Mail Client mit Möglichkeit eigenes SSL Zertifikat importieren

[Kleiner Kobold]

Hallo,

da ja Aqua Mail keine eigenen SSL Zertifikate unterstützt, bin ich jetzt auf der Suche, wenn es das überhaupt gibt, nach einem Mail Client der eigene SSL Zertifikate zum signieren und verschlüsseln von eigenen Mails unterstützt, es handelt sich dabei um ein auf meinen Namen und Mailadresse von GlobalSign ausgestelltes Zertifikat (Personal Class 2).

Wer kann da was empfehlen?

Danke im Voraus.

Es grüßt der Kobold

 

[Bernd53]

R2Mail2.

 

[Kleiner Kobold]

danke für den Tipp. Aber wenn ich mir die neuesten Bewertungen und das Datum wann die App das letzte mal aktualisiert wurde ansrhe, habe ich da meine Zweifel ob die App überhaupt noch weiter entwickelt wird.

 

[Bernd53]

Die App wird offensichtlich weiter entwickelt (siehe Dropbox - r2mail_public_beta).

 

[Kleiner Kobold]

Hi, hatte mir die App installiert, aber gefällt mir nicht wirklich. Aber danke für den Tipp

 

[ottosykora1]

Ich verwende Profimail to go. Dort habe ich eigenen Zertifikat importiert.

BTW: wenn eine App nicht jede Woche aktualisiert wird, bedeutet es nichts schlechtes. Der Entwickler hat sich wohl Mühe gegeben und alles schon am Anfang erstellt und nicht erst ein verstecktes Alfa oder Beta auf den Markt geschmissen.

 

[Kleiner Kobold]

Profimail hatte ich auch schon probiert aber auch diese App konnte eine verschlüsselte Mail trotz vorhandenem Zertifikat nicht öffnen (oder ich bin zu blöd die richtig einzurichten), komischerweise war/ist Maildroid die einzige App die diese Mail ohne Probleme öffnen konnte. Aber auch Maildroid ist für meinen Geschmack nicht wirklich rund (Kein Abruf der IMAP Ordner, nur Inbox keine Möglichkeit zum ändern des Benachrichtigungstons, keine Gesamtübersicht wie bei Aqua Mail).

Stimmt schon das nicht jeder Entwickler jede Woche ein Update bringt, aber wenn ich Geld bezahlen soll, bin ich aus einer schlechten Erfahrung heraus da sehr vorsichtig geworden. Und ich habe ja auch schon Mail Kontakt mit dem Entwickler gehabt wo er mir erklärt hat, warum solange kein Update mehr gekommen ist

 

[ottosykora1]

natürlich muss man den Zertifikat mit dem Konto verbinden und es muss auch auf das Konto lauten. Dann geht es prima. Habe es im Bekanntenkreis überall im Betrieb, sehr zuverlässig.

 

[Kleiner Kobold]

Habe ich gemacht, aber jetzt bekomme ich die Fehlermeldung "Kann Nachrichtenhauptteil nicht herunterladen. No Provider found for "und hierkommt eine Zahlenkombination" Ich frage mich wie Maildroid die verscxhlüsselte Mail ohne Probleme öffnen kann aber alle anderen Programme scheitern daran. Oder habe ich jetzt bei profimail etwas übersehen? Mein Zertifikat habe ich hinzugefügt und eben mal eine Mail testweise geschickt, aber kann meine Mail nur signieren und nicht verschlüsseln? Gibts da irgendwo eine Anleitung für die App?

 

[ottosykora1]

sicher gibt es Anleitung:
profimail:start [LCG Wiki]


dein Zertifikat, der auch den Private Key beinhaltet wird für Signatur und Entschlüsselung verwendet.
Verschlüsselt wird normalerweise an ein anderes Zertifikat, also das deines Korrespondenzpartners.
Der Public Key, also Zertifikat deines Partners, muss wiederum mit dessen Adresse gekoppelt werden.
Weiter ist zu beachten, es muss auch das Root Zertifikat der Certification Authority welche den Zertifikat ausgestellt hat im Zertifikat Speicher des Androids vorhanden sein.

