Mail im Rein-Text-Format öffnen - dabei werden keine Codes o.ä. interpretiert.
Ausführbarer Code in Mails, also JS, wird vom Thunderbird eh gar nicht erst interpretiert und ausgeführt. Egal ob in Reintext- oder HTML-Ansicht.
Beiträge von Susi to visit
-
-
Direkt aus dem Thunderbird konnte man Erweiterungen meines Wissens nicht systemweit installieren. Es sei denn, die Erweiterung sah das gleich so vor.
Man konnte die alten Add-Ons aber von Hand in den entsprechenden Programmordner entpacken. Admins konnten so auch per Script verteilen. Siehe dazu auch https://unix.stackexchange.com/questions/1902…y/220804#220804
Ich vermute mal, zumindest von Prinzip her hat sich das nicht verändert. Aber wie geschrieben, ich bin bzgl. Thunderbird und der Integration der Webextensions nicht auf dem neuesten Stand. Möglich, dass die Vorgehensweise nun oder künftig eine andere ist.
-
Hallo Felix,
du mischt ganz schön viele Dinge mit einem Schlag. Schau zunächst mal hier. Das ist mein Versuch, den aktuellen Stand zu OpenPGP zentral festzuhalten. Das Thema mit dem Passwort ist übrigens auch dabei. Kurzantwort dazu: Du hast es selbst in der Hand.
Schlüssel zu ex- und wieder importieren habe ich noch nicht ausprobiert. Komplexere Schlüsselstrukturen bereiten noch Probleme, zumindest beim Import.
Meine Schlüssel stammen noch aus GnuPg. Das kann man auch nach wir vor nutzen, sollte es tatsächlich ein Problem beim Export geben.
Passwörter wurden während der Migration übrigens gar keine abgefragt!
Ich weiß nicht genau, was du damit meinst. Beim Import muss das Passwort abgefragt werden. Andernfalls kann der Thunderbird die Schüssel ja gar nicht erst lesen. Ohne Passwort kein Import. Ich weiß allerdings nicht, wie sich der Import verhält, wenn der Schlüssel gar kein Passwort hatte.
Dieser Umstand scheint den Mozilla-Entwcklern auch nicht so vertraut zu sein, was die manchmal scheiternden Update-Prozeduren angeht (so auch heute: Update bloß als Administrator möglich)!
Mit Vorwürfen ist das immer so eine Sache. Sie entpuppen sich manchmal schnell als traditionelle australische Jagdwaffe. Unter Windows läuft im Hintergrund ein Service mit Admin-Rechten. Deshalb bemerkt man es nicht. Unter Linux sind selbstverständlich ebenfalls Admin_Rechte erforderlich. Ich gehe fest davon aus, dass das auch auf dem Mac der Fall ist.
Gruß
Susanne
-
und welchen Sinn sie für mich auf meinem gallischen Mac hätte.
Der Sinn ergibt sich, wenn mehrere Gallier den selben Rechner benutzen. Der Majestix installiert zunächst Gallisch einmalig für das ganze Dorf, und alle sind glücklich. Wenn dann aber die nette Dame aus Lutetia zu Besuch kommt, kann sie in ihrem Profil Latein benutzen. Der Mehrwert liegt darin, dass Majestix bestimmte Erweiterungen für alle Dorfbewohner nur einmalig installieren muss.
Das ist auch keine Besonderheit des Thunderbird. Das Prinzip ist bei "ordentlicher" Software durchaus üblich.
-
Jawohl Allerseits:
So höre ich das gern
Fein, dass alles geklappt hat.
Sorry, wenn ich mich als Mac-Exote hier vorgedrângelt habe. Wird auch nicht mehr vorkommen
Ich hab' den Smiley gesehen. Nur zur Sicherheit - bevor Fische und Hämmer fliegen
- mit Linux hatte das nichts zu tun. Außer insoweit, dass die Distris Sprachpakete mitliefern. Die beiden Optionen zur Installation von Erweiterungen gibt es auch unter Windows und gallischen Macs.Gibt es eigentlich ähnlich Firefox die Möglichkeit google auch im TB möglichst komplett zu eliminieren?
