Mac Mail Programm S/MIME Mails lassen sich zwar signieren aber nicht verschlüsseln

[Daniel_17]

Hallo,

ich kann seit kurzem keine Mails mehr verschlüsseln ich habe ein gültiges Zertifikat und den Öffentlichen Schlüssel des Absenders bzw. Empfängers habe ich auch. Ich kann meine Mails an das gegenüber nur signieren aber dich kann das Schloss nicht schließen. Auf dem iPad habe ich das ganze nachgestellt dort funktioniert alles wie es sein soll. Auch auf dem iPhone läuft es ganz normal. Ich habe nun schon mal probeweise das betreffende Mail Konto gelöscht auf dem Mac und neu konfiguriert. In der Schlüsselbundverwaltung ist das Zertifikat bzw. die Zertifikate drin wie es sein soll.

Woran könnte es noch liegen oder was könnte ich noch testen?

 

[Wuchtbrumme]

Sind es valide Zertifikate, deren Hosts auch über ("normale") DNS aufgelöst werden können, oder selbstgenerierte Zertifikate?

 

[Daniel_17]

Die Zertifikate sind von SwissSign erworben.

 

[ottomane]

Identisches Problem hier seit Big Sur. Ich habe vieles ausprobiert - ohne Erfolg.

 

[Wuchtbrumme]

hat es von denen vielleicht einen Support? Klingt ja nach Regelhaftigkeit und von einem Zertifikatsanbieter sollte man dahingegend ein Wissen über solche Probleme voraussetzen können

 

[ottomane]

Ich habe ein Zertifikat eines anderen Anbieters. Der Support kennt nur das Standardprocedere, das bis Big Sur gut funktioniert hat. Ich gehe von einem Bug aus, denn mit anderen Mailprogramme geht es sofort.

 

[Daniel_17]

Ich konnte es gerade wie folgt lösen. Ich bin in die Kontakte App am Mac gegangen und habe beim jeweiligen Kontakt die Mail Adresse gelöscht und gewartet bis dies auch auf die iPhones gesynct wurde. Danach habe ich die Mail Adresse genauso wie vorher wieder hinzugefügt. Dann erschien im Kontakt neben der Mailadresse das Symbol wie in Apple Mail wenn man die Mail signieren will. Es zeigt also an aha ich habe da ein Zertifikat zum Kontakt. Bei älteren Mac OS Versionen kenne ich da das so nicht. Sei es drum es funktioniert jetzt wie es soll.

Warum das ganze auf Einmal nicht mehr ging weiß ich nicht. Mit dem Big Sur Update hat es aber bei mir sicher nichts zu tun. Habe gestern erst das Update auf Big Sur gefahren und hatte das Problem auch schon bei Catalina.

Interessant wäre in dem Zusammenhang aber noch ob die Kontakte App das Zertifikat im Schlüsselbund sucht sobald ein Kontakt eingegeben wird und dann ergänzt. Würde ja bedeuten das die Kontakte App das Zertifikat auch an weitere Geräte Synchronisiert.

Mich wundert nicht warum das kaum jemand anwendet. Es macht einfach zu viele Probleme und ist sehr tricky. In der Arbeit haben wir Outlook dort ist es nicht viel besser. Dort (Outlook Windows) komme ich am besten klar wenn ich das Zertifikat manuell dem Kontakt hinzufüge. Wenn ich es in der Mail selber als Vertrauensvoll einstufen will wird es manchmal nicht dem Kontakt hinzugefügt obwohl die Mail Adresse natürlich eindeutig ist. Das gleich scheint mir hier beim Mac der Fall zu sein.

 

[ottomane]

Danke, das klingt interessant. Ich werde das ausprobieren.

Allerdings hatte ich testweise auch LDAP-Adressbücher eingebunden, um die Zertifikate gebündelt verfügbar zu machen, was bei mir nicht geholfen hat.

