Fórum Root.cz
Hlavní témata => Software => Téma založeno: Michal Nemček 18. 04. 2023, 13:15:36
-
Potřeboval bych poradit s nastavením elektronického podpisu v poštovním klientu Thunderbird.
Mám kvalifikovaný certifikát uložený na eObčance. Pokud píši emaily bez diakritiky tak vše funguje jak má. Ale pokud píši česky, tak se podepsaný mail v pohodě odešle a na straně příjemce se zobrazí chybová hláška npř. v Gmailu: "S touto zprávou bylo neoprávněně zacházeno."
Email provozuji u Zoho mail na vlastní doméně.
Má aktuální konfigurace: Windows 10 Pro 22H2, Thunderbird v. 102.10.0.
-
Bylo by dobré, kdybyste sem mohl nějaký takový podepsaný e-mail přiložit, aby bylo možné zjistit, kde je chyba – za v GMailu nebo v Thunderbirdu a případně kde konkrétně (zda třeba je e-mail dobře podepsaný, ale je někde špatně nastavené kódování; nebo zda je podpis vygenerovaný ze špatných dat).
-
https://bugzilla.mozilla.org/show_bug.cgi?id=1745458
For now i must admit, that it is mail server fault. Using different one to send s/mime signed message works well! Strange is TB 78 did work well so i was sure it must be TB problem! My fault i think.
Sending with mail.strictly_mime set to true also is working fine with the bad server. Message inside looks like that:
TB 78 and Outlook didn't have those problems, because they made messages with "Content-Transfer-Encoding: quoted-printable" even before sending data to server.
??
-
Tak tedy zde přikládám odkaz ke stažení celého podepsaného mailu:
https://drive.google.com/file/d/1vh8P1zydM8oIu1wzBWsw0Ar2SApZiBhn/view?usp=sharing (https://drive.google.com/file/d/1vh8P1zydM8oIu1wzBWsw0Ar2SApZiBhn/view?usp=sharing)
-
Zdravím,
jen upozorňuji že Gmail žádné české certifikační autoritě nedůvěřuje, viz. seznam důvěryhodných kořenových certifikátů: https://support.google.com/a/answer/7448393?hl=en
To je možná ten důvod, proč gmail vyhazuje tuto chybu, pokud tedy emaily protistrana čte v gmailu ve webovém prostředí. Pokud si protistrana čte emaily například v outlooku nebo v Thunderbirdu, tak se zde zase pro změnu uplatňuje důvěryhodnost certifikátů dle Microsoft trust storu, kde jsou české certifikační autority důvěryhodné.
Dodatek: Až teď jsem viděl přiložený obrázek :) Toto chyba důvěryhodnosti nebude.
-
Mozna bys moh trochu rozepsat, co od toho cekas.
Totiz, pred nejakou dobou sem testoval moznosti, a dokud jsem to testoval mezi "normalnima" klientama, vse fungovalo naprosto bez problemu. Tzn nikoli web. Naprosto vpohode jsme s kolegou pouzili i selfsign, stacilo poslat protistrane 1x podepsany mail, a klient si to ulozil a odpoved uz i klido zasifroval. Testovali sme tb + utlouk + em + nativni android klient. Nejake "autority" to vubec nezajimalo (coz teda neznamena, ze by nejak neslo rict ktere verit, ale to se tem verejnym neda zadne).
Prakticky se to ale nedalo pouzivat se zadnym webmailem. A to ani v situaci kdy se tedy naprosto vzdas jakekoli realne bezpecnosti, protoze jaky asi tak dava smysl sifrovat (nebo i podepisovat) maily kdyz je pak stejne posles guuglu.
Problem pak nastava mimo jine i v tom, ze nektere servery (google, exchange ...) do mailu zasahuji, takze treba kombinace outlook + exchange fungovala jen a pouze v situaci, kdy byl mail nejen podepsan, ale take zasifrovan. Pokud bys treba na tom exchange chtel revalidovat dkim, tak taky smula, nacpe si do mailu hromadu svych nesmyslu, takze to uz neprojde.
