PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen Mail Schutz: wirklich verschlüsselt?



Avidus
28.04.12, 15:29
Hallo liebe avast Gemeinde,

ich habe nun, nachdem schon von der Windows Version begeistert, avast auch auf mein Mac OS X Lion installiert. Leider bin ich mir nicht sicher, ob avast die SSL Verschlüsselung zu meinen Emailprovidern übernimmt. Aufgrund der vielseitigen Abhörmöglichkeiten möchte ich sicher gehen, dass meine Zugangsdaten und Emailverkehr auf keinen Fall in Klartext übermittelt, sondern mittels SSL/TLS codiert werden.

Hintergrund: In Windows hat man, z.B. in Outlook, die Emailaccounts mit den unverschlüsselten IMAP/ POP3 Servern eingerichtet. Avast hat daraufhin automatisiert die korrekten SSL-basierten Server in seine Konfiguration eingetragen. Das war für mich eine Kontrolle, dass die Verbindung tatsächlich über den avast Proxy geroutet wird und dieser die Verschlüsselung zum Email Gateway übernimmt.

Beim MAC werden jedoch die Einstellungen nicht automatisch in die avast Konfigurationsmaske eingetragen. Diese kann ich höchstens manuell eintragen:

1) Wie kann ich mir da sicher sein, dass tatsächlich eine verschlüsselte Verbindung zum Emailserver aufgenommen wird?

2) In der Konfigurationsmaske von avast steht unter der Serverliste: "Bitte beachten: Die für die Serverauthentifizierung erforderlichen SSL-Zertifikate müssen in einem der Schlüsselbunde....stehen, bevor der Server in die Liste aufgenommen wird?
-->Welches Zertifikat soll den hier rein? Das root Zertifikat oder spezifische Zertifikate für die Eingangs- und Ausgangsserver (in meinem Fall für secureimap.t-online.de und securesmtp.t-online.de)?

Vielen Dank

Avidus

Avidus
28.04.12, 18:33
Ergänzung: Ich habe mir das ganze mal mit Wireshark angeguckt. Wie es aussieht, ist die Verbindung zu Imap verschlüsselt, JEDOCH NICHT die Verbindung zum Smtp Server von T-Online.

Zusatzinfo: Es gibt bei T-Online Server unterschiedliche IMAP u. SMTP Server. Mit Verschlüsselung: secureimap.t-online.de u. securesmtp.t-online.de. Ohne Verschlüsselung: imapmail.t-online.de sowie smtpmail.t-online.de. Logischerweise trägt man ins avast die verschlüsselten Server ein. In Apple Mail bin ich mir nicht sicher, was der avast Proxy haben möchte!

TerraX
29.04.12, 00:58
Hallo,

In Apple Mail bin ich mir nicht sicher, was der avast Proxy haben möchte!
hast du das hier schon gelesen. Vielleicht hilft es dir ein wenig weiter.
http://forum.avadas.de/threads/3974-Meldung-abschalten-SSL-TLS-connection-detected?p=32466&viewfull=1#post32466

Merlin
29.04.12, 12:54
Hallo,

setzt du die neuste Version ein? -> http://forum.avadas.de/threads/4362-avast!-Free-f%C3%BCr-Mac-7-0

Avidus
29.04.12, 15:45
Hallo,

jap, neueste Version.

Vielleicht sollte ich mal ein wenig strukturierter fragen:

1) Sollte avast automatisch die verschlüsselten Server in die Liste eintragen, wenn ich im Mailprogramm SSL ausschalte? Oder muss ich diese selbst eintragen?
2) "Bitte beachten: Die für die Serverauthentifizierung erforderlichen SSL-Zertifikate müssen in einem der Schlüsselbunde....stehen, bevor der Server in die Liste aufgenommen wird?" --> Welche Zertifikate denn? Root Zertifikate?
3) T-Online bietet sowohl verschlüsselte als auch unverschlüsselte Server für imap an. Soll man im Mailprogramm die unverschlüsselten Server eintragen? Oder sollen die verschlüsselten Server eingetragen werden und nur die SSL-Option ausgeschaltet werden (mit automatischer Änderung der Ports, versteht sich)?