Getestet habe ich aber nur Adressen, die sowieso im Adressbuch waren. Vielleicht war das der Fehler.

 

[Daniel_17]

In der Kontakte App am Mac sieht es dann so (Symbol links neben der Mailadresse sofern ein Zertifikat hinterlegt ist im Schlüsselbund) aus wenn das Zertifikat erfolgreich gezogen wurde.

 

[ottomane]

Ich habe mal wieder verzweifelt versucht, es zum laufen zu bringen. Weiterhin leider ohne Erfolg.

Der betreffende Test-Kontakt, an die ich verschlüsselt senden möchte, sieht exakt so aus wie oben, hat also das Zertifikatssymbol und das Zertifikat ist auch gültig. Trotzdem kann ich nur signieren, nicht verschlüsseln.

Mit dem selben Konto und dem selben Zertifikat funktioniert es weiterhin mit Thunderbird gut.

 

[Ijon Tichy]

Hast du mal versucht, das Zertifikat und eventuelle andere Zertifikate zu dieser Mail-Adresse aus dem Schlüsselbund zu löschen, Mail neu zu starten, dann das Zertifikat (in Mail) neu zu importieren?

 

[ottomane]

Danke für Deine Antwort.

Ich habe gerade versucht, in der Schlüsselbundverwaltung die Identitätseinstellungen meines Zertifikats zu öffnen. Das Programm stürzt sofort ohne Fehlermeldung ab.

Ich probiere nun, es zu löschen. Aber erst werde ich es suchen


EDIT:
Ich habe es gelöscht und neu importiert - ohne Erfolg
Ich habe es gelöscht, bei Thunderbird exportiert, neu in den Schlüsselbund importiert - ohne Erfolg

Ich konnte nun auch einstellen, welche Mail-Adresse mit dem Zertifikat verknüpft ist und auch, welches Programm es öffnen darf. Mail habe ich entfernt und neu hinzugefügt. Dann habe ich angeschaltet, dass das Passwort beim Zugriff angefordert werden soll. Wenn ich eine Mail schreibe, wird das Passwort aber nicht abgefragt -> Mail öffnet das Zertifikat anscheinend gar nicht.

Es ist echt zum Heulen. Ich bin echt frustriert. Man hat überhaupt keine Möglichkeit, herauszufinden, was das Problem eigentlich ist.

PS: Verschlüsselte Mails vom Testkontakt kann ich übrigens entschlüsseln. Bedeutet das nicht, dass mit meinem Zertifikat alles stimmt?


EDIT2: ####################

Ich werd' irre! Fehler gefunden!

Man kann in der Schlüsselbundverwaltung mit Rechtsklick auf das Zertifikat die Funktion "Zertifikat überprüfen" aufrufen.
Dort kann man die Mail-Adresse zur S/MIME-Überprüfung angeben. Mail-Adresse angegeben wie in Mail konfiguriert ergibt Fehler! Im Zertifikat ist meine Mail-Adresse mit Großbuchstaben geschrieben und das muss dann auch in Mail so sein.

Nach Anpassung der Groß-/Kleinschreibung in Mail kann ich nun auch verschlüsseln.

Herrje. Wer schreibt denn E-Mail-Adressen groß!? Ist das nicht sogar gemäß RFC zu ignorieren?

 

[Ijon Tichy]

PS: Verschlüsselte Mails vom Testkontakt kann ich übrigens entschlüsseln. Bedeutet das nicht, dass mit meinem Zertifikat alles stimmt?

Nein, zum Entschlüsseln wird dein eigenes Zertifikat verwendet, dass Absender-Zertifikat ist daran gar nicht beteiligt.

Mir ist nicht klar, ob du das Zertifikat - wie von mir vorgeschlagen - in der Mail-App neu importiert hast? Also aus einer signierten Mail vom Besitzer des Zertifikats?

Hast du geprüft, ob das Root-Zertifikat vertrauenswürdig ist?