-
Zdravím,
jen upozorňuji že Gmail žádné české certifikační autoritě nedůvěřuje, viz. seznam důvěryhodných kořenových certifikátů: https://support.google.com/a/answer/7448393?hl=en
To je možná ten důvod, proč gmail vyhazuje tuto chybu, pokud tedy emaily protistrana čte v gmailu ve webovém prostředí. Pokud si protistrana čte emaily například v outlooku nebo v Thunderbirdu, tak se zde zase pro změnu uplatňuje důvěryhodnost certifikátů dle Microsoft trust storu, kde jsou české certifikační autority důvěryhodné.
Dodatek: Až teď jsem viděl přiložený obrázek :) Toto chyba důvěryhodnosti nebude.
Já teda žádný obrázek nevidím. Každopádně to, co popisujete vy, by znamenalo, že GMail nedůvěřuje certifikátu autority, ne že s obsahem zprávy někdo manipuloval. Samozřejmě je možné, že GMail mate uživatele úplně chybnou hláškou, ale nesázel bych na to.
-
Mozna bys moh trochu rozepsat, co od toho cekas.
Totiz, pred nejakou dobou sem testoval moznosti, a dokud jsem to testoval mezi "normalnima" klientama, vse fungovalo naprosto bez problemu. Tzn nikoli web. Naprosto vpohode jsme s kolegou pouzili i selfsign, stacilo poslat protistrane 1x podepsany mail, a klient si to ulozil a odpoved uz i klido zasifroval. Testovali sme tb + utlouk + em + nativni android klient. Nejake "autority" to vubec nezajimalo (coz teda neznamena, ze by nejak neslo rict ktere verit, ale to se tem verejnym neda zadne).
Prakticky se to ale nedalo pouzivat se zadnym webmailem. A to ani v situaci kdy se tedy naprosto vzdas jakekoli realne bezpecnosti, protoze jaky asi tak dava smysl sifrovat (nebo i podepisovat) maily kdyz je pak stejne posles guuglu.
Problem pak nastava mimo jine i v tom, ze nektere servery (google, exchange ...) do mailu zasahuji, takze treba kombinace outlook + exchange fungovala jen a pouze v situaci, kdy byl mail nejen podepsan, ale take zasifrovan. Pokud bys treba na tom exchange chtel revalidovat dkim, tak taky smula, nacpe si do mailu hromadu svych nesmyslu, takze to uz neprojde.
Řekl bych, že píšete nějaký text na dané téma, ale s realitou se to moc nepotkává. Kdyby nechyběly háčky a čárky, řekl bych, že to psala umělé inteligence. Zajímalo by mne, co si třeba představujete pod pojmem „revalidace DKIM“ nebo proč by cokoli související s DKIM mělo měnit tělo zprávy (které se podepisuje certifikátem uživatele).
-
Chybu v podobném smyslu mi píše třeba i desktopový Outlook. Opravdu to má něco společného s kódováním. Email odeslaný bez diakritiky npř. v tom Outlooku příjde v pohodě podepsaný a ověřený. Prohledal jsem již všemožná nastavení v Thunderbirdu a nemohu to najít.
-
Do té BugZilly, co odkazoval none_ v komentáři #2 (https://forum.root.cz/index.php?topic=27510.msg387079#msg387079) jste se díval? To totiž pravděpodobně popisuje právě váš problém.
-
Asi máte pravdu. Zkoušel jsem si to pročíst a nenašel jsem v tom žádné řešení.
Přijde mi divné, že pokud je to vážně bug, tak že ještě nebyl opraven. Nebo snad nikdo kdo podepisuje nepoužívá speciální znaky?
-
Tak muzete provest vlastni vypocet podpisu a primo porovnat s dumpem z thunderbidu - jak se lisi vstupni data do hashovaci funkce.
Resp. kdyz je znama zprava co to rozbije, tak najit misto kde se to rozbije je ten nejmensi problem.