Wenn alles korrekt vorhanden ist, kann mit Profimail natürlich auch eine Mail an sich selber verschlüsseln. Zum Entschlüsseln braucht man dann nichts tun, das geht automatisch wenn die Schlüssel der richtigen Adresse zugewiesen sind.

 

[Kleiner Kobold]

Hmm, dann verwirrt/irritiert mich nur das Profimail Mails die ich empfangen habe nicht entschlüsseln kann, Maildroid schon. Entweder übersehe ich was bei den Einstellungen oder Profimail kennt Globalsign nicht Rootzertifikat ist installiert.

 

[ottosykora1]

Die Mails die du entschlüsseln kannst, müssen an dein public key verschlüsselt sein. Dann kann man diese auch mit deinem private key entschlüsseln.

Die Schlüssel müssen mit einem Konto verbunden sein und die Mail Adresse muss genau übereinstimmen.

Profimail kennt keine CA und somit auch Globalsign nicht. Genau so wie alle anderen Mail Apps unter Android. Verwendet wird das von Android bereitgestellte Certificate Store mit all dazu gehörenden Funktionen.

Bei Profimail muss man den Schlüssel zuerst importieren.
Dann muss man es markieren rechts unten in der Zeile mit dem Schlüssel. Die Ecke wird violett. Dann erscheint eine Liste mit den Konten (dort wo vorher Import stand) und man kann es mit einem Konto verknüpfen.
Das ist nötig sonst funktioniert nichts richtig.

Womit wird die Mail erstellt die du nicht entschlüsseln kannst?

 

[Kleiner Kobold]

Womit die erstellt wurde kann ich nicht sagen, da es sich um Absender aus der Stadtverwaltung handelt (jeweils 2 verschiedene Absender also z. B. abteilung1@stadtverwaltung.de und abteilung2@stadtverwaltung.de) der Versuch, die beiden Mails zu öffnen wird von Profi Mail mit folgender Fehlermeldung quittiert:"No provider found for 1.2.840.113549.1.1.7" sowohl "The Bat" als auch der Browser Client meines Mailproviders (aikq.de) können die Mails nicht öffnen dort wird jeweils nur ein Dateianhang mit der Bezeichnung "smime.p7m" angezeigt und das lustige ist, ich habe 3 Mails von Abteilung1 bekommen die neueste wird im Browser Client ohne Probleme angezeigt, bei den anderen beiden steht nur "Entschlüsselung fehlgeschlagen" in Profi Mail wiederum bekomme ich bei den beiden älteren der Abteilung1 nur o. g. Fehlermeldung bei der neuesten bekomme ich in Profi Mail nur den smime.p7m Dateianhang angezeigt, tippe ich darauf, meldet sich das "Crypto Plug in" mit der im Bild zu sehenden Fehlermeldung. Maildroid wiederum hat weder mit den Mails aus Abteilung1 noch mit der aus Abteilung2 Probleme, das einzige was ich bei der Mail aus Abteilung 2 machen musste war, das ich das Passwort von meinem Zertifikat eingeben musste. Ich werde heute wenn ich daheim bin, noch mal nachsehen wie sich mein PC Mailprogramm (eM Client) mit den Mails verhält.

Nachtrag: eM Client kommt mit allen Mails zurecht, nur bei einer meckert er, das der Hashwert der Signatur nicht mit dem Wert der Nachricht übereinstimmen würde. Die Mail wird aber trotzdem angezeigt.

 

[ottosykora1]

ich vermute wenn es nicht geht, dann wurde es nicht an deinen PublIc Key verschlüsselt sondern wurde eine von den Hilfsfunktionen benutzt bei denen der Key ausgehandelt werden soll. Das funktioniert sehr oft nicht, ist eine Krücke und wird nur von einer Minderheit der Clients unterstützt. Von ProfiMail nicht.
Wenn du PW eingeben musst, dann ist es an dein Key verschlüsselt und dein Key hat 'hohe Sicherheit' eingestellt.
Und wenn der Hashwert nicht stimmt, hat es mehr mit der Signatur zu tun und sagt aus die Nachricht wurde nach dem Signieren verändert.
Um sonst die Signatur zu testen, benötigst du den Public Key des absenders. Normalerweise kommt der zwar auch im Mail an und wird automatisch zu den Public Keys gelegt, aber man kann alles auch anders konfigurieren.

