50.4 Sicherheitsoptionen
50.4.1 Übersicht ¶
Das Programm setzt für alle Server-Verbindungen (IMAP, SMTP, POP3) TLS-Verschlüsselung voraus - entweder als impliziter SSL-Modus oder als StartTLS-Erweiterung über die Plain-Verbindung. Das Programm validiert Server-Zertifikate gegen die System-Zertifikatsspeicher von Windows: gültige Zertifikate öffentlicher CAs werden automatisch akzeptiert, ungültige oder unbekannte Zertifikate führen zu einer Verbindungs-Verweigerung.
50.4.2 Sicherheits-Modi ¶
Pro Konto und pro Server-Richtung (Posteingang, Postausgang) wählen Sie einen Sicherheits-Modus:
| Modus |
Verhalten |
| Automatisch |
Programm versucht zuerst SSL, dann StartTLS - wählt die Variante, die der Server unterstützt |
| SSL |
Implizite SSL-Verbindung von Beginn an (typisch Port 993 für IMAP, 465 für SMTP) |
| StartTLS |
Plain-Verbindung mit Upgrade auf TLS via STARTTLS-Befehl (typisch Port 143 für IMAP, 587 für SMTP) |
Empfehlung: Wenn der Hoster eine konkrete Variante dokumentiert, wählen Sie diese explizit - der Automatisch-Modus ist ein Komfort-Fallback, kein Sicherheits-Optimum.
50.4.3 Zertifikatsfehler ¶
Beim Verbindungs-Aufbau prüft das Programm das Server-Zertifikat. Bei Problemen erscheint eine Fehlermeldung mit der Ursache:
| Fehler |
Ursache |
Maßnahme |
| „Zertifikat nicht vertrauenswürdig” |
Selbst-signiertes oder von unbekannter CA signiertes Zertifikat |
Zertifikat in den Windows-Zertifikatsspeicher importieren |
| „Zertifikat abgelaufen” |
Server-Zertifikat ist abgelaufen |
IT-Administrator des Hosters informieren |
| „Hostname stimmt nicht überein” |
Zertifikat wurde für einen anderen Hostnamen ausgestellt |
Korrekten Server-Namen prüfen (z.B. imap.firma.de statt mail.firma.de) |
| „TLS-Handshake fehlgeschlagen” |
TLS-Versionen oder Cipher-Suiten nicht kompatibel |
Hoster fragen, welche TLS-Version verlangt wird (TLS 1.2 oder neuer ist Standard) |
50.4.4 Selbst-signierte Zertifikate ¶
Selbst-signierte Zertifikate (z.B. interner Mail-Server ohne öffentliche CA) werden vom Windows-System standardmäßig nicht akzeptiert. Um die Verbindung zu erlauben, muss das Zertifikat des internen Servers in den Windows-Zertifikatsspeicher unter „Vertrauenswürdige Stammzertifizierungsstellen” importiert werden.
Der Import erfolgt typischerweise über eine Gruppenrichtlinie (im Unternehmensumfeld) oder manuell über certmgr.msc. Nach dem Import vertraut das Windows-System dem Zertifikat - und damit auch dem Programm.
Sicherheits-Hinweis: Importieren Sie nur Zertifikate, deren Herkunft Sie kennen. Ein importiertes Stammzertifikat ist eine globale Vertrauensaussage und betrifft alle Anwendungen auf dem System.
50.4.5 TLS-Versionen ¶
Das Programm verwendet die vom System unterstützten TLS-Versionen - typischerweise TLS 1.2 und TLS 1.3. Veraltete Versionen (SSL 3.0, TLS 1.0, TLS 1.1) werden nicht aktiv aufgebaut, weil sie als unsicher gelten und seit Jahren nicht mehr empfohlen werden.
Falls ein Server nur alte TLS-Versionen unterstützt, schlägt die Verbindung mit einem TLS-Handshake-Fehler fehl - der einzige sinnvolle Weg ist, den Server-Betreiber um ein Upgrade zu bitten oder einen anderen Server zu nutzen.
50.4.6 Anmeldedaten-Sicherheit ¶
Passwörter werden nicht im Klartext gespeichert. Das Programm bietet zwei Speicher-Modi:
| Modus |
Verfahren |
Bindung |
| In Konfiguration verschlüsselt (Standard) |
Passwörter werden verschlüsselt in EmailAccounts.json abgelegt |
Programm-intern, nicht an Benutzer oder PC gebunden |
| Windows Credential Manager |
Speicherung als Generic Credential im Windows-Tresor |
An den Windows-Benutzer gebunden |
Die Auswahl erfolgt in den Programmoptionen → Sicherheit (siehe Kapitel 40.9).
Hinweis zur Portabilität: Im Standard-Modus In Konfiguration verschlüsselt ist die EmailAccounts.json zwischen Benutzern und Computern übertragbar - jede Installation des Programms kann die Datei lesen. Das ist beabsichtigt, damit Sicherungen auf einen neuen Rechner umgezogen werden können. Wer eine zusätzliche Bindung an den Windows-Benutzer wünscht (z.B. um eine kopierte Konfiguration unbrauchbar zu machen), wechselt in den Modus Windows Credential Manager. Beim Wechsel liest das Programm die Passwörter aus der Konfiguration und legt sie im Credential Manager ab.
50.4.7 Tipp ¶
- Bei wiederholten TLS-Problemen lohnt ein Test mit Outlook oder Thunderbird mit gleichen Daten - wenn die anderen Clients auch scheitern, liegt das Problem am Server, nicht am Programm