Ungültige Signaturprüfung in Outlook

  • Autor:

    Peter Oettig
  • Datum: 20.01.2022

  • Es gibt ein Problem in Microsoft Outlook, dass Mails mit gültiger Signatur als ungültig markiert. Wir beschreiben Umgehungslösungen und die Veröffentlichung eines Updates für Thunderbird, dass das Problem vermeidet.

Ungültige Signaturprüfung in Outlook

20.01.2022: Thunderbird-Workaround veröffentlicht

Mit dem Update auf Thunderbird ESR (Extended Support Release) 91.4.1 wurde der nötige Workaround veröffentlicht. Seit dem 11.01.2022 gibt es außerdem Thunderbird ESR 91.5.0, worin der Workaround ebenfalls enthalten ist. Haben Sie ein Version von Thunderbird ESR >= 91.4.1 installiert, können Sie den in der Originalmeldung beschriebenen temporären Workaround wieder zurücknehmen.

08.12.2021: Thunderbird-Workaround verschoben

Am 06.12.2021 wurde Thunderbird ESR (Extended Support Release) 91.4.0 veröffentlicht. Leider ist der nötige Workaround für das Signaturproblem in Outlook nicht enthalten, dieser wurde auf den Release 96 im Mozilla Releasekalender verschoben, was Thunderbird ESR 91.5 entspricht. Der Release ist für den 11.01.2022 vorgesehen.

Der in der Originalmeldung beschriebene temporäre Workaround funktioniert weiterhin auch in Thunderbird ESR 91.4.0.

24.11.2021: Originalmeldung

Aktuell erhalten wir vermehrt Meldungen, dass Microsoft Outlook teilweise Mails von Absendenden mit KIT-CA-Zertifikat als ungültig signiert anzeigt. Dies ist auf einen Fehler in Outlook selbst zurückzuführen, welcher bestimmte Leerzeilen in sogenannten Multipart-Mails [1] unerlaubterweise entfernt, auch wenn diese von der Signatur erfasst sind. Dadurch wird die Mail folgerichtig als "nach dem Absenden verändert" angezeigt - allerdings nicht von einer angreifenden Partei, sondern von Outlook selbst. Von anderen Mailclients und Signaturvalidierern (z.B. Thunderbird oder openssl) wird dieselbe Mail korrekt als gültig signiert angezeigt.

Aktuell tritt dies stark vermehrt auf, da in der neuesten Version 91 des Mailclients Thunderbird Mails leicht anders aufgebaut werden. Dies führt zu den speziellen Leerzeilen in der Mail, die von Outlook fälschlicherweise gelöscht werden. Der eigentliche Fehler liegt bei Outlook und wurde von unserem Mailteam auch bereits an Microsoft gemeldet. Es gibt außerdem einen Fix von Thunderbird, der das alte Verhalten bezüglich der Leerzeilen wieder herstellt, sodass der Fehler in Outlook nicht ausgelöst wird [2]. Der Fix ist aktuell für den Release 96 (Thunderbird 91.4) vorgesehen, welcher aktuell für dem 07.12.2021 terminiert ist. Wir werden das beobachten und diesen Artikel aktualisieren, sobald der Patch verfügbar ist.
 

Maßnahmen für Thunderbird-Nutzende

Das Update von Thunderbird 78 auf 91 wird derzeit automatisch schrittweise unter Windows ausgerollt und sollte nicht unterbunden werden. Updates sind essentiell für die Sicherheit Ihrer Mails und Ihres Systems. Wenn sie Thunderbird 91 verwenden, kann auf das alte Verfahren zur Mailkomposition zurückgefallen werden, welches den Fehler in Outlook umgangen hat:

  1. Öffnen Sie die Einstellungen von Thunderbird
  2. Geben Sie in die Suche oben rechts "konfiguration" ein und klicken Sie auf "Konfiguration bearbeiten"
  3. Geben Sie in die Suche "jsmodule" ein und wechseln Sie durch Klick auf den Button in der gleichen Zeile "mailnews.send.jsmodule" auf "false"

  4. Starten Sie Thunderbird neu. Das ist unbedingt nötig, ansonsten funktioniert die Änderung nicht!

Mails, die ab sofort signiert versendet werden, sind in einem Format, das Outlook nicht unerlaubterweise verändert. Bitte beachten Sie, dass diese Option voraussichtlich in einem zukünftigen Major Release von Thunderbird verschwinden wird.
 

Maßnahmen für Outlook-Nutzende

Wenn Sie eine Mail mit ungültiger Signatur erhalten, halten Sie sich bitte an folgende Punkte:

  • Nehmen Sie den Fehler ernst! Nicht jede ungültige Signatur ist durch diesen Fehler verursacht.
  • Teilen Sie dem Absendenden auf einem geeigneten Weg mit (z.B. *neue* Mail oder Telefon), dass es Probleme mit seiner Signatur gibt. Fragen Sie, ob Thunderbird 91 verwendet wurde.
  • Wenn ja: Teilen Sie dem Absendenden diesen Artikel, sodass die oben beschriebenen Maßnahmen ergriffen werden können. Anschließend soll die Mail erneut verschickt werden.
  • Wenn nein: Versuchen Sie das tatsächliche Problem zu ermitteln, bei Fragen können Sie sich an ca does-not-exist.kit edu wenden.
  • Alternativ können Sie einen anderen Mailclient, z.B. Thunderbird, verwenden, um die Signatur der Mail auf Gültigkeit zu prüfen. Bitte auch in diesem Fall den Absendenden über das Problem informieren.

[1] Eine Multipart-Mail ist eine Mail, die aus mehreren Inhaltstypen besteht, z.B. Text + Anhang oder Text + HTML (formatierter Text).
[2] https://bugzilla.mozilla.org/show_bug.cgi?id=1731529