Was ich mich noch wundere, was ist das für ein Webmail der solche Mails lesen können soll?
Ich kenne zwar dieses System welches GMX verwendet, aber das alles ist meistens nicht frei konfigurierbar. Bei GMX ist es sogar so gesperrt dass nur die von der Gmx dafür erstellten Keys verwendet werden können.

 

[Kleiner Kobold]

Hm, das würde einiges erklären. Das mit dem aushandeln war mir neu. Aber wenn mir jemand eine signierte Mail schickt, dann müsste ich doch beim nächsten mal wenn der gleiche Absender mir eine verschlüsselte Mail schickt diese lesen können? Da mir einer der beiden Absender zuerst eine signierte Mail geschickt hat und dann verschlüsselte Mails. Aber auch diese liesen sich nicht öffnen.

Da mir vom Design her Profi Mail bessser gefällt. werde ich bei diesem bleiben. Das einzige was ich noch nicht hinbekommen habe, ist der automatische Mailabruf. Achja, im Internet nutze ich den Client des Mailanbieters: aikQ Mail und auf dem PC eM Client

 

[Bernd53]

Wenn Du die verschlüsselte Mail nicht lesen kannst, ist diese nicht mit Deinem öffentlichen Schlüssel verschlüsselt. Die Signatur des Absenders enthält nur dessen öffentlichen Schlüssel. Mit dem kannst Du dem Absender verschlüsselte Nachrichten senden. Der Absender braucht Deinen öffentlichen Schlüssel. Befinden sich überhaupt die von Dir benötigten öffentlichen und privaten Schlüssel in der Schlüsselverwaltung des Email - Clienten? Ich verwende R2Mail2. Hier muss ich auch die Zertifikate erst importieren, dann funktioniert es auch (sowohl S/mime als auch PGP/mime).

 

[ottosykora1]

Aber wenn mir jemand eine signierte Mail schickt, dann müsste ich doch beim nächsten mal wenn der gleiche Absender mir eine verschlüsselte Mail schickt diese lesen können?

Wie Bernd erklärt, ***du*** musst dem Korrespondenzpartner ein signiertes Mail schicken. Wenn es bei dem Mail Client so konfiguriert ist, wird damit nebst der Signatur auch noch der öffentliche Schlüssel geschickt. Viele Mail Clients merken das hier ein öffentlicher Schlüssel beigelegt ist, tun es extrahieren und speichern es in dem entsprechenden Schlüssel Store.
Damit wird dann, falls Mail Client beim Korrespondenzpartner richtig konfiguriert ist, dieser dann in der Lage sein an deinen public Key zu verschlüsseln.
Du kannst es dann mit deinem private Key entschlüsseln.
Um die Unterschrift zu prüfen, brauchst du den öffenlichen Key des Partners, oder Zugang zu Zertifikat Server der Certification Authority.

Es ist allerdings nicht 100% sicher, dass die Clients genau so eingestellt sind. Ob sie zum Bsp die mitgelieferten public Keys automatisch speichern ist oft eine Einstellung.

Du und deine Korrespondenz Partner müssen also die Schlüssel korrekt importiert haben, sonst wird es nichts brauchbares.
[doublepost=1464292181,1464291736][/doublepost]

Mailabruf. Achja, im Internet nutze ich den Client des Mailanbieters: aikQ Mail und auf dem PC eM Client

hmm, also ich habe die Websites kurz angeschaut, da steht nichts von einer S/MIME Verschlüsselung so weit ich es überblicken konnte. Bei Webmail ist es zwar nicht unmöglich, es gibt ein open source Modul dafür, aber bei den letzten Tests hat es kaum mit einem Provider funktioniert. GMX bietet es an, aber man kann keine eigenen Zertifikate importieren.
Bei dem Client konnte ich auch keine Angaben zu S/MIME finden.

Es wird lediglich von SSL Verschlüsselung gesprochen. Dies hat aber mit verschlüsselten Mails nichts zu tun. Das ist lediglich eine Transportversicherung.