staging.inyokaproject.org

Hallo & guten Abend!

Habe mir leichtsinnigerweise Thunderbird 115.18.0 installiert, um mehrere Mailaccounts zusammenzufassen. Freundlicherweise hat Thunderbird gleich bei/nach der Installation begonnen, alle Mails lokal herunterzuladen & ungefragt vom Server zu löschen(!). Das lässt sich natürlich nicht rückgängig machen.

Nun musste ich feststellen, dass beim Neustart von Thunderbird das Fenster "Masterpassword" mit "Cancel" einfach wegzuclicken ist. Dieses wird zwar wiederholt neu geöffnet, aber zwischendurch kann man ALLE lokalen Mails lesen!! Attachments lassen sich ebenfalls herunterladen!

Soll das ein Witz oder ein Feature sein?

Hallo BamiGoreng, ich vermute Du hast mit MASTERPASSWORT (MP) eine Beschränkung zum Zugriff auf TB gemeint.

Nun, das gibt es nicht. Das MP schützt nur die gespeicherte Zugangspasswörter, dass man diese nicht einfach so einsehen kann.

Abgeholte Mails usw. sind natürlich zugänglich.

Möchte man einen Zugangsschutz zum TB, dann muss man sich mit etwas anderen vertraut machen.

Es gibt z.B. die nette Variante den TB in ein ZULUCRYPT (ZC) zu schieben. D.h., man erstellt mit ZC einen Ordner .thunderbird der von ZC verschlüsselt ist. Bevor man also TB startet, muss man mit ZC diesen verschlüsselten Ordner "öffnen" und nach dem TB wieder schliessen.

Soweit mir bekannt, konnte man ZC noch nicht knacken.

Praktisch kann man auch noch eine andere Variante nutzen… das TB Mailsystem auf einen ext. USB-Speicher legen und den Ordner .thunderbird als Link einrichten. Dann ist TB nur nutzbar, wenn dieses Medium vorhanden ist.

Es gibt bestimmt noch mehr solcher Überlegungen… ist nur die Frage mit welchem Aufwand man arbeiten will/muss?

BYE HS

Hallo STRAGIC-IT, danke für Deine rasche Antwort!

Das klingt ja nach einem tollen Feature - ungefähr wie "warum sollte man nicht ungehindert durch eine versperrte Türe gehen können?" Bin ja nur ein Hobbyprogrammierer, aber so etwas würde ich nicht einmal verschenken.

Die Idee mit ZULUCRYPT ist natürlich gut, aber irgendwie geht der Sinn von TB verloren.

Scheinbar bleibt mir nichts anderes übrig, als die vom Server gelöschten Mails aus TB zu archivieren - "zurückladen" geht ja nicht.

☹

Hallo BamiGoreng, tja, mit TB und vielen anderen Programmen gilt Sicherheit nicht so wie man es sich denkt.

ABER, Du müsstest die herunter geladenen Mails so auf Deinen Server bringen…

Zuerst schaltest Du im TB in den Kontoeinstellungen das "autom. abholen von Mails" AUS… dann markierst Du die herunter geladenen Mails und sendest diese an DICH selbst…

Wenn Du auf "Sicherheit" stehst, dann solltest Du Dich mal fragen, warum JEDER Mailprovider (bzw. fast alle) nur noch beim VERSENDEN/ABHOLEN von Mails UNVERSCHLÜSSELTE PASSWÖRTER seit 2024 akzeptiert? So wird ein Passwort beim Provider unverschlüsselt gespeichert - nun - warum wohl?

Wenn Du das genau überdenkst, dann musst Du anfangen mit Sicherheit anders umzugehen UND natürlich andere Wege beschreiten… ZERTIFIZIERUNG / VERSCHLÜSSELUNG / lokales Speicherbereichs CRYPT usw..

So gesehen ist TB nur ein Mini-Teil… na ja, man kann auch etwas anderes verwenden… natürlich auch kein IMAP, sondern einen eigenen Mail-Speicher in einer eigenen Cloud usw..

BYE HS

Wenn TB deine Mails auf dem Server löscht, hast du -Nutzer- dein Profil falsch konfiguriert. An dieser Stelle ist TB unschuldig.

Die Funktion des Masterpaßwortes erscheint mir sehr sinnfrei. Deaktivieren und gut ist.

TB 115 ist natürlich ein Unding. An diesere Stelle hat Canonical meiner Meinung nach echt Mist gebaut und läßt den Normalnutzer wirklich im Regen stehen. ☹

Die 5 Jahre Laufzeit von Ubuntu LTS richtet sich eher an Firmennutzer. Privatleute sollten schon aus Sicherheitsgründen ihr System halbwegs aktuell halten! Mit 24.04 LTS bekommst du auch ein aktuelles TB, allerdings per Snap.

BamiGoreng schrieb:

Soll das ein Witz oder ein Feature sein?