Zuletzt gibt es noch die Möglichkeit, dass das Zertifikat irgendeine Eigenschaft hat oder nicht hat, wegen der es von Mail nicht akzeptiert wird. Apple hat die Zertifikatsprüfungen in der Vergangenheit schon mehrfach verschärft.

 

[ottomane]

Nein, zum Entschlüsseln wird dein eigenes Zertifikat verwendet,

Ja, eben. Also kann Mail es nutzen. Das Zertifikat des Absenders habe ich in den Kontakten und das passt.

Ich hatte oben schon editiert - Fehler gefunden
EDIT:

Zuletzt gibt es noch die Möglichkeit, dass das Zertifikat irgendeine Eigenschaft hat oder nicht hat, wegen der es von Mail nicht akzeptiert wird. Apple hat die Zertifikatsprüfungen in der Vergangenheit schon mehrfach verschärft.

Das war dann der Fehler quasi.

 

[Ijon Tichy]

Nachtrag:

Ich sehe gerade dein Update. Schön, das du es gefunden hast!

Der User-Teil (vor dem @) ist tatsächlich als case sensitive zu behandeln, da es Sache des jeweiligen Servers ist, ob Groß/Kleinschreibung beachtet wird oder nicht.

 

[ottomane]

Den Unterschied hatte ich nicht gesehen, hätte ihn aber auch nicht für relevant gehalten.

Interessanterweise konnte ich mit der "falschen" Adresse die Mails immer signieren.

 

[Ijon Tichy]

Hm, ich kapiert aber nicht, warum du nicht verschlüsseln konntest. Der Fehler ist doch in deinem Zertifikat, oder? Zum Verschlüsseln ist doch aber das Empfänger-Zertifikat relevant. Du hattest doch gesagt, du kannst keine verschlüsselte Mail an jemanden versenden? Oder war das an dich selbst?

Irgendwo habe ich jetzt was verpasst?!

 

[ottomane]

So war es. Ich konnte signieren, aber nicht verschlüsseln. Nun habe ich die Mail-Adresse so geschrieben wie im Zertifikat und ich konnte dann auch verschlüsseln. Ziel der Mail war ein Freund, dessen Zertifikat ich habe.

Von der Verschlüsselung her ergibt das keinen Sinn, stimmt. Um sicher zu gehen, dass der Zusammenhang wirklich so ist, habe ich noch einmal die Gegenprobe gemacht und es bestätigt sich, dass ich nicht verschlüsseln kann, wenn die Schreibweisen meiner Adresse im Mailkonto und im Zertifikat unterschiedlich sind.

Was könnte die Erklärung sein? Vermutung: Ohne korrekte Signatur verschlüsselt Mail nicht. Das ist ja auch sinnvoll. Wenn sich die Adressen des Absenders und des Zertifikats unterscheiden, ist die Signatur wohl nicht ausreichend gültig.

Es bleibt seltsam, dass ich trotzdem "falsch" signieren konnte.

 

[Ijon Tichy]

Also ich vermute folgendes, bin aber nicht sicher, ob es das ist:

Beim Verschlüsseln wird die Email immer auch an einen selbst verschlüsselt, damit man sie (im Gesendet-Ordner) auch selbst noch lesen kann. Das ging nicht, daher ließ sich das Verschlüsseln nicht einschalten.

Allerdings - dann hättest du an gar niemanden verschlüsseln können. Aber wenn ich es recht verstanden habe, ging es bei anderen Empfängern schon?

 

[ottomane]

Allerdings - dann hättest du an gar niemanden verschlüsseln können. Aber wenn ich es recht verstanden habe, ging es bei anderen Empfängern schon?

Nein, es ging bei keinem Empfänger.

Die Erklärung mit der zusätzlichen Verschlüsselung für meinen "Gesendet"-Ordner ist gut. Das wird es sein.

Danke für's Unterstützen und Mitdenken!