-
Možná bych ještě zkusil vypnout antivirus (pokud nějaký vy, případně protistrana používáte) před příjmutím/odesláním digitálně podepsané zprávy - Například takový Avast přidává na konec emailové zprávy (přímo do těla zprávy) nějaký otisk na znamení, že je emailová zpráva zkontrolována a čistá.
Za sebe mohu říci, že digitálně podepisuji v outlooku, mám Avast, a nikdy jsem se s tímto problémem nesetkal - nicméně thunderbird může přistupovat k digitálně podepsaným zprávám jinak než Outlook.
-
Nevyjadřuji se k S/MIME mailům, ale k problému při doručování do MS Exchange, ať už ve variantě on-premise nebo online.
Pokud bys treba na tom exchange chtel revalidovat dkim, tak taky smula, nacpe si do mailu hromadu svych nesmyslu, takze to uz neprojde.
Ta hromada přidaných nesmyslných hlaviček ale naštěstí nemá vliv na existující DKIM podpis. Alespoň tedy jsem se s takovou situací nepotkal. Problém je s tělem MIME mailů, do nějž Exchange při vkládání mailu do schránky skutečně zasahuje. Stručně jsem to nedávno popsal na konkurenčním serveru, pan domácí doufám promine. Jde o předposlední příspěvek (v tuto chvíli) v debatě https://www.abclinuxu.cz/blog/Max_Devaine/2023/3/office-365-zkusenosti/diskuse
Maily v ASCII z thunderbirdu v mém případě odcházejí jako MIME s jedinou (hlavní) částí, a problém se jich tak netýká.
-
To už jsem bohužel všechno vyzkoušel. K tomu aby se to rozbilo stačí jakýkoli znak s diakritikou. Pokud píšu anglicky, tak vše funguje.
-
Ano, to souhlasí.
Zopakuji radu, která už zde zazněla: porovnejte si vlastní tělo odeslaného mailu (ze složky s odeslanou poštou) s tím, které dorazí do Exchange.
-
Problém je s tělem MIME mailů, do nějž Exchange při vkládání mailu do schránky skutečně zasahuje.
To by mělo vliv na DIM ale ne na uživatelský elektronický podpis (teda pokud Exchange nemanipuluje i s MIME tělem, což snad nedělá).
-
Asi máte pravdu. Zkoušel jsem si to pročíst a nenašel jsem v tom žádné řešení.
Přijde mi divné, že pokud je to vážně bug, tak že ještě nebyl opraven. Nebo snad nikdo kdo podepisuje nepoužívá speciální znaky?
V tom e-mailu, co jste sdílel, podle mne podpis opravdu nesedí. Můžete zkusit vyrobit ještě nějaký, kde nebudou znaky s diakritikou, abych ověřil jednak že podpis ověřuju správně, jednak aby byl vidět rozdíl v hlavičkách, když Thunderbird soubor nekóduje do quoted-printable? Ono to také může souviset s nastavením, další možná používají pro znaky mimo ASCII 8bitové kódování, které se zase kóduje jinak…
-
...
Vis jisaku, jsou lidi kteri vedi jak veci funguji, pak sou lidi kteri vedi jak funguji alespon nektere veci, a pak ten zbytek, tedy vyhradne ty.
...
Ta hromada přidaných nesmyslných hlaviček ale naštěstí nemá vliv na existující DKIM podpis.
...
jednak to nejsou jenom hlavicky, co exch zmeni, a druhak u dkim lze jaksi rici, co ze ma obsahovat a muze zahrnovat i prave hlavicky, ktere exch zmeni.
Pricemz jaksi o tom co bude nebo nebude zahrnuto rozhoduje odesilatel, a ne adresat, ktere mu to exchange rozbije.
https://knowledge.validity.com/hc/en-us/articles/222438487-DKIM-signature-header-detail
A naprosto typicky je videtelne mnohem vetsi zasah do mailu obsahujicich nabodenicka, nez do tech, ktere je neobsahuji (IMO si exch proste nabodenicka prekoduje do jineho charsetu, detailne jsem to nezkoumal). A naprosto typicky si u prakticky vsech mailu upravuje html tagovani.
