Warum nicht "MD5 Challenge-Response"?

Tokretu

Bluewin ist gerade dabei, die E-Mail Sicherheit zu erhöhen. Ab Juni wird nur noch eine Verschlüsselte Übertragung unterstützt.

Aber wenn's doch sicherer werden soll: Warum wird in den Online-Anleitungen unter Einstellungen für E-Mail die Authentifizierung mit "Passwort" und nicht "MD5 Chellenge-Response" gewählt, was deutlich sicherer wäre?

marcus

Das unterstützt die wenigstens Mail-Programme.

Momentan vor allem Apple?

Werner

@Tokretu

Obwohl sich die Experten da nicht ganz einig sind, auf Geräten wo es funktioniert, z.B. auf den Apple Mail Clients würde ich ebenfalls "MD5 Challange Response" gegenüber "Passwort" bevorzugen.

Auf allen Windows-Mailclients, die mir im Moment gerade so geläufig sind, muss man aber sowieso "Passwort" nehmen, da das Challange Response Verfahren gar nicht unterstützt wird.

Bei Mailclients welche beide Verfahren anbieten, kann es bei Authentifierungsproblemen gelegentlich auch helfen, wenn man zwischen den 2 Verfahren wechselt.

Was aber unabhängig vom verwendeten Authentifizierungsverfahren sicher gilt: Der grösste Sicherheitsgewinn für die Bluewin-Mailboxen besteht bereits darin, dass Swisscom nun endlich die Zugriffspflicht über SSL-verschlüsselte Verbindungen durchsetzt in dem sie die bisher noch möglichen "Postkarten-Klartext-Verbindungen" nun endlich kappen will.

Auch wenn dies noch zu Irritationen bei allen bisher sorglosen und "Sicherheits-resistenten" Kunden führen wird, war dieser Schritt eigentlich schon längstens überfällig, da die jetzt noch vorhandene unverschlüsselte Zugriffsmöglichkeit potentiell eine Gefahr für alle Kunden darstellt.

ThomM

MD5-Challenge-Response als Authentifizierungsmethode ist heute obsolete und wird von Swisscom Mitte 2019 eingestellt.

Einerseits ist mit der SSL-Verschlüsselung keine weitere Passwort-Verschlüsselung nötig. Andererseits sind E-Mail-Service-Anbieter wie Bluewin mit CRAM MD5 gezwungen, das Passwort von Kunden zu kennen. Mit der SSL-Verschlüsselung und ohne CRAM MD5 Passwort-Verschlüsselung wird Bluewin nur das verschlüsselte Passwort des Kunden kennen und abspeichern. Dadurch wird die Sicherheit des Kunden nochmals erhöht.

Es ist somit wichtig, dass alle Kunden die SSL-Verschlüsselung aktivieren und die CRAM MD5 Passwort-Verschlüsselung in ihrem privat E-Mail Programme deaktivieren. Die Anleitungen von Swisscom www.swisscom.ch/email-update geben detaillierte Informationen, wie man diese Anpassung in weniger als 5 Minuten erledigen kann.

jgueb

Damit unterstützt Swisscom dann einen der besten Freeware-Mailclients (emclient) by design NICHT mehr - schade.

ThomM

Ist es so? Wir reden von CRAM-MD5 E-Mail Passwort Protokoll. Dieser entspricht weltweit nicht mehr die aktuellsten Standards. Alle herkömmliche E-Mail Clients die ich kenne unterstützen die Bluewin.ch Einstellungen. Prüfen Sie bitte bei emclient nochmals.

krypton

Die Ursache des Problems ist wohl dass der imap-server immer noch meldet cram-md5 zu unterstützen. Dieser Client versucht sich automatisch damit anzumelden, was dann scheitert.

krypton

Hier ist das Problem zu sehen.

Der IMAP-Server sendet fälschlicherweise die Info CRAM-MD5 zu unterstützen und emclient versucht sich damit einzuloggen. Dies scheitert weil der Server jetzt meldet, dass diese Methode deaktiviert ist:

imaps.swisscom.png

Hat vielleicht @ChristianG die Möglichkeit dies intern weiterzuleiten, damit es gefixt wird?

Anonymous1

Hi Tom ist der Produktmanager für eMail in meinem Team. Er wird das mit den Technik-Kollegen besprechen. Wir sind halt mitten im Prozess, diese Dinge Schritt für Schritt zu deaktivieren. Ist ein Mega-Projekt. Guido

Keittite28

Hi Thom

Weshalb bietet der Server CRAM-MD5 an und lehnt danach die Authentifizierungsmethode ab?

Wäre es nicht sinnvoller CRAM-MD5 komplett abzuschalten.

Nur weil einige E-Mail Clients ein Auge zudrücken, ist die aktuelle Einstellung technisch nicht sauber.

Dank

SaLuBa

Die SSL/TLS IMAP-Einstellungen von Bluewin.ch haben bisher immer funktioniert bei der eM Client Software (ich habe hier in den letzten Jahren nie etwas verändert).

Nun scheint ja eine grosse Umstellung im Gange zu sein bei den Swisscom-Servern und da kann man ja schon einmal davon ausgehen, dass die Probleme deswegen auftreten.

Und nur weil eM Client nicht soweit verbreitet ist, heisst dies nicht dass es eine schlecht (programmierte) Software ist. Wenn ich sehe wie verschachtelt und kompliziert Outlook daherkommt (gibt es eigentlich immer noch die pst Datei?) bin ich froh um eM client.

krypton

* CAPABILITY IMAP4rev1 UIDPLUS IDLE LOGIN-REFERRALS NAMESPACE QUOTA CHILDREN AUTH=PLAIN ID SASL-IR

Das Problem wurde offenbar heute behoben. Jetzt dürfte auch emclient wieder einwandfrei funktionieren.

Besten Dank.

ThomM

Vielen Dank für die Information. Wir sind tatsächlich in einer Umstellung Phase. Das Problem mit em Client sollte noch teilweise bis Anfangs nächste Woche auftreten. Dann sollte alles gut sein.

ThomM

Hi Keittite28,

Merci für den sehr guten Input. Wir sind tatsächlich in einer Umstellung Phase. Um unsere Kunden bestmöglich zu begleiten, gehen wir mit der Abschaltung Schrittweise. Wir werden es in den nächsten Tagen wie von Keitite28 vorgeschlagen vollkommen abschalten. Das Problem mit em Client sollte noch teilweise bis Anfangs nächste Woche auftreten. Dann sollte alles gut sein. Ich möchte mich natürlich für diese Umstände entschuldigen.

Keittite28

Hallo ThomM

Das sind gute Nachrichten für viele Benutzer und Entwickler.

Danke