S/MIME: Digitale Unterschrift ungültig

    Hallo!

    Ich vermute das Problem nicht in Thunderbird, sondern eher beim SMTP-Server von GMX, aber wer weiß.

    Ich nehme aber an, dass es hier Leute gibt, die sich intensiver mit Mail und Thunderbird beschäftigen und vielleicht auch GMX verwenden.

    TB: 91.11.0

    Linux Mint 20.3

    POP3

    GMX

    Keine AC-Software

    Keine Firewall

    Das Problem:

    Ich signiere meine Mails digital (Zertifikat von CA-Cert). Die Empfänger bekommen die Information, daß die Signatur ungültig sei.

    Ich habe einige Tests ausgeführt:

    Mail an mich selber gesendet.

    Die Signatur in Gesendet ist O.K. die empfangene nicht.

    Wenn ich die Mail zusätzlich verschlüßle, ist die Signatur O.K

    Wenn ich die Mail ohne Signatur(datei) versende, ist die dig. Signatur O.K.

    Wenn ich statt des GMX-SMTP-Server den von meinem Provider (A1) verwende, ist die Signatur auch O.K.

    Deshalb mein Verdacht, daß der GMX-SMTP-Server, wenn die Mail nicht verschlüsselt ist und eine Signatur enthält, den Mailinhalt verändert und sie deshalb beim Empfänger mit ungültiger Signatur ankommt.

    GMX ist nicht sehr kooperativ :(

    Kann das Problem jemand nachvollziehen, hat Ideen zu Ursache und vielleicht eine Lösung?

  • graba 25. Juli 2022 um 17:11

    Hat das Thema freigeschaltet.
    Zitat von MAlfare

    Konteneinstellungen / Konto / "Stattdessen eine Datei als Signatur anhängen (Text,HTML oder Grafik):"

    Nun, das hier hat zu der Frage von Susi to visit geführt, weil es sich dabei eben nicht um die elektronische Unterschrift handelt, sondern nur um eine Art Fußnote (um das Wort Signatur zu vermeiden) unter der Mail.

    Zitat von MAlfare

    Wenn ich die Mail ohne Signatur(datei) versende, ist die dig. Signatur O.K.

    Wenn ich Dich hier richtig verstehe, macht es also einen Unterschied, ob Du eine Signatur-Datei an der Mail dran hast oder nicht. Die Signatur-Datei würde also die elektronische Unterschrift brechen. Das würde ja bedeuten, dass die Signatur-Datei womöglich erst nach dem elektronischen Unterschreiben dran gehängt wird. Oder GMX macht irgendwas komisches mit der Signatur-Datei, wodurch die elektronische Unterschrift dann gebrochen wird.

    Um etwas als einen Spaß zu kennzeichnen, benutzt man üblicherweise einen anderen Smiley. Aber keine Sorge, ich bin ganz entspannt. Und damit das so bleibt, bin ich hier raus. Ich habe Hilfe angeboten und hätte es sogar selbst getestet. Deshalb habe ich zweimal ganz deutlich nach dieser Datei gefragt. Das sollte dann auch genügen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Zitat von Susi to visit

    Um etwas als einen Spaß zu kennzeichnen, benutzt man üblicherweise einen anderen Smiley.

    Wenn etwas nicht böse gemeint ist, muss es noch lange nicht Spaß sein. Meines Erachtens hat es sich (schon weiter) oben zwischen Euch um ein Missverständnis bzw. um meinetwegen eine Undeutlichkeit gehandelt. MAlfare hat ja durchaus die Frage nach der Datei beantwortet und den Weg zum Anhängen einer Signatur-Datei aufgezeigt und somit abgegrenzt, dass er damit nicht die elektronische Unterschrift gemeint hat. Ich glaube ehrlich gesagt, dass wir nur zu blind waren, um zu erkennen, dass es sich tatsächlich um ein kombiniertes Problem handelt, bei dem die S/MIME-Unterschrift (im Fall von GMX bei MAlfare ) versagt, wenn eine Signatur-Datei mit im Spiel ist. Hier sollten wir uns also vielleicht auch mal an die eigene Nase fassen, statt womöglich beleidigt zu sein. Auf der anderen Seite sollte auch der Themenstarter womöglich den Schluss ziehen, dass er es noch deutlicher hätte schildern bzw. abgrenzen sollen, damit wir die Zusammenhänge richtig erkennen. Und wenn Du Susi to visit ehrlich bist, dann hast Du vermutlich gedacht, dass der Themenstarter die Dinge durcheinander bringt - genauso wie wir alle dies vermutlich dachten.

