Verständnisfrage zu Zertifikatwarnung "Sicherheits-Ausnahmeregel hinzufügen"

    Hallo,

    ich habe soeben ein IMAP-Konto in Thunderbird hinzufügen wollen. Das hat auch funktioniert, allerdings erschien ein Fenster, um eine "Sicherheits-Ausnahmeregel" hinzuzufügen.

    Was mich dabei so gewundert hat ist der Satz: "Hiermit übergehen Sie die Identifikation dieser Website durch Thunderbird".

    Ich verstehe dabei nicht: was hat die Website damit zu tun? Thunderbird soll sich doch mit der Domäne des Mailservers verbinden und das ist eine ganze andere Domäne als die Website.

    Um es zu verdeutlichen:

    E-Mail-Adresse = aaaaaaaaaaaa.de

    Webseite = aaaaaaaaaaaa.de

    Mailserver (IMAP und SMTP-Adresse) = bbbbbbbbbbb.de

    Wenn ich nun ein neues Konto einrichte, muss Thunderbird doch eigentlich nur eine verschlüsselte Verbindung zum IMAP- und SMTP-Server aufbauen, also zur Domain bbbbbbbbbbb.de.
    Für die Domain bbbbbbbbbbb.de existiert ein aktuelles und im Mailserver korrekt eingerichtetes Zertifikat.
    Beim Webserver für die Website gibt es tatsächlich ein Problem, aber was juckt Thunderbird das? Wieso prüft TB die Webseite? (Ich kann das auch nicht mal eben beheben, weil der Webserver nicht unter meiner Kontrolle ist, sondern lediglich der Mailserver).
    In meinen Augen macht das keinen Sinn, da das Zertifikat der Webseite nichts darüber aussagt, ob die verschlüsselte Verbindung zum Mailserver korrekt funktioniert, oder nicht - und nur darauf kommt es doch an.

    Ich kann die Meldung zwar wegklicken und dann läuft alles, aber ich würde das Erscheinen der Meldung künftig gerne vermeiden.

    Noch ein paar Infos:
    Thunderbird-Version 115.14.0
    Windows 10 Pro
    IMAP-Konto
    Eigener Mailserver (Postfix/Dovecot)

    Vielen Dank vorab!

    Gruß

    Colt

    Hallo, klicke doch mal auf die im Bild erkennbare Schaltfläche "Ansehen".


    Meistens ist der Aussteller des Zertifikats der Anbieter eines Dritthersteller-Antivirentools oder sog. "Securitysuite". Diese versucht per Standardeinstellung - oder der Nutzer hat es manuell so eingestellt - auch den verschlüsselen Datenverkehr zwischen dem Mailprogramm und dem Postfachanbieter zu lesen.

    Weil aber die Postfachanbieter aus Sicherheitsgründen gesicherte Verbindungen verlangen und diese per Zertifikat prüfen, kommt hier das Zertifikat deines Tools zum Einsatz. Und dafür will der Browser von dir bestätigt haben, dass dieses Zertifikat - welches eben nicht vom Postfachanbieter stammt! - dennoch in Ordnung geht.


    In deinem Fall ist es aber vermutlich ein eigenes Zertifikat deines eigenen Mailservers und das kennt der TB halt nicht. Und auch dein Server ist dann offenbar 'per default' auf sichere Übertragung eingerichtet und dies wird dann per Zertifikat geprüft.
    Unbekanntes Zertifikat, welches u.U. auch nicht zur Adresse des Servereintrages im TB passt -> TB lässt sich bestätigen, dass das Zertifikat dennoch in Ordnung ist.

    Zitat von coltseavers

    Ich kann die Meldung zwar wegklicken und dann läuft alles, aber ich würde das Erscheinen der Meldung künftig gerne vermeiden.

    Wie klickst den die Meldung weg? Vermutlich bisher noch nicht über die Schaltfläche "Sicherheits-Ausnahmeregel bestätigen"?

    Zitat von Drachen

    Meistens ist der Aussteller des Zertifikats der Anbieter eines Dritthersteller-Antivirentools oder sog. "Securitysuite". Diese versucht per Standardeinstellung - oder der Nutzer hat es manuell so eingestellt - auch den verschlüsselen Datenverkehr zwischen dem Mailprogramm und dem Postfachanbieter zu lesen.

    Nein, es ist das Zertifikat der Webseite, nicht von einem AV-Tool.

    Zitat

    In deinem Fall ist es aber vermutlich ein eigenes Zertifikat deines eigenen Mailservers und das kennt der TB halt nicht.

    Nein, das Zertifkat des Mailservers ist korrekt, gültig und von Let'sEncrypt. Da ist definitiv alles sauber.

    Mit anderen Clients (z.B. Outlook) gibts keine Probleme.


    Zitat

    Wie klickst den die Meldung weg? Vermutlich bisher noch nicht über die Schaltfläche "Sicherheits-Ausnahmeregel bestätigen"?

    Doch, genauso klicke ich sie weg. Geht ja nicht anders. Aber wenn ich dieses Postfach an weiteren TB-Clients einrichte, kommt die Meldung natürlich wieder.


    Kurzum: für mich sieht das so aus, als sei diese Prüfung des Zertifikats der Webseite von TB einfach schlecht gemacht, weil nicht erforderlich und weil sie auch keine Aussagekraft zu einer separat und davon unabhängig verschlüsselten Verbindung zum Mailserver hat. Warum TB das macht, wird mir wohl ein Rätsel bleiben.