SSL/TLS Thunderbird

M

Michi21609

New Member
Hallo!

Konfiguration:
Mailclient: TB 2.0.0.23
IMAP/POP3-Server: courier-imap

Bin schon ne halbe Ewigkeit am recherchieren, find aber nirgends ne überzeugende Antwort, bzw. nur Wiedersprüche:

Ich kann ja beim Thunderbird einstellen ob ich keine Verschlüsselung, SSL oder TLS will (wobei mir bewusst ist, das TLS im Grunde nur die Weiterentwicklung von SSL ist). Wenn ich nun SSL/TLS habe, dann brauche ich doch die Option "Sichere Authentifizierung verwenden" nicht, oder (geht auch in Kombination gar nicht...)? Weil ja der Handshake für die Verschlüsselung schon vorher gemacht wird?....

Kann mir da jemand ne Kompetente und wirklich überzeugende Antwort geben? Am besten mit Literatur welche mir das konkret zeigt... ;)

Vielen Dank!
Michi
 
Michi21609 said:
Ich kann ja beim Thunderbird einstellen ob ich keine Verschlüsselung, SSL oder TLS will (wobei mir bewusst ist, das TLS im Grunde nur die Weiterentwicklung von SSL ist). Wenn ich nun SSL/TLS habe, dann brauche ich doch die Option "Sichere Authentifizierung verwenden" nicht, oder (geht auch in Kombination gar nicht...)? Weil ja der Handshake für die Verschlüsselung schon vorher gemacht wird?....
Click to expand...
Du verwechselst bzw. vermischst zwei völlig unterschiedliche Dinge. Die Einstellungen, ob du keine Verschlüsselung, SSL (konkret SMTPS bzw. IMAPS über 465/tcp bzw. 993/tcp) oder TLS (konkret ESMTP bzw. IMAP über 25/tcp bzw. 143/tcp und dann in-band Upgrade via STARTTLS) verwenden willst, bezieht sich auf die Verbindung zum SMTP- bzw. IMAP-Server.

Das Häkchen bei "Sichere Authentifizierung verwenden" sorgt nur dafür, dass statt der Authentifizierungsmethode PLAIN die etwas sicherere Methode CRAM-MD5 benutzt wird. Technisch kann man jede der Authentifizierungsmethoden über verschlüsselte und unverschlüsselte Verbindungen benutzen. In der Praxis sollte man PLAIN und LOGIN allerdings nur über verschlüsselte Verbindungen benutzen, da sonst jeder Hinz und Kunz die Zugangsdaten abfischen kann.
 
Ja, hab ich im Grunde so verstanden, aber vielleicht nicht so kompetent und genau ausgedrückt...

Aber im Grunde läuft es dann ja auf die folgenden zwei Fragen hinaus:
1. Wenn ich SSL/TLS aktiviert hab, dann ist die verschlüsselte Verbindung schon vor der Übermittlung aktiviert? Egal ob ich dann Plaintext oder MD5 übermittle? Also kann niemand mein Passwort mitlesen ohne die SSL/TLS-Verschlüsselung zu kancken? Ich denke mal da ist die Antwort ja...?
2. Bei der CRAM-MD5 authentifizierung muss ich dann das Passwort auf dem Server Verschlüsselt haben und kann dann das klartext speichern lassen?

Danke!
Michi
 
Michi21609 said:
1. Wenn ich SSL/TLS aktiviert hab, dann ist die verschlüsselte Verbindung schon vor der Übermittlung aktiviert? Egal ob ich dann Plaintext oder MD5 übermittle? Also kann niemand mein Passwort mitlesen ohne die SSL/TLS-Verschlüsselung zu kancken? Ich denke mal da ist die Antwort ja...?
Click to expand...
Wenn man mal so unschöne Dinge wie MITM-Attacken und transparente Proxys, die SSL-Verbindungen faken ausnimmt: Ja.

Michi21609 said:
2. Bei der CRAM-MD5 authentifizierung muss ich dann das Passwort auf dem Server Verschlüsselt haben und kann dann das klartext speichern lassen?
Click to expand...
Nein. Bei CRAM-MD5 muss das Passwort auf dem Server im Klartext vorliegen. Übertragen wird dann nur ein Hash, der über ein Challenge-Response-Verfahren generiert wird. Der Vorteil ist, dass man das auch über unsichere Verbindungen benutzen kann, ohne dass jemand die Zugangsdaten abfischen kann.
 
You must log in or register to reply here.
Back
Top