Da schaut man sich doch zuerst beim Anbeiter des Programmes unter dessen Hilfeseiten um, oder? War auch nicht schwer zu finden: https://support.mozilla.org/de/kb/hauptpasswort-schutzt-ihre-thunderbird-passworter Dass man den Passwortschutz auch anders verstehen kann, klingt da auch durch.

Mal doof nachgefragt: Was ist denn die Erwartungshaltung? Warum sollten die Mails nur nach Passworteingabe sichtbar sein? Vor wem sollen sie versteckt werden?

STRAGIC-IT schrieb:

tja, mit TB und vielen anderen Programmen gilt Sicherheit nicht so wie man es sich denkt.

... sieht so leider aus. Sicherheitsfanatiker bin ich übrigens keiner, aber das ist ein Witz. Danke jedenfalls für Deine Tipps - vielleicht kriege ich meine mails ja zurück & kann mich von TB verabschieden.

hakel2022 schrieb:

Wenn TB deine Mails auf dem Server löscht, hast du -Nutzer- dein Profil falsch konfiguriert. An dieser Stelle ist TB unschuldig.

Das weißt Du vielleicht, weil Du schon TB schon x-mal installiert hast. Ich habe jedenfalls nicht damit gerechnet, daß das so voreingestellt sein könnte.

Ruth-Wies schrieb:

Mal doof nachgefragt: Was ist denn die Erwartungshaltung? Warum sollten die Mails nur nach Passworteingabe sichtbar sein? Vor wem sollen sie versteckt werden?

Jeder, der meinen Laptop "findet", kann die Festplatte - über usb oder sonstwie - an ein Linux-System anschließen & alle Mails samt Attachments lesen: genial! Das ist wirklich "mal doof nachgefragt". Meine "Erwartungshaltung" war, daß die Entwickler mitdenken - hab ich auch immer so gemacht.

Danke nocheinmal für Eure Antworten! ☺

Hallo BamiGoreng, ich kenne solche Probleme.

Deswegen gibt es die Möglichkeit sein Linux als VOLLVERSCHLÜSSELTES System zu erstellen.

Das hat bis 2023 auch noch ganz brauchbar bei Reisen in die USA geklappt. Ich denke, wenn man aktuell dorthin reist und seinen verschlüsselten Linux-Notebook dabei hat, dann wird man den wohl vergessen können. Ich denke nicht, dass man diesen durch den Zoll bekommt.

Somit fällt die USA für alle Zukunftsversionen erst einmal komplett aus. 😀

Also… VOLLVERSCHLÜSSELUNG oder mit ZULUCRYPT sich informieren.

BYE HS

... und auch an dieser Problemzone ist TB unbeteiligt und daher unschuldig! 👍

Wenn dir Sicherheit und Anonymität wichtig sind, mußt du das also anders lösen. Z.B. durch verschlüsselte Neuinstallation mit 24.04.

Falls du keine weiteren Erläuterungen benötigst, kannst du den Thread auf erledigt setzen. Es ist in diesem Forum üblich, daß der TS das selber macht.

P.S. Den veralteten 115 solltest du auf keinen Fall nutzen!

STRAGIC-IT schrieb:

Wenn Du auf "Sicherheit" stehst, dann solltest Du Dich mal fragen, warum JEDER Mailprovider (bzw. fast alle) nur noch beim VERSENDEN/ABHOLEN von Mails UNVERSCHLÜSSELTE PASSWÖRTER seit 2024 akzeptiert?

Das würde mich auch interessieren.

So wird ein Passwort beim Provider unverschlüsselt gespeichert - nun - warum wohl?

Öh, warum denn nicht?

Also ich würde hoffen, dass es gehasht dort gespeichert wird, aber natürlich unverschlüsselt, der Provider muss es ja abgleichen können. Aber das hat ja mit der Transportverschlüsselung nichts zu tun. Und deine E-Mails kann der Provider doch eh schon lesen, sofern du sie nicht Ende-zu-Ende verschlüsselst...

BamiGoreng schrieb:

Freundlicherweise hat Thunderbird gleich bei/nach der Installation begonnen, alle Mails lokal herunterzuladen & ungefragt vom Server zu löschen(!).

Wenn dich freundlicherweise vorab über den Unterschied IMAP / POP3 informiert hättest und bei der Konfiguration von Thunderbird gleich die von dir erwartete, aber eben nicht ausgewählte Option IMAP ausgewählt hättest, dann hätte Thunderbird auch NICHT gleich nach der Konfiguration begonnen, alle Mails lokal herunterzuladen & ungefragt vom Server zu löschen. Das nämlich passiert denknotwendig nur bei POP3. Bei Auswahl von IMAP statt POP3 wären die Mails auf dem Server verblieben.

