nachgefragt
Goto Top

Strato + Thunderbird

Hallo Admins,

in Strato gab es wohl am 07.05.24 ca. 6 Uhr eine Änderung der Authentifizierung.

Laut Support muss man in den Servereinstellungen auf "normal" umstellen, statt sein Passwort verschlüsselt zu übertragen, der Mitarbeiter in der Spätschicht konnte mir meine Frage jedoch nicht beantworten, deshalb mal in die Runde.

Welche (nativen) Konsequenzen ergeben sich daraus?
Besteht hier Handlungsbedarf?

Thunderbird selbst stellt wohl das Setup immer wieder zurück, muss wohl einen guten Grund geben.
Jedoch muss der Anwender jedes mal umstellen.

Vielen Dank für konstruktive Meinungen.

vorher / nachher
1

Content-Key: 93483495471

Url: https://administrator.de/contentid/93483495471

Printed on: June 12, 2024 at 19:06 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer May 21, 2024 at 17:34:05 (UTC)
Goto Top
Moin,

Nachdem die Verbindung ssl-verschlüsselt ist, sollte das erstmal keine direkten Konsequenzen haben.

lks
Member: Dani
Dani May 21, 2024 at 19:59:18 (UTC)
Goto Top
Moin,
bin da voll und ganz bei Kollegen lks.


Gruß,
Dani
Member: commodity
commodity May 21, 2024 at 20:42:28 (UTC)
Goto Top
Schließe mich den Kollegen an. Ist auch bei allen anderen Hostern, die meine Kunden nutzen, so konfiguriert. Ebenso bei meinem selbst gehosteten Mailserver.

Warum zuvor offenbar innerhalb einer verschlüsselten Verbindung das Passwort (zusätzlich) verschlüsselt wurde, ist wohl ein Geheimnis von Strato.

Viele Grüße, commodity
Member: Lochkartenstanzer
Lochkartenstanzer May 21, 2024 at 21:52:24 (UTC)
Goto Top
Moin,

Nachtrag:

Wichtig ist nur, daß man daß Zertifikat überprüft und darauf achtet, daß keine veralteten Chiffren eingesetzt werden. Und natürlich nicht als Versehen unverschlüsselt kommuniziert wird, weil man z.B. startTLS statt TLS gewählt hat.

lks
Member: nachgefragt
nachgefragt May 22, 2024 at 05:55:35 (UTC)
Goto Top
Vielen Dank in die Runde.

Zitat von @Lochkartenstanzer:
Wichtig ist nur, daß man daß Zertifikat überprüft und darauf achtet, daß keine veralteten Chiffren eingesetzt werden.
Wer ist in dem Fall "man"?
Eine Einstellung in Thunderbird?
Member: Lochkartenstanzer
Solution Lochkartenstanzer May 22, 2024 updated at 09:11:27 (UTC)
Goto Top
8> Zitat von @nachgefragt:

Vielen Dank in die Runde.

Zitat von @Lochkartenstanzer:
Wichtig ist nur, daß man daß Zertifikat überprüft und darauf achtet, daß keine veralteten Chiffren eingesetzt werden.
Wer ist in dem Fall "man"?

Der, der Thunderbird eingerichtet hat oder benutzt.

Eine Einstellung in Thunderbird?

Thunderbird hat eine Liste von Root-CAs, denen es vertraut und meckert, wenn ein Zertifikat nicht von einem dieser CAs signiert ist, z.B. bei selbstsignierten Zertifikaten. Man könnte natürlich einfach darauf vertrauen, daß alles in Ordnung ist, wenn Thunderbird (oder irgendein anderer MUA) nicht meckert, aber es kam schon öfter vor, daß einige Schrott-CAs, die in der vertrauenswürdigen Listen von Windows, diversen Browsern und Mailclients eingetragen sind, Zertifikate signiert haben, die gefälscht waren. Auch manche Firerewall/Proxy-Hersteller stellen falsche Zertifikate aus, um in SSL-Verbindungen reinzuschauen. Geheimdienste machen das sowieso. Mit diesen Zertifikaten können dann Verbindungen abgehört werden, indem man MITM spielt. Deswegen habe ich die Angewohnheit, ab und zu mit openssl mir die Zertifikate anzuschauen, von wem die ausgestellt sind und was genau drinsteht.

Früher habe ich sogar versucht die Zertifikate von Onlinebankingseiten meiner Banken zu verifizieren, indem ich deren Technik angerufen habe, mußte aber feststellen, daß die oft keine Ahnung hatten, wovon ich rede. Deswegen habe ich es irgendwann aufgegeben und prüfe nur noch den Aussteller und den Inhalt.

lks

Ps: Fefe kann sich da auch wundervoll aufregen face-smile

https://blog.fefe.de/?ts=b25933c5

Zitat:

Aber, was ich an der Stelle nochmal ganz deutlich sagen will: nur weil ihr SSL benutzt, heißt das noch lange nicht, dass die Kommunikation sicher ist und nicht abgehört oder manipuliert werden kann. Im Zweifelsfall sollte man immer zusätzlich zu SSL noch eine Ende-zu-Ende-Verschlüsselung fahren. Bei Email und Jabber kann man z.B. openpgp haben, bei diversen Chatprotokollen gibt es OTR. Wenn ihr eine Wahl habt: immer das zusätzlich einschalten. Und wenn ihr mal jemanden im realen Leben trefft, nutzt die Chance, deren Schlüssel zu vergleichen, damit ihr sicher sein könnt, dass euch da keiner verarscht. Sowas nennt sich dann PGP Keysigning Party.

Für den TO bedeutet das: das verschlüsselte Paßwort bietet nur eine minimale sicheheitserhöhung. sinnvoller wäre es, die Mails selbst zu verschlüsseln. Daher gilt meine Aussage von oben immer noch. Ob das paßwort verschlüsselt übertragen wird ist im Prinzip wumpe, wenn man ssl out-of-the-box nutzt.

PPS: https://blog.fefe.de/?ts=a9b6e9fa