    Zitat von Thunder
    Zitat von MAlfare

    Konteneinstellungen / Konto / "Stattdessen eine Datei als Signatur anhängen (Text,HTML oder Grafik):"

    Nun, das hier hat zu der Frage von Susi to visit geführt, weil es sich dabei eben nicht um die elektronische Unterschrift handelt, sondern nur um eine Art Fußnote (um das Wort Signatur zu vermeiden) unter der Mail.

    Zitat von MAlfare

    Wenn ich die Mail ohne Signatur(datei) versende, ist die dig. Signatur O.K.

    Wenn ich Dich hier richtig verstehe, macht es also einen Unterschied, ob Du eine Signatur-Datei an der Mail dran hast oder nicht. Die Signatur-Datei würde also die elektronische Unterschrift brechen. Das würde ja bedeuten, dass die Signatur-Datei womöglich erst nach dem elektronischen Unterschreiben dran gehängt wird. Oder GMX macht irgendwas komisches mit der Signatur-Datei, wodurch die elektronische Unterschrift dann gebrochen wird.

    So ist es.

    Die Bezeichnung "Signatur" für dieses visitenkartenähnliche Anhängsel habe nicht ich erfunden, auch nicht den Begriff "Signaturtrenner" "--

    ", der es von der Mail abtrennt.

    In den den Konteneinstellungen gibt es die Möglichkeit, den Text für diese "nicht-digitale Signatur" einzugeben, oder eine vorhandene Textdatei zu verwenden. Beides probiert, macht keinen Unterschied. Auch mit und ohne das AddOn Signature Switch.

    Gegen die Idee, daß die Visitenkarte nach dem Erstellen der digitalen Signatur angehängt wird, spricht, daß im Ordner "Gesendet" die Signatur gültig ist.

    Nachdem aber das alles keine Rolle spielt, wenn ich einen anderen SMPT-Server verwende, habe ich den SMTP-Server von GMX in Verdacht. Oder etwas zwischen meinem Thunderbird und dem/den SMTP-Server(n).

    Zitat von Thunder

    Und wenn Du Susi to visit ehrlich bist, [...]

    Ich denke, du gehst mit dieser Formulierung ein Stück zu weit in deiner Interpretation, wenn ich ehrlich bin.

    Zitat von Thunder

    [...] dann hast Du vermutlich gedacht, dass der Themenstarter die Dinge durcheinander bringt - genauso wie wir alle dies vermutlich dachten.

    Nein, das habe ich nicht. Denn dass er grundsätzlich signieren kann, geht aus den Postings hervor. Ich hatte eher daran gedacht, dass er versucht, ähnlich wie bei PGP, zusätzlich noch seinen "öffentlichen Schlüssel" anzufügen, was hier natürlich unsinnig wäre. Deshalb hätte mich interessiert, was diese angehängte Signatur enthält. Text, HTML, Links, Grafiken usw. .

    Mich wundert doch sehr, dass hier plötzlich mein "Befinden" in den Mittelpunkt rückt und du mir erklärst, dass MAlfare es nicht böse gemeint hätte. Wenn überhaupt, hätte er selbst das machen sollen. Hat er aber nicht. Und das sagt auch etwas aus.