Folglich hast du auch nicht leichtsinnigerweise Thunderbird 115.18.0 installiert, sondern es leichtsinnigerweise versäumt dich thematisch mit IMAP versus POP3 auseinanderzusetzen. Der Fehler ist also nicht irgendwas im Zusammenhang mit Thunderbird sondern der Fehler saß (wie leider allzu oft) vor dem Rechner und hatte die Finger selbst an der Tastatur.

adelaar schrieb:

Folglich hast du auch nicht leichtsinnigerweise Thunderbird 115.18.0 installiert, sondern es leichtsinnigerweise versäumt dich thematisch mit IMAP versus POP3 auseinanderzusetzen. Der Fehler ist also nicht irgendwas im Zusammenhang mit Thunderbird sondern der Fehler saß (wie leider allzu oft) vor dem Rechner und hatte die Finger selbst an der Tastatur.

Ich nehme hiermit zur Kenntnis, daß ich, Vollidiot, mich nicht vor der Installation dieses Software-Meisterwerkes ausreichend informiert zu haben. Alle Hypothesen in Sachen Qualität, Nutzerfreundlichkeit, Praxisnähe etc. entspringen realitätsfremder Phantasie. Ich danke für den psychotherapeutischen Beistand.

schrieb

Ich nehme hiermit zur Kenntnis, daß ich, Vollidiot,

das hast du geschrieben, nicht ich. Fakt ist aber dass es bei Thunderbird schon seit Ewigkeiten die Protokolle zum Abruf von eMails IMAP und POP3 gibt. POP3 sogar deutlich länger als IMAP. Letzteres ist nämlich deutlich jünger.

Ich zitiere für dich mal aus einer Anleitung zum Einrichten eines E-Mail-Kontos in Mozilla Thunderbird 52.x, also einer alten Version von 2017:

IMAP oder POP3: Der Unterschied

Im Laufe der E-Mail-Kontoeinrichtung musst du im Einrichtungsassistenten zwischen dem Kontotyp IMAP oder POP wählen. Ein IMAP-Konto ist einem POP3-Konto in den meisten Fällen vorzuziehen, vor allem dann, wenn du deine E-Mails auf mehreren Geräten (z. B. PC und Smartphone) abrufen willst.

IMAP

Mit IMAP lädt das E-Mail Programm eine Kopie der E-Mail vom Server. Es findet eine Synchronisierung zwischen E-Mail Konto und Endgerät statt. Somit ist der Stand auf allen Geräten, auf denen das Konto eingerichtet ist, gleich. IMAP ist deshalb klar zu empfehlen, wenn du E-Mails auf unterschiedlichen Geräten abrufen und versenden willst. Die E-Mails sind am Server gespeichert.

POP3

Das E-Mail Programm lädt die E-Mails vom Server herunter. Sie sind dann nur mehr lokal gespeichert. Das Abrufen auf mehreren Geräten ist nicht bzw. nur sehr eingeschränkt möglich.

Was als nutzerfreundlich und praxisnah betrachtet wird, liegt im Auge des Betrachters. Ich z.B. will gar nicht dass meine eMails wochen-/monate-/jahrelang auf irgendwelchen Server im Internet gelagert werden, wie es bei Verwendung von IMAP üblich ist. Aus meiner Sicht wäre genau das total nutzerunfreundlich und praxisfern. Schließlich klebe ich erhaltene Briefpost ja auch nicht geöffnet außen an den Briefkasten im Treppenhaus, so dass die Nachbarn im Haus diese Briefe auch lesen können. Erst recht gebe ich die auch nicht dem Briefzusteller wieder mit, damit der die geöffneten Briefe zurück ist Brief-Verteilzentrum nimmt und für mich dort verwahren lässt. Das aber ist im übertragenen Sinn genau das was für dich offenbar nutzerfreundlich und praxisnah sein soll.

Daher sind meine Erwartungen an Qualität, Nutzerfreundlichkeit, Praxisnähe etc. ganz sicher ganz andere als deine. Was nicht bedeutet das du nicht andere haben kannst als ich. Es bedeute nur:

man sollte sich vorab einfach mal informieren. Das vermeidet ungewollte Überraschungen.

Zum Thema Sicherheit - und nicht nur bei E-Mail Software - geht eindeutig der Trend weg von der Sicherung durch die Software hin zur Sicherung durch den Zugang zur Hardware. Also kein Zugang zum Gerät = kein Zugang zu was auch immer. Encryption-Tools für komplette Laufwerke hat inzwiwschen jedes OS. FIDO2 nutzen (Yubikey u.ä.) statt Passwörter Zugänge. Damit auch einhergehend die Bewegung weg von lokal installierter Software überhaupt hin zu browserbasiertem, Passkey geschütztem Arbeiten komplett in der Cloud. Also wenn man E-Mails hat, die wirklich kein anderer lesen darf, dann ist ein lokales E-Mail Programm immer die schlechteste Wahl. Aber wenn schon so, dann sollte der Zugang zum Gerät schon so gesichert sein, dass da keiner an irgendwas rankommt oder starten kann, wenn man nicht selbst davor sitzt.