Strato + Thunderbird
Hallo Admins,
in Strato gab es wohl am 07.05.24 ca. 6 Uhr eine Änderung der Authentifizierung.
Laut Support muss man in den Servereinstellungen auf "normal" umstellen, statt sein Passwort verschlüsselt zu übertragen, der Mitarbeiter in der Spätschicht konnte mir meine Frage jedoch nicht beantworten, deshalb mal in die Runde.
Welche (nativen) Konsequenzen ergeben sich daraus?
Besteht hier Handlungsbedarf?
Thunderbird selbst stellt wohl das Setup immer wieder zurück, muss wohl einen guten Grund geben.
Jedoch muss der Anwender jedes mal umstellen.
Vielen Dank für konstruktive Meinungen.
vorher / nachher
in Strato gab es wohl am 07.05.24 ca. 6 Uhr eine Änderung der Authentifizierung.
Laut Support muss man in den Servereinstellungen auf "normal" umstellen, statt sein Passwort verschlüsselt zu übertragen, der Mitarbeiter in der Spätschicht konnte mir meine Frage jedoch nicht beantworten, deshalb mal in die Runde.
Welche (nativen) Konsequenzen ergeben sich daraus?
Besteht hier Handlungsbedarf?
Thunderbird selbst stellt wohl das Setup immer wieder zurück, muss wohl einen guten Grund geben.
Jedoch muss der Anwender jedes mal umstellen.
Vielen Dank für konstruktive Meinungen.
vorher / nachher
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 93483495471
Url: https://administrator.de/contentid/93483495471
Ausgedruckt am: 03.12.2024 um 17:12 Uhr
6 Kommentare
Neuester Kommentar
Schließe mich den Kollegen an. Ist auch bei allen anderen Hostern, die meine Kunden nutzen, so konfiguriert. Ebenso bei meinem selbst gehosteten Mailserver.
Warum zuvor offenbar innerhalb einer verschlüsselten Verbindung das Passwort (zusätzlich) verschlüsselt wurde, ist wohl ein Geheimnis von Strato.
Viele Grüße, commodity
Warum zuvor offenbar innerhalb einer verschlüsselten Verbindung das Passwort (zusätzlich) verschlüsselt wurde, ist wohl ein Geheimnis von Strato.
Viele Grüße, commodity
8> Zitat von @nachgefragt:
Vielen Dank in die Runde.
Der, der Thunderbird eingerichtet hat oder benutzt.
Thunderbird hat eine Liste von Root-CAs, denen es vertraut und meckert, wenn ein Zertifikat nicht von einem dieser CAs signiert ist, z.B. bei selbstsignierten Zertifikaten. Man könnte natürlich einfach darauf vertrauen, daß alles in Ordnung ist, wenn Thunderbird (oder irgendein anderer MUA) nicht meckert, aber es kam schon öfter vor, daß einige Schrott-CAs, die in der vertrauenswürdigen Listen von Windows, diversen Browsern und Mailclients eingetragen sind, Zertifikate signiert haben, die gefälscht waren. Auch manche Firerewall/Proxy-Hersteller stellen falsche Zertifikate aus, um in SSL-Verbindungen reinzuschauen. Geheimdienste machen das sowieso. Mit diesen Zertifikaten können dann Verbindungen abgehört werden, indem man MITM spielt. Deswegen habe ich die Angewohnheit, ab und zu mit openssl mir die Zertifikate anzuschauen, von wem die ausgestellt sind und was genau drinsteht.
Früher habe ich sogar versucht die Zertifikate von Onlinebankingseiten meiner Banken zu verifizieren, indem ich deren Technik angerufen habe, mußte aber feststellen, daß die oft keine Ahnung hatten, wovon ich rede. Deswegen habe ich es irgendwann aufgegeben und prüfe nur noch den Aussteller und den Inhalt.
lks
Ps: Fefe kann sich da auch wundervoll aufregen
https://blog.fefe.de/?ts=b25933c5
Zitat:
Für den TO bedeutet das: das verschlüsselte Paßwort bietet nur eine minimale sicheheitserhöhung. sinnvoller wäre es, die Mails selbst zu verschlüsseln. Daher gilt meine Aussage von oben immer noch. Ob das paßwort verschlüsselt übertragen wird ist im Prinzip wumpe, wenn man ssl out-of-the-box nutzt.
PPS: https://blog.fefe.de/?ts=a9b6e9fa
Vielen Dank in die Runde.
Zitat von @Lochkartenstanzer:
Wichtig ist nur, daß man daß Zertifikat überprüft und darauf achtet, daß keine veralteten Chiffren eingesetzt werden.
Wer ist in dem Fall "man"?Wichtig ist nur, daß man daß Zertifikat überprüft und darauf achtet, daß keine veralteten Chiffren eingesetzt werden.
Der, der Thunderbird eingerichtet hat oder benutzt.
Eine Einstellung in Thunderbird?
Thunderbird hat eine Liste von Root-CAs, denen es vertraut und meckert, wenn ein Zertifikat nicht von einem dieser CAs signiert ist, z.B. bei selbstsignierten Zertifikaten. Man könnte natürlich einfach darauf vertrauen, daß alles in Ordnung ist, wenn Thunderbird (oder irgendein anderer MUA) nicht meckert, aber es kam schon öfter vor, daß einige Schrott-CAs, die in der vertrauenswürdigen Listen von Windows, diversen Browsern und Mailclients eingetragen sind, Zertifikate signiert haben, die gefälscht waren. Auch manche Firerewall/Proxy-Hersteller stellen falsche Zertifikate aus, um in SSL-Verbindungen reinzuschauen. Geheimdienste machen das sowieso. Mit diesen Zertifikaten können dann Verbindungen abgehört werden, indem man MITM spielt. Deswegen habe ich die Angewohnheit, ab und zu mit openssl mir die Zertifikate anzuschauen, von wem die ausgestellt sind und was genau drinsteht.
Früher habe ich sogar versucht die Zertifikate von Onlinebankingseiten meiner Banken zu verifizieren, indem ich deren Technik angerufen habe, mußte aber feststellen, daß die oft keine Ahnung hatten, wovon ich rede. Deswegen habe ich es irgendwann aufgegeben und prüfe nur noch den Aussteller und den Inhalt.
lks
Ps: Fefe kann sich da auch wundervoll aufregen
https://blog.fefe.de/?ts=b25933c5
Zitat:
Aber, was ich an der Stelle nochmal ganz deutlich sagen will: nur weil ihr SSL benutzt, heißt das noch lange nicht, dass die Kommunikation sicher ist und nicht abgehört oder manipuliert werden kann. Im Zweifelsfall sollte man immer zusätzlich zu SSL noch eine Ende-zu-Ende-Verschlüsselung fahren. Bei Email und Jabber kann man z.B. openpgp haben, bei diversen Chatprotokollen gibt es OTR. Wenn ihr eine Wahl habt: immer das zusätzlich einschalten. Und wenn ihr mal jemanden im realen Leben trefft, nutzt die Chance, deren Schlüssel zu vergleichen, damit ihr sicher sein könnt, dass euch da keiner verarscht. Sowas nennt sich dann PGP Keysigning Party.
Für den TO bedeutet das: das verschlüsselte Paßwort bietet nur eine minimale sicheheitserhöhung. sinnvoller wäre es, die Mails selbst zu verschlüsseln. Daher gilt meine Aussage von oben immer noch. Ob das paßwort verschlüsselt übertragen wird ist im Prinzip wumpe, wenn man ssl out-of-the-box nutzt.
PPS: https://blog.fefe.de/?ts=a9b6e9fa