    Und nun tut euch bitte selbst den Gefallen und kehrt zu seinem technischen Problem zurück.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Zitat von Susi to visit

    Die Frage nach der Datei hast du leider immer noch nicht beantwortet. Aber ich sehe, du weißt wie du dir Freunde machst. Dann schau, wie weit du damit kommst.

    Ich bin nicht hier um Freunde zu suchen, sondern zweckdienliche Hinweise zu einem merkwürdigen Verhalten von Thunderbird und GMX-Servern.

    Wenn du dich hierhin begeben hättest:

    Konteneinstellungen / Konto / "Stattdessen eine Datei als Signatur anhängen (Text,HTML oder Grafik):"

    wäre dir (hoffentlich) klar geworden, um was für eine Datei es sich wohl handeln wird.

    Eine Textdatei, die so Sachen wie Adresse, Telefonnummer, E-Mailadresse,.... enthält und an den meisten E-Mails hängt, abgetrennt durch einen "Signaturtrenner" "--LF"

    Zitat von MAlfare

    Eine Textdatei, die so Sachen wie Adresse, Telefonnummer, E-Mailadresse,.... enthält und an den meisten E-Mails hängt, abgetrennt durch einen "Signaturtrenner" "--LF"

    Hier könnte das Problem liegen. Ohne es testen zu können (ich habe kein GMX-Konto mehr) – evtl. 'korrigiert' GMX den Signaturtrenner "--LF" auf die Standard Form "-- LF".

    Genauer kannst du es untersuchen, indem du die relevanten Blöcke der gesendeten und empfangenen Mail mit 'diff' vergleichst (hier am Beispiel einer PGP-Signatur):[box]

    Content-Type: multipart/signed; micalg=pgp-sha256;

    protocol="application/pgp-signature";

    boundary="------------4i0VJ3m7FIcXjInmR8CY4y1g"

    --------------4i0VJ3m7FIcXjInmR8CY4y1g--[/box]

    Zitat von Veteran
    Zitat von MAlfare

    Eine Textdatei, die so Sachen wie Adresse, Telefonnummer, E-Mailadresse,.... enthält und an den meisten E-Mails hängt, abgetrennt durch einen "Signaturtrenner" "--LF"

    Hier könnte das Problem liegen. Ohne es testen zu können (ich habe kein GMX-Konto mehr) – evtl. 'korrigiert' GMX den Signaturtrenner "--LF" auf die Standard Form "-- LF".

    Interessante Idee.

    Nur, damit wir einander nicht mißverstehen: Der Signaturtrenner trennt nicht die digitale Signatur von der Nachricht, sondern das visitenkartenähnliche Anhängsel von dieser, in diesem Fall:

    Code
    ------------------------------------------------------
Ing. Vorname Nachname
Straße Hausnummer
Land PLZ Ort

E-Mail: Vorname.Nachname@gmx.at
Mobile: Telefonnummer
Web   : URL
-----------------------------------------------------*

    Ich habe sowohl die gesendete (mit gültiger Signatur) als auch die empfangene Mail (mit ungültiger Signatur) im Quellcode angezeigt und daraus zwei Dateien erstellt. Diese mit Meld verglichen, Meld sagt "Dateien sind Identisch".

    Beide Dateien liefern auch den selben HASH-Wert, sind also bitweise identisch!

    Wie kann das sein?

    Wo liegt mein Denkfehler?

    Oder hat das ganze mit Schrödingers Katze zu tun?

    In einem Hex-Editor sieht der Signaurtrenner so aus: 2D 2D 20 0A, also -- LF, nicht wie ich früher angeführt habe, --LF (die Leerzeichen sieht man so schlecht) :lupe:

    Zitat von MAlfare

    Nur, damit wir einander nicht mißverstehen: Der Signaturtrenner trennt nicht die digitale Signatur von der Nachricht, …

    Klar – das meinte ich auch.

    Zitat von MAlfare

    Ich habe sowohl die gesendete (mit gültiger Signatur) als auch die empfangene Mail (mit ungültiger Signatur) im Quellcode angezeigt und daraus zwei Dateien erstellt.