Danke

Merlin
29.04.12, 18:00
Hallo,


1) Sollte avast automatisch die verschlüsselten Server in die Liste eintragen, wenn ich im Mailprogramm SSL ausschalte? Oder muss ich diese selbst eintragen?

die Erkennung verläuft nicht in jedem Fall zuverlässig, daher trägst du sie dort am besten selbst ein. Du schaltest also SSL in deinem Mail-Programm aus und nimmst die Einträge mit SSL in avast! selbst vor.



2) "Bitte beachten: Die für die Serverauthentifizierung erforderlichen SSL-Zertifikate müssen in einem der Schlüsselbunde....stehen, bevor der Server in die Liste aufgenommen wird?" --> Welche Zertifikate denn? Root Zertifikate?

Damit sind die Zertifikate gemeint, die beim Aufbau einer verschlüsselten Verbindung von deinem Mailserver angeboten werden. Diese müssen sich in deinem lokalen Keystore befinden, ansonsten wird avast! keine verschlüsselte Verbindung zum Mailserver aufbauen können.


Soll man im Mailprogramm die unverschlüsselten Server eintragen? Oder sollen die verschlüsselten Server eingetragen werden und nur die SSL-Option ausgeschaltet werden (mit automatischer Änderung der Ports, versteht sich)?

Letzteres.

Avidus
01.05.12, 19:00
Hallo,



die Erkennung verläuft nicht in jedem Fall zuverlässig, daher trägst du sie dort am besten selbst ein. Du schaltest also SSL in deinem Mail-Programm aus und nimmst die Einträge mit SSL in avast! selbst vor.



Damit sind die Zertifikate gemeint, die beim Aufbau einer verschlüsselten Verbindung von deinem Mailserver angeboten werden. Diese müssen sich in deinem lokalen Keystore befinden, ansonsten wird avast! keine verschlüsselte Verbindung zum Mailserver aufbauen können.



Letzteres.

Hallo,

in der Schlüsselverwaltung finde ich keine spezifischen Zertifikate von T-Online. Da ich momentan die Verbindung noch über Apple Mail verschlüsseln lasse, sollten sich eigentlich welche finden lassen.

Gruß

Merlin
01.05.12, 21:28
Hallo,

läuft es denn nicht, wenn du es wie oben beschrieben (von dir selbst) konfigurierst?

Avidus
01.05.12, 22:21
Wenn ich selbst einrichte, läuft es zum Anfang hin. Die Emails werden auch offensichtlich geprüft (mit Heise Testvirus probiert). Nach einem Neustart nimmt der Mailclient aber keine Verbindung mehr zum Eingangserver auf.

Merlin
02.05.12, 08:25
Hallo,

ich habe mal einen Entwickler gebeten, sich das Thema hier anzuschauen.

tumic
10.05.12, 11:45
Ergänzung: Ich habe mir das ganze mal mit Wireshark angeguckt. Wie es aussieht, ist die Verbindung zu Imap verschlüsselt, JEDOCH NICHT die Verbindung zum Smtp Server von T-Online.


avast! für Mac kontroliert nur den ankommenden Netzwerkverkehr (IMAP/POP3).

Avidus
14.05.12, 03:09
Stimmt, hatte es überlesen.

Ich probiers am Mittwoch noch einmal aus, wenn ich wieder Zugang zu meinem Mac habe. Hoffentlich funktioniert dann auch die Verbindung zum Eingangsserver.

leo
16.05.12, 19:29
Und Avidus, alles okay jetzt?*

Avidus
19.05.12, 20:29
Nein, leider nicht. Das Fehlerbild ist nun recht undurchsichtbar:

Ausgangslage. Zwei Emailkonten mit SSL in Apple Mail eingerichtet: T-Online und iCloud.