Solange du kein Konto von Google einrichtest oder den Thunderbird zum Surfen hernimmst, ist er doch google-frei. Oder hab' ich was verpasst?
-
Ja, einige ganz gewiss, auch wenn es unnötig wäre. Da der Profilordner bewusst versteckt ist, wäre es vielleicht sogar besser, sie benutzen IET.
Wie schaut's zum Thema Beta-Status aus? Ist da in den letzten beiden Jahren was vorangegangen? Habt ihr hier von irgendwelchen Problemen gehört?
-
Ich meine, du brauchst eher einen Thunderbird- als einen Linuxfuchs. Ich bin beim Thunderbird nicht mehr ganz up to date. Ich denke aber, es ist immer noch so:
Es gibt zwei Arten, Erweiterungen zu installieren
- systemweit im Programmordner
- benutzerspezifisch im Profilordner
Option 2 übertrumpft dabei korrekterweise die Option1. Bei mir installiert Ubuntu die mitgelieferten Sprachpakete gemäß Option 1 unter /usr/lib/thunderbird/thunderbird-add-ons/extensions, also systemweit. Unter lib liegt auch der Programmordner. Dort gehört er auch hin.
Was bei dir vermutlich passiert ist, ist, dass Debian dir bisher automatisch die Option 1 installiert hat, in Englisch. Mit dem neuen Profil scheint ein deutsches Paket gemäß 2. mitgekommen zu sein, das nun gegenüber 1. gewinnt. Du könntest also das Sprachpaket gemäß 2. in dem alten Profil nachinstallieren. Soweit meine Theorie.
Empfehlen würde ich dir, bei dem neuen Profil zu bleiben. Es gibt mit der 78 eine Reihe Änderungen, die sich direkt auf das Profil auswirken.
-
Nach Recherchen konnte ich herausfinden, dass sämtliche Mails als Kopie in Home/ID/thunderbird/ 4oc8qq.. (die Datei ändert je nach Vers. Ihre Bezeichnung) abgelegt werden
Im Ordner Imapmail speichert der Thunderbird lokale Kopien vom IMAP-Server. Das ermöglicht das Offline-Arbeiten und ist nebenbei eine Art Sicherheitsnetz.
Man kann das in den Einstellungen deaktivieren. Dann wird kein zusätzlicher lokaler Speicherplatz belegt. Du musst also nichts von Hand löschen.
-
Wie exportiert IET eigentlich die Mails und Ordnerstruktur, wenn man von Vornherein Maildir statt Mbox für das bzw. die Konten verwendet? Wäre damit der Wunsch erfüllt?
Ich schließe mich dir an. Der Wunsch nach einem Speichern im lesbaren Format ist allein durch Maildir bereits erfüllt. Ein Export erübrigt sich, weil die E-Mails dort bereits als eml vorliegen.
Ist Maildir eigentlich immer noch mit dem Zusatz "experimentell" oder "beta" versehen? Sind dir irgendwelche Fehler bekannt? Wir nutzen es auf allen Rechnern in der Familie schon recht lange, völlig fehlerfrei. Meine Erfahrung ist, es ist erwartungsgemäß stabiler als das alte mbox.
-
Hallo Thomas,
ich verstehe dein Herzblut und deinen Wunsch, das Script zu verteidigen.
Selbst wenn ich als Benutzerin die Handhabung, Verluste beim Konvertieren und weitere Einschränkungen akzeptiere, es ist nunmal so, dass das Script überhaupt nicht fehlertolerant ist.
Es hat das Potential, ungewollt Daten zu löschen. Und zwar nicht nur bei einer groben Fehlbedienung sondern allein schon dadurch, dass ein Benutzer das macht, was er üblicherweise macht: Es per Doppelklick ausführt.
Es hilft nichts, damit ist das Script in seiner derzeitigen Form meiner Meinung eher gefährlich als nützlich. Es tut mir leid, ich kann an dieser Stelle nur eine Warnung aussprechen.