    Hmm – im Quellcode (Strg + U) siehst du nicht unbedingt das, was als Zeichenkodierung tatsächlich in der Datei steckt. Ich habe bei meinen Versuchen die beiden Dateien für den Vergleich direkt auf Dateiebene aus der 'Sent'- und der 'Inbox'-Datei extrahiert.

    Zitat

    Hmm – im Quellcode (Strg + U) siehst du nicht unbedingt das, was als Zeichenkodierung tatsächlich in der Datei steckt. Ich habe bei meinen Versuchen die beiden Dateien für den Vergleich direkt auf Dateiebene aus der 'Sent'- und der 'Inbox'-Datei extrahiert.

    Das habe ich jetzt auch gemacht.

    Die Unterschiede:

    EmpfangenGesendet
    Content-Ttransfer-Encoding:quoted-printable8bit
    Signaturtrenner=2D-LF (ohne Leerzeichen)-- LF (mit Leerzeichen)
    Folge von ----- (Erste und letzte Zeile der "Signatur")=2D-------------
    Letzter Buchstabe meines Namens=C3=A9é
    ...straßestra=C3=9Festraße

    Alles Andere ist identisch, die Nachricht, die nur aus dem Wort "test" besteht, und die digitale Signatur, die so beginnt:

    Code
    --------------ms010703050308040003020908
Content-Type: application/pkcs7-signature; name="smime.p7s"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"
Content-Description: S/MIME Cryptographic Signature

MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgEFADCABgkqhkiG9w0BBwEAAKCC
C6MwggVeMIIDRqADAgECAgMC8XgwDQYJKoZIhvcNAQENBQAwVDEUMBIGA1UEChMLQ0FjZXJ0

    Das "é" und das "ß" hatte ich versuchsweise auch schon weggelassen, was aber nichts geändert hat.

    Sieht also so aus, als ob da beim Transport über den GMX-SMTP-Server eine Maus ein Leerzeichen weggefressen hat :(

    Was auch erklärt, warum die digitale Signatur gültig ist, wenn ich auf die "Signatur", und damit auch auf den Signaturtrenner verzichte.

    Jetzt müßte ich also "nur" noch GMX dazu bringen, dies in Zukunft nicht mehr zu tun. :wall:

    Zitat von MAlfare

    Sieht also so aus, als ob da beim Transport über den GMX-SMTP-Server eine Maus ein Leerzeichen weggefressen hat

    Nicht nur das – die Textkodierung hat sich geändert!

    Wenn ich das mit deinem Beispiel nachstelle, kodiert TB die Mail (ohne PGP-Signatur) folgendermaßen:[box]

    Content-Type: text/plain; charset=UTF-8

    Content-Transfer-Encoding: 8bit[/box]

    und die empfangene Mail ist ebenfalls so kodiert.

    Mit PGP-Signatur kodiert TB die ausgehende Mail so:[box]

    Content-Type: text/plain; charset=UTF-8

    Content-Transfer-Encoding: quoted-printable

    test

    --=20

    ------------------------------------------------------

    Ing. Andr=C3=A9 Nachname

    Stra=C3=9Fe Hausnummer

    Land PLZ Ort

    -----------------------------------------------------*[/box]

    Nicht-ASCII Zeichen und das Leerzeichen im Signaturtrenner werden ausgangsseitig (und auch in der empfangenen Mail) richtig kodiert und somit ist die Signatur gültig. GMX würde die Mail in diesem Fall sehr wahrscheinlich unangetastet lassen.

    Bei dir gibt es aber den Unterschied im 'Content-Transfer-Encoding:' zwischen ausgehender und empfangener Mail! Falls TB mit 'S/MIME' Signatur die Mail nicht als 'quoted-printable' kodiert und ob GMX das zu Recht 'korrigiert' oder ob das ein Fehler in TB ist, kann ich nicht beurteilen. Dazu müßte man sich näher mit den RFCs beschäftigen …