GMX hat ja vor kurzem ein "sicherheitsupdate" gemacht. Seitdem kriege ich immer wieder "Mail-Server unterstützt keine sichere authentifizierung" als Meldung im Thunderbird.


Vor dem Update hatte aber (dachte ich zumindestens) die SSL-Verschlüsselung getan. (Das häckchen bei "sichere authentifizierung verwenden" ist seit über einem Jahr bei mir gesetzt, genauso wie die Auswahl von SSL)

Kann es sein, daß die klammheimlich das als kostenpflichtiges Extra deklariert haben? Oder muß jetzt die Einstellung angepasst werden?

Ich hab GMX ProMail und bekomme beim IMAP Abruf die gleiche Fehlermeldung. Habe eine deshalb Anfrage an GMX geschickt. Bin auf die Antwort gespannt.

Ohne secure authentication wird das Passwort im Klartext übertragen - das kann ich garnicht gebrauchen!

ohne secure authentication geht es wieder. :redface: da habe ich gestern auch erstmal doof geguckt. das lustige ist ja, dass gestern auch noch ne email im postfach lag mit einem hinweis auf ein sicherheitsupdate am 16.3. (iirc). nur komisch, dass die erste änderung offenbar gestern schon erfolgte. :rolleyes:

Bei mir machts auch seit gestern Probleme, aber trotz Fehlermeldung kann ich meine E-Mails abrufen.

Ohne secure authentication wird das Passwort im Klartext übertragen
Wenn du TLS oder SSL verwendest ist das kein Problem.

Wenn du TLS oder SSL verwendest ist das kein Problem.

selbst dort wird bei erstmaliger Anmeldung ohne sichere Authentifizierung das Passwort im Klartext übertragen. Damit wird dann eine verschlüsselte Verbindung aufgebaut.

Edit: bei SSL erfolgt die Verschlüsselung von Anfang an. nur bei TLS wird das Passwort erst in Klartext übertragen.

Belege? Die Aussage ist derart absurd...

hier im letzten Absatz:

http://www.heise.de/security/Eingriff-in-E-Mail-Verschluesselung-durch-Mobilfunknetz-von-O2--/news/meldung/116073

ich glaube aber das auch noch wo anders gelesen zu haben. finde die Quelle aktuell nicht.

hier im letzten Absatz:

http://www.heise.de/security/Eingriff-in-E-Mail-Verschluesselung-durch-Mobilfunknetz-von-O2--/news/meldung/116073


Und wo steht da dass das Passwort unverschlüsselt übertragen wird?
Normalerweise senden die Mailclients gleich ein STARTTLS bevor das Passwort übertragen wird.
Wenn es natürlich rausgefiltert wird, ist garnix mehr verschlüsselt.

Und unverschlüsselt auch nur bei Ablehnung bei "TLS, wenn möglich". Die Option ist sowieso quark. Entweder normales/forciertes "TLS" oder gar keins.

Da hat wohl wer die Mail von GMX nicht gelesen, in der das angekündigt wurde? ;)
FYI: seit dem späten 10.3. bzw. 11.3. geht sichere Authentifizierung (CRAM-MD5) nicht mehr.

GMX Update




+++ Sicherheitsupdate am 10.3.2009 +++ Bitte Einstellungen in Mailprogrammen
überprüfen! +++

Lieber Herr XXXX,

Ihre Sicherheit bei der Benutzung von GMX steht bei uns an erster Stelle. Damit
Ihre Daten und E-Mails auch weiterhin optimal geschützt sind, wird in Kürze ein
verbessertes Verfahren für das Login in Ihren GMX Account in Betrieb genommen.

Jetzt Rufnummer sichern! <http://portal.gmx.net/dereferer.do?link=7695436>


*Wenn Sie Ihre E-Mails ganz oder teilweise über ein Mailprogramm wie z.B.
Outlook, Thunderbird etc. abrufen und versenden, überprüfen Sie bitte am besten
gleich Ihre Einstellungen:*

Nach der *Umstellung am 10.3.2009* kann Ihr Mailprogramm Sie nicht mehr an
unseren Mailservern anmelden, wenn die Optionen *„APOP“ oder „CRAM-MD5“*
aktiviert sind. Bitte entfernen Sie ggf. die Einstellungen für diese Optionen
und *wählen Sie stattdessen „SSL“ oder „TLS“* als sichere Verbindung!

Eine *ausführliche Schritt-für-Schritt-Anleitung*
<http://portal.gmx.net/dereferer.do?link=7695436> für die Einstellung Ihres
Mailprogramms finden Sie in unserer FAQ.

Für das Login über die Weboberfläche unter http://www.gmx.net sind keine
Umstellungen notwendig.

Wir wünschen Ihnen weiterhin viel Spaß und Erfolg mit Ihrem GMX Account!

Ihr GMX Team

Da hat wohl wer die Mail von GMX nicht gelesen, in der das angekündigt wurde? ;)
FYI: seit dem späten 10.3. bzw. 11.3. geht sichere Authentifizierung (CRAM-MD5) nicht mehr.

D.h. sichere Authentifizierung ist dieses CRAM-MD5 ?? Mail habe ich gelesen, aber natürlich nciht gewusst, was CRAM-MD5 oder APOP ist.

Bisher hatte ich ja "sichere Authentifizierung" + SSL wie im Screenshot. In Zukunft geht dann nur noch SSL? Ist das dann nicht unsicherer wie vorher?

SSL ohne sichere Authentifizierung ist kaum unsicherer als mit. Der ganz Verkehr ist von vornherein bereits verschlüsselt und die sichere Authentifizierung würde dann das Kennwort nochmals in einem 3-Wege verfahren verschlüsselt senden.
CRAM-MD5 (http://de.wikipedia.org/wiki/Cram-md5) bzw. APOP (http://de.wikipedia.org/wiki/APOP) ist eher für unverschlüsselte Verbindungen gedacht bei der man aber trotzdem das Passwort verschlüsselt übermitteln möchte.

nur bei TLS wird das Passwort erst in Klartext übertragen.
Absoluter Bullshit.

hier im letzten Absatz:

http://www.heise.de/security/Eingriff-in-E-Mail-Verschluesselung-durch-Mobilfunknetz-von-O2--/news/meldung/116073
Du hast den Text nicht verstanden.

über den PocketPC kommt auch immer eine Fehlermeldung... der jeweils 3. oder 4. Versuch gelingt dann immer :D

SSL ohne sichere Authentifizierung ist kaum unsicherer als mit. Der ganz Verkehr ist von vornherein bereits verschlüsselt und die sichere Authentifizierung würde dann das Kennwort nochmals in einem 3-Wege verfahren verschlüsselt senden.
CRAM-MD5 (http://de.wikipedia.org/wiki/Cram-md5) bzw. APOP (http://de.wikipedia.org/wiki/APOP) ist eher für unverschlüsselte Verbindungen gedacht bei der man aber trotzdem das Passwort verschlüsselt übermitteln möchte.


Ok, dann kann ich das häckchen ja wieder entfernen.

Komisch nur, daß es schätzungsweise einmal pro 5 Versuche ohne Fehlermeldung klappt... (Und mit Fehlermeldung werden ja auch trotzdem die Emails abgeholt)

Tja, hab alles gemacht wie beschrieben bei meinem Opera (Version 9.64), allerdings kann ich nur E-Mails abrufen aber keine senden. Kommt allerdings nichtmal ne Fehlermeldung worans nun liegt :rolleyes:
Evtl. hier jemand, der dieses Problem auch hat bzw. gelöst hat?