Tak tedy zde přikládám odkaz ke stažení celého podepsaného mailu:
https://drive.google.com/file/d/1vh8P1zydM8oIu1wzBWsw0Ar2SApZiBhn/view?usp=sharing (https://drive.google.com/file/d/1vh8P1zydM8oIu1wzBWsw0Ar2SApZiBhn/view?usp=sharing)
Tohle je ovsem uz ten zniceny mail z toho guugla, porovnej to s tim, co si tam poslal - predevsim pochopitelne telo.
-
Vis jisaku, jsou lidi kteri vedi jak veci funguji, pak sou lidi kteri vedi jak funguji alespon nektere veci, a pak ten zbytek, tedy vyhradne ty.
No a pak jsou lidi, kteří ani neumí opsat jméno. A kteří si myslí, že budou znít odborně, když si vymyslí své vlastní termíny. Třeba „revalidace“. Slovo „validace“ znamená „ověření“, „validace DKIM“ znamená ověření podpisu (že sedí hash se zdrojovými daty) a že podpis vytvořil ten, kdo má právo za danou doménu podepisovat. Při validaci se tedy e-mail nijak nemění. A co by mohla znamenat „revalidace“? „Znovu ověření“? Čím by se takové „znovuověření“ lišilo od „ověření“? A jak by mohlo při znovuověření dojít ke změně e-mailu, když se nijak nemění při ověření?
jednak to nejsou jenom hlavicky, co exch zmeni, a druhak u dkim lze jaksi rici, co ze ma obsahovat a muze zahrnovat i prave hlavicky, ktere exch zmeni.
Jenže řeč nebyla o tom, že Exchange nějaké hlavičky změní. Řeč byla o tom, že hlavičky přidá. A přidané hlavičky nijak DKIM neovlivňují. Jinak pro vaši informaci, DKIM obsahuje především vybrané hlavičky. To je jeho účel. Otisk zprávy je do podpisu přidán proto, aby nebylo možné vzít hlavičky legitimní zprávy a připojit k nim úplně jiné tělo e-mailu a tvářit se, že je to validně podepsaný e-mail. Ale tělo není tak podstatné, proto nemusí být do výpočtu podpisu zahrnuté celé, může být zahrnut jen počátek e-mailu.
Ale ten počátek, že někteří lidé nevědí, jak věci fungují, ten jste trefil správně. Je vidět, že to byla jediná věc, kdy jste psal o vlastní zkušenosti.
-
Tož tady jsem nasdílel ty emaily:
https://drive.google.com/drive/folders/1c3gSFcjTNisEdnAoCTdOe77TGA9o3Ycb?usp=sharing (https://drive.google.com/drive/folders/1c3gSFcjTNisEdnAoCTdOe77TGA9o3Ycb?usp=sharing)
Email "Pokus - Thunderbird" je email z Thunderbirdu podepsaný bez diakritiky
Email "Pokus - Gmail" je email co přišel do Gmailu, v něm to píše akorát chybičku, že certifikát není důvěryhodný. Což je pochopitelné vzhledem k autoritě PostSignum, které Google nedůvěřuje.
Email "Rozbité - Thunderbird" je email z Thunderbirdu podepsaný s diakritikou (podpis prošel v pohodě)
Email "Rozbité - Gmail" je email z Gmailu, kde to píše chybu S touto zprávou bylo neoprávněně zacházeno.
Úplně stejně se to chová pokud si to pošlu na MS Outlook.
U té rozbité zprávy jsem si všiml, že v těle se změní: Content-Transfer-Encoding: z 8bit na quoted-printable, ale kde nastavit aby se tak nedělo nevím.
-
Tak už jsem asi našel příčinu:
https://help.zoho.com/portal/en/community/topic/zoho-break-dkim-signatures-body-hash-if-8bit-encoding-are-used-through-smtp (https://help.zoho.com/portal/en/community/topic/zoho-break-dkim-signatures-body-hash-if-8bit-encoding-are-used-through-smtp)
Zkusím poštu odesílat přes jiný smtp server.