Gruß
Susanne
-
Das Wichtigste habe ich ganz vergessen. Falls jemand Interesse hat, die Idee aufzugreifen und weiterzuentwickeln, wäre es doch schön, sich nicht auf ein Shell-Script zu fokussieren.
Bekanntlich läuft das nicht nativ unter Windows. Gerade dort wäre es aber von Nutzen. Windows wird von geschätzten 80% der Anwender benutzt. Im geschäftlichen Umfeld sind es vermutlich mehr als 90%.
Das Linux Subsystem in Windows zu installieren und jedesmal zu starten, werden die meisten wohl nicht machen oder dürfen.
-
kann alles gerne gemacht werden.
Das ist legitim. Ich interpretiere es jetzt mal so, dass du selbst kein Interesse hast.
einige anwender, die es umständlich finden haben alles gegeben um argumente gegen dieses programm zu finden.
Die hatten vermutlich auch nicht nur das Script sondern auch eine Anleitung dazu und haben sich nicht den Schreibtisch oder gar das ganze home gelöscht.
-
sorry aber das hochladen des scripts war nicht so gemeint, daß es direkt verwendet wird. das bedarf 1. der ordnerstruktur
Verstehe ich, aber wie geschrieben, ein Hinweis darauf wäre gut gewesen. Vor allem wegen der möglichen Auswirkungen.
Um nicht nur zu meckern, noch etwas Konstruktives. Falls du vorhast, dein Script weiterentwickeln. Zum Thema Ordnerstruktur sind wir uns wohl einig. Die sollten angelegt werden.
wenn dateien nicht waschbar sind wie z.b. exe bat usw wird normalerweise ein hinweis ausgegeben
Eine ganz einfache Möglichkeit zum besseren Schutz, wäre es, die Dateien nicht mehr ausführbar zu machen, zum Beispiel durch das Anfügen eines weiteren Suffix.
bekannte grenzen sind z.b. gepackte dateien in einem verzeichnisbaum der gepackt ist.
Die Bash in Linux kann auch rekursive Funktionen. Damit könntest du dieses Problem lösen.
-
So, gerade in einer VM mit Ubuntu 18.04 ausprobiert. Startet man das Script aus dem Terminal im Pfad ~/Schreibtisch, dann schmeißt es ohne vorhandene Ordnerstruktur nur die entsprechenden Fehler. Damit kann man leben.
Führt man es aber per Doppelklick aus, dann wird der Schreibtisch, wie befürchtet, leergeputzt. Ich vermute, dass aus dem selben Grund, wenn man direkt aus ~/ startet, das gesamte Home-Verzeichnis den Bach runter geht. Das habe ich aber nicht mehr getestet.
es ist alles offen, alles kann modifiziert werden
Wie geschrieben, die Idee gefällt mir. Aber hier machst du es dir Meinung nach zu einfach. Ein Script, dass ungewollt Dateien löscht, gehört so nicht veröffentlicht.
Wenn jemand einfach dieses Script nimmt, auf dem Desktop speichert und ohne weitere Maßnahmen ausführt, ist sein Desktop hinterher leer! Das ist schon heftig.
Bedenke auch, dass hier einige Leute unterwegs sind, die blind irgendwelche Scripte für den Firefox und den Thunderbird übernehmen. Zum Glück ist deines nicht nativ unter Windows lauffähig. Sonst hätte es vielleicht schon jemanden erwischt.
Ich bin auch der Meinung, du hättest sowohl hier als auch in deinem Video darauf hinweisen sollen, dass die Ordnerstruktur zunächst angelegt werden muss und dass man sich im richtigen Arbeitsverzeichnis befinden muss.
Mein Fazit: Gute Idee, gut gemeint, aber leider noch längst nicht fertig.
-
Hallo Thomas,
ich finde die Idee durchaus charmant. Der Quelltext ist so unformatiert schon aufgrund der vielen Leerzeile und die dadurch verursachte Länge allerdings nicht einfach zu lesen.