1. Für T-Online werden die Eingangsserver in Avast für Mac eingerichtet und danach SSL in ausgeschaltet --> Der Account wird nicht mehr online geschaltet. Auch nicht nach Neustart von Apple Mail.
2. Für iCloud werden ebenfalls die Eingangsserver in Avast eingerichtet. iCloud funktioniert von Anfang an. Nach Neustart von Apple Mail funktioniert nun AUCH T-Online
2. Daraufhin wird der MAC neugestartet. --> T-Online funktioniert nicht mehr (iCloud weiterhin).

Merlin
30.05.12, 10:50
Hallo,

bitte mal die neue Version testen: http://forum.avadas.de/threads/4456-avast!-Free-f%FCr-Mac-7-0-Build-37028

Avidus
02.06.12, 11:02
Neue Version:

Vor Neustart: Sowohl iCloud als auch T-Online funktionieren.
Nach Neustart: "Prüfung des SSL-Zertifikats fehlgeschlagen! avast!Mail-Schutz konnte aufrgund eines ungültigen oder fehlenden SSL_zertifikats keine Verbindung zu einem Server herstellen. Host: secureimap.t-online.de"

tumic
04.06.12, 17:39
Entferne alle Server Einträge in den Mailshield SSL preferenzen und gebe sie nocheinmal ein. Hat es geholfen?

Avidus
04.06.12, 22:14
Entferne alle Server Einträge in den Mailshield SSL preferenzen und gebe sie nocheinmal ein. Hat es geholfen?
Nein, hat nicht geholfen! Nach Neustart klappt T-Online wieder nicht, icloud weiterhin

tumic
06.06.12, 10:33
Dann fehlt dir das nötige SSL Zertifikat, du musst es in den "System" keychain importieren. Auf 10.6.8 und 10.7.4 ist es aber schon von Apple im "system roots" keychain vorgerichtet.

Avidus
06.06.12, 21:08
Dann fehlt dir das nötige SSL Zertifikat, du musst es in den "System" keychain importieren. Auf 10.6.8 und 10.7.4 ist es aber schon von Apple im "system roots" keychain vorgerichtet.

Das System ist 10.7.4.

Damit kommen wir aber wieder zum Anfang des Threads: Ich weiß nicht, welches das richtige Zertifikat ist und ob es in der System oder in der system roots keychain ist (müsste ja!). In der system roots stehen bei mir die ganzen Root CA's!

Wie finde ich das richtige Zertifikat oder wo bekomm ich es sonst her? Ich will jetzt nicht unbedingt auf Verdacht alle möglichen Zertifikate in die System Keychain kopieren.

tumic
07.06.12, 11:56
Damit kommen wir aber wieder zum Anfang des Threads: Ich weiß nicht, welches das richtige Zertifikat ist und ob es in der System oder in der system roots keychain ist (müsste ja!). In der system roots stehen bei mir die ganzen Root CA's!

Wie finde ich das richtige Zertifikat oder wo bekomm ich es sonst her? Ich will jetzt nicht unbedingt auf Verdacht alle möglichen Zertifikate in die System Keychain kopieren.


openssl s_client -connect secureimap.t-online.de:993

Gibt dir das beste Info über den ganzen SSL Keychain. Wenn du den Text



-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----


Als .cer Datei speicherst, kannst du das Server Zertifikat in das "system" Keychain importieren. Auf Systemen die ich zur Verfügung habe ist aber wie schon gesagt das Verisign Root Zertifikat vorkommen.

Avidus
07.06.12, 18:41
Hi,der Weg über openssl Abfrage und Speicherung als .cer Datei hat funktioniert!!!

Merlin
14.06.12, 13:18
Hallo,

danke für die Rückmeldung und tumic für die Hilfe! Dann schliesse ich das Thema als "Gelöst".