207191132.6A8F320809@evaluation.comcrypto.de> Message-ID: <014c01db7995$3964b1b0$ac2e1510$@Mail24.vip> Hallo in die Runde, was haltet ihr von solchen Tests? Mich verwundert es dass angeblich alle Tests nicht bestanden sind, obwohl man bei Mailbox_org Transportverschlüsselung erzwingt. Gruß Daniel -----Ursprüngliche Nachricht----- Von: echomail at evaluation.comcrypto.de xx Vielen Dank für den Einsatz des kostenlosen E-Mail-Tests von comcrypto. Es wurde getestet, ob Ihr E-Mail-Server beim Versand eine Mindestsicherheit der TLS-Transportverschlüsselung gewährleistet. Der Test prüft dabei n i c h t, ob Sie weitere Sicherheitsmaßnahmen, wie etwa eine Inhaltsverschlüsselung oder verschlüsselte Datei-Anhänge, eingesetzt haben. Testergebnis: Ihr getestetes E-Mail-System: mout-p-102.mailbox.org Schutz vor Angreifern, die passiv den Netzwerkverkehr belauschen: n e i n Schutz vor "TLS-Downgrade-Angriffen": n e i n Schutz vor "Man-in-the-Middle-Angriffen": n e i n Ist gewährleistet, dass die TLS-Verschlüsselung mit dem r i c h t i g e n Empfänger-Server stattfindet: n e i n Die verwendete TLS-Policy Ihres Servers nennt man Opportunistic TLS. Diese Policy ist für die Übertragung von personenbezogenen Daten mit normalen Risiken: n i c h t geeignet personenbezogenen Daten mit hohen Risiken: n i c h t geeignet Warum ist dies so? Lesen Sie mehr unter https://www.comcrypto.de/das-sicherheitsproblem-der-e-mail.html Die aktuellen Mindest-Anforderungen der Deutschen Datenschutzkonferenz finden Sie unter https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf, Abschnitt 4.2. Testaufbau: Wir haben den E-Mail-Server auf der Empfängerseite zu Testzwecken mit groben Sicherheits-Mängeln versehen, z.B. mit ausschließlich unsicheren, veralteten TLS-Algorithmen und einem gefälschten TLS-Zertifikat (Datum 1.1.1970). Ihr E-Mail-System hat darauf nicht reagiert, dennoch eine Verbindung aufgebaut und Ihre Daten übertragen! Ihr E-Mail-Versand ist also anfällig für Angriffe auf die TLS-Verschlüsselung. Was bedeutet das Testergebnis für Sie? Ihr Server bietet auf der Ebene der Transportverschlüsselung kein ausreichendes Sicherheitslevel. Daher müssen Sie auf andere aufwändigere Methoden (z.B. Inhaltsverschlüsselung) zurückgreifen, um E-Mails datenschutzkonform zu übertragen. Eine Alternative, um ohne manuellen Aufwand eine ausreichend sichere Übertragung zu erreichen, ist die "adaptive Verschlüsselung". Erfahren Sie mehr unter https://www.comcrypto.de/sichere-e-mail-uebertragung-adaptive-verschluesselung.html Danke und viele Grüße, das Team von comcrypto GmbH xx -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From joerg at backschues.de Fri Feb 7 21:20:44 2025 From: joerg at backschues.de (=?UTF-8?Q?J=C3=B6rg_Backschues?=) Date: Fri, 7 Feb 2025 21:20:44 +0100 Subject: TLS Test von comcrypto In-Reply-To: <014c01db7995$3964b1b0$ac2e1510$@Mail24.vip> References: <20250207191132.6A8F320809@evaluation.comcrypto.de> <014c01db7995$3964b1b0$ac2e1510$@Mail24.vip> Message-ID: Am 07.02.2025 um 20:19 schrieb Daniel via Postfixbuch-users: > Mich verwundert es dass angeblich alle Tests nicht bestanden sind, obwohl man bei Mailbox_org Transportverschlüsselung erzwingt. Hm, haben die noch nichts von DANE & MTA-STS gehört? -- Gruß Jörg From ml at irmawi.de Sat Feb 8 12:20:25 2025 From: ml at irmawi.de (Markus Winkler) Date: Sat, 8 Feb 2025 12:20:25 +0100 Subject: TLS Test von comcrypto In-Reply-To: <014c01db7995$3964b1b0$ac2e1510$@Mail24.vip> References: <20250207191132.6A8F320809@evaluation.comcrypto.de> <014c01db7995$3964b1b0$ac2e1510$@Mail24.vip> Message-ID: Hi Daniel, On 07.02.25 20:19, Daniel via Postfixbuch-users wrote: > > was haltet ihr von solchen Tests? sind m. E. durchaus hilfreich. > Mich verwundert es dass angeblich alle Tests nicht bestanden sind, obwohl man bei Mailbox_org Transportverschlüsselung erzwingt. Mich nicht. ;-) Im Testergebnis steht ja auch nicht, dass _kein_ TLS verwendet wurde, sondern dass der sendende Server mit einer TLS-Policy konfiguriert wurde, die insbesondere für den Versand von personenbezogenen Daten nicht ausreichend sicher ist. Die Mail wurde von den Ausgangsservern von mailbox.org an das Testsystem übertragen, obwohl bestimmte eingangsseitige TLS-Anforderungen des Testsystems bewusst nicht erfüllt waren. In einem solchen Fall liegt es im Ermessen des Absenders (bzw. gesetzlichen Anforderungen, denen er ggf. unterliegt), ob er mit diesem TLS-Schutzniveau leben kann/darf, oder eben auch nicht. Dass dieses Thema immer eine Gratwanderung ist, ist klar - immer noch gibt es Mailserver, die empfangsseitig so aussehen, wie offenkundig dieses Testsystem. Dreht man als sendender Server die Daumenschrauben zu fest an, wird man die Mails dann nicht übertragen können. Viele Grüße Markus