Ich bin mal so frei und mache ein paar Anmerkungen, obwohl ich das Script nur überflogen habe.
Das Script benötigt eine Verzeichnisstruktur auf dem Schreibstisch, z.B. wama/in oder wama/zip. Aus dem Script heraussuchen, welche Unterordner du genau brauchst ist etwas mühsam. Besser wäre es, das Script würde sie anlegen.
Dann ist mir aufgefallen, dass du den Order "in" sozusagen gnadenlos leerst. Ich vermute, das führt bei einem Fehler (zum Beispiel während der Konvertierung durch LibreOffice) dazu, dass die originale Datei gelöscht wird obwohl es dann keine Kopie in "sauber" gibt. Die Datei wäre dann weg. Man hat sie zwar noch als Anhang der Mail, aber das könnte für Verwirrung sorgen.
Ich bin auch nicht sicher, wie das Script sich verhält, wenn es nicht aus dem Terminal im Verzeichnis Schreibtisch gestartet wird sondern per Doppelklick oder wenn man es aus einem anderen Verzeichnis heraus aufruft. Ich sehe Befehle wie rm * und befürchte, dass die dazu führen können, dass der Schreibtisch aufgeräumt wird.
Interessant wären noch ein Hinweise aus der Erfahrung in Bezug auf die Qualität der Konvertierungen. Speziell bei LibreOffice ist ja bekannt, dass komplexere Dokumente nicht immer gut konvertiert werden.
Gruß
Susanne
-
Dann muss man aber auch Kleopatra mit installieren, brauch ich das dann auch für Thunderbird?
Also, das Add-On ist nur für Outlook. Im Thunderbird ab 78 braucht man Kleopatra nicht mehr. Wie ich oben geschrieben habe, kann man Kleopatra aber dazu benuten, die Gültigkeit von Schlüsseln nachträglich zu verändern. Das kann die 78 (noch) nicht.
-
GPGOL. Kommt bei GPG4WIN mit.
-
aber dafür hab ich einfach keine Zeit und auch keine Motivation.
Sehr verständlich. Ich denke nur an den Fall, dass Google Änderungen vornimmt und du hinterherlaufen musst. Die Frustmails der Deppen würdest du dann wieder abbekommen, nicht Google.
-
Dazu vielleicht zunächst die sehr verkürzte Antwort: Wenn wir nur das Signieren betrachten, ist es eigentlich egal. Denn die Echtheit einer E-Mail muss ja nur im Moment des Empfangens geprüft werden.
Etwas genauer:
Abgelaufene Zertifikate funktionieren zum Prüfen einer Signatur und für das Entschlüsseln weiterhin. Man muss sie dazu natürlich zusätzlich zu den neuen installiert lassen.
(Das ist einer der Gründe, weshalb ich das dauerhafte Entschlüsseln unter Enigmail so sehr geschätzt habe.)
Sie lassen sich aber nicht mehr zum Unterschreiben oder Verschlüsseln neuer Mails benutzen.
Bei S/MIME benötigt man nach dem Ablauf neue Zertifikate.
Im Falle von selbsterstellten PGP-Schlüsseln gibt es die Möglichkeit, die Gültigkeit nachträglich zu verlängern, bis hin zu unbegrenzt. Früher ging das direkt in Enigmail. Jetzt braucht man wohl eine Schlüsselverwaltung wie Kleopatra dazu oder macht es direkt über GnuPG.
Wenn man Schlüssel verlängert hat, muss man den öffentlichen Schlüssel neu verteilen.
Das Verlängern entspricht sicher nicht der reinen Sicherheitslehre, ist aber meiner Meinung nach für private Zwecke völlig ok. -
Hallo zusammen,
da habt ihr eines meiner Lieblingsthemen aufgegriffen. Wir alle können es ja beinahe täglich lesen: E-Mail ist nach wie vor - oder gerade heutzutage - das Einfallstor für Angreifer.
Da sollte sich niemand sicher fühlen, wie ich auch gleich an einem ganz einfachen Beispiel zeigen werde.
Das Anzeigen in HTML spielt sicherheitstechnisch nur noch eine kleine Rolle. Denn gute Mailprogramme, wie der Thunderbird, führen aktive Scripte gar nicht erst aus nicht aus.
Die Angriffe erfolgen im wesentlichen auf zwei Arten, entweder über schädliche Anhänge oder über Phishing in verschiedenen Varianten.
Ein ganz einfaches Beispiel. Ich hoffe, die Forensoftware spielt dabei mit. Welcher Link ist "echt"?
Beide habe ich direkt aus einer Mail kopiert. Die Links sehen gleich aus? Das sind sind sie aber nicht!
In einem habe ich ein lateinisches e durch ein kyrillisches e ersetzt. Sie würden deshalb auf unterschiedliche Seiten führen.
Auch die Ansicht in Reintext hilft hier nicht. Die Links lassen sich in der Anzeige, je nach Schriftsatz, nicht unterscheiden.
Man erkennt den gefälschten Link aber, wenn man mit der Maus darüber fährt und natürlich im Quelltext. Dort zeigt sich der gefälschte Link dann so: https://www.nx-menebank-uhh.xy
In der HTML-Ansicht lassen sich gefälschte Links noch etwas besser verbergen, z.B. indem man sie maskiert oder hinter Grafiken legt. Insofern bietet Reintext nach wie vor etwas mehr Schutz.
Wie kann man sich nun wirksam schützen?
Zunächst passiv, indem man bei Anhängen und Links vorsichtig ist und diese sorgsam kontrolliert. Im Zweifelsfall nicht öffnen oder anklicken. Das sind bekannte Dinge, aber dass sie nicht immer funktionieren, zeigen die vielen erfolgreichen Angriffe. Vor allem, wenn sie gezielt erfolgen und/oder durch Social Engineering vorbereitet sind.
Es gibt aber auch aktive Maßnahmen, die den Schutz erhöhen. Aktiv heißt aber leider, der Benutzer muss sich kurz vom Sofa erheben.
Die aus meiner Sicht wirkungsvollste Maßnahme wären S/MIME Signaturen. Die sind sehr wirksam, weil sie gefälschte Absender oder veränderte Inhalte automatisch erkennen.
Allein schon, wenn Paypal und Amazon ihre Mails signieren würden, dann wären gefühlt mehr als 50% aller Phishing-Mails sofort als solche markiert und erkennbar. Da könnten wir sogar noch auf dem Sofa sitzen bleiben.
Aber ich will nicht nur auf andere zeigen. Jeder kann etwas tun. Mein Arbeitgeber und selbst unsere Dorfbank unterschreiben ihre E-Mails inzwischen digital, weil Kunden danach gefragt haben. Es werden so langsam mehr.
Vielleicht stehen wir also doch mal kurz auf und gönnen unserer Sicherheit ein paar Minuten? Im privaten Umfeld braucht man keine qualifizierten S/MIME-Zertifikate. Hier tun es auch selbsterstellte PGP-Signaturen. Das ist für Thunderbird-Anwender mit der 78 inzwischen wirklich einfach einzurichten. Man benötigt keine Zusatzsoftware und auch keine Erweiterung mehr. Es gibt dazu noch ein paar Baustellen in der 78, aber die betreffen hauptsächlich den Umstieg und die Nutzung bestehender GnuPG-Zertifikate. Kein Grund, zu zögern.
Outlook benötigt dazu ein AddOn, auf dem Smartphone unterstützt das nicht jedes Mailprogramm. K-9 + OpenKeyChain kann es. Doch selbst, wenn der Empfänger mit einer PGP-Signatur nichts anzufangen weiß, sie stört nicht. Die Mails sind nach wie vor lesbar.
Vielleicht bemerkt der Empfänger aber, dass da eine Signatur im Anhang mitgeschickt wurde und fragt nach, was das ist? Das wäre dann die Gelegenheit.
Also, probiert es einfach mal aus! Jede digitale Unterschrift zählt.
