Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Thunderbird 128.4.3esr 64-Bit - Externer Inhalt wird trotz Einstellungen nicht angezeigt
seit dem Update auf die neueste Version 128.4.3esr (64-Bit) habe ich das Problem, dass externer Inhalt in E-Mails nicht angezeigt wird. Obwohl ich die Option unter „Datenschutz“ > „E-Mail-Inhalte“ > „Remote-Inhalte in Nachrichten erlauben“ aktiviert habe, wird externer Inhalt trotzdem generell blockiert. Ich kann absolut nichts daran ändern.
Jedes Mal, wenn ich eine neue E-Mail erhalte, bekomme ich die Meldung: „Zum Schutz Ihrer Privatsphäre hat Thunderbird den Remote-Inhalt in dieser Nachricht blockiert.“ Was ja im Endeffekt nicht schlecht ist.
In der vorherigen Version hat das problemlos funktioniert, und ich musste den Inhalt nicht für jede E-Mail manuell freigeben. Hat jemand eine Idee, woran das liegen könnte, oder handelt es sich vielleicht um einen Fehler in der aktuellen Version?
@qiller Das habe ich mir auch schon gedacht. Jedoch noch nicht getestet. Verstehe nur nicht, wenn es tatsächlich daran liegen sollte, weshalb es mit der Ver.128.4.2esr 64-Bit ohne Probleme funktioniert hat.
Ich danke dir aber für deinen Ansatz und werde es einmal testen!
Kann ich dir nicht sagen, ich krieg keine verschlüsselten Emails, wo externer Inhalt eingebunden ist. Kann nur sagen, dass bei meinen unverschlüsselten Emails mit externem Inhalt der Button so funktioniert wie immer.
Edit: Könnte mir durchaus vorstellen, dass es bei verschlüsselten Emails evt. Probleme mit der Sicherstellung der Privatsphäre kommt, wenn man da einfach externe Inhalte zulässt und deswegen werden die blockiert (evt. über about:config wieder freischaltbar?). Oder es ist einfach ein Bug.
Keine gute Standardeinstellung. Man kann ja (normalerweise) manuell externe Inhalte für Emails individuell freischalten, wenn es notwendig ist. So mach ich das zumindest (siehe Anhang). Aber aus irgendeinem Grund fehlt der Dropdown-Button beim TE, von daher meine Vermutung, dass es mit der verschlüsselten Email zusammenhängt.
Kann ich dir nicht sagen, ich krieg keine verschlüsselten Emails, wo externer Inhalt eingebunden ist. Kann nur sagen, dass bei meinen unverschlüsselten Emails mit externem Inhalt der Button so funktioniert wie immer.
Edit: Könnte mir durchaus vorstellen, dass es bei verschlüsselten Emails evt. Probleme mit der Sicherstellung der Privatsphäre kommt, wenn man da einfach externe Inhalte zulässt und deswegen werden die blockiert (evt. über about:config wieder freischaltbar?). Oder es ist einfach ein Bug.
Verschlüsselt (PGP) ist nur der Posteingang. Die E-Mails selbst sind nicht PGP-verschlüsselt.
Edit: Könnte mir durchaus vorstellen, dass es bei verschlüsselten Emails evt. Probleme mit der Sicherstellung der Privatsphäre kommt, wenn man da einfach externe Inhalte zulässt und deswegen werden die blockiert (evt. über about:config wieder freischaltbar?). Oder es ist einfach ein Bug.
Was auch auf einer Seite Sinn ergeben würde. Für mich klingt das aber eher nach einem Bug. Mit allen Versionen vor 128.4.3esr 64-Bit hat alles bestens funktioniert.
@qiller Ich verstehe dich voll und ganz. Aber genau dieser Dropdown-Button war bis zur aktuellen Version vorhanden. Jetzt eben nicht mehr. Hab das Update aufgespielt und plötzlich geht es nicht mehr.
Ergänzung ()
@qiller@hybridlite Gerade die Vorgängerversion 128.4.2esr installiert und siehe da, alles funktioniert wie es soll. Auch wenn ich unter "Einstellungen > Datenschutz > E-Mail-Inhalte (Haken setzen)" funktioniert es.
Für ich das Update auf 128.4.3esr durch funktioniert das ganze nicht mehr.
Ist also aus meiner Sicht ein Bug in der Verschlüsselung.
ich habe dasselbe Problem. Verschlüsselte Mails müssen erst entschlüsselt werden ansonsten fehlt der "Optionen" Button.
Ich werde jetzt mal diese ältere angesprochene Version ausprobieren.
Äh, ja gut, das muss doch so oder so gemacht werden. Woher soll der TB sonst auch wissen, wohin er sich verbinden soll, um sich die externen Inhalte zu holen.
Edit: Vlt. liegt auch darin der Bug, dass TB denkt, er habe die Email noch nicht entschlüsselt und zeigt deswegen den Button nicht an, ka.
Gemeint ist das explizite entschlüsseln und entschlüsselt speichern. Das geht per Rechtsklick auf verschlüsselte Mails. Danach erscheint wie zuvor in 128.4.2esr der Optionen-Button.
Leider missachtet 128.4.3esr alle erlaubten Adressen weiterhin.
Es ist also ein dicker Bug in dieser Version. Muss ich morgen mal schauen wo man das am besten meldet.
Achso, ich hab mein TB so eingestellt, dass er automatisch Mails entschlüsselt, wenn ich den Public Key vom Absender habe. Aber ja, wird denk ich ein Bug sein.
Gemeint ist das explizite entschlüsseln und entschlüsselt speichern. Das geht per Rechtsklick auf verschlüsselte Mails. Danach erscheint wie zuvor in 128.4.2esr der Optionen-Button.
Leider missachtet 128.4.3esr alle erlaubten Adressen weiterhin.
Es ist also ein dicker Bug in dieser Version. Muss ich morgen mal schauen wo man das am besten meldet.
Vorher war das eigendlich schon umgesetzt nur dass die explizit erlaubten Mails trotzdem funktionierten, so sollte es ja auch sein. Das geht jetzt nicht mehr und wie es aussieht werden die das nicht ändern.
Somit tötet sich Thunderbird selbst... aber um Geld betteln können sie.
Ich bin glaub ich mittlerweile zu alt für sowas und hab keine Geduld mehr. Habe denen direkt gesagt dass ich nun eM Client teste.
Vor ein paar Jahren konnte das nicht mit inline-PGP umgehen aber wie ich gerade sehe kann es das mittlerweile. Meine Mails funktionieren dort jedenfalls.
Es gibt noch so einen modernen Client der mit "N" anfängt glaube ich. Der konnte vor wenigen Jahren auch noch kein inline-PGP, vielleicht geht der heute auch.
Ergänzung ()
Eigentlich wollte ich auf deinen Text antworten. Den hast du wohl gelöscht.
Erstmal Danke für deine Mühe und die Meldung an Mozilla!
Ich habe mir alles in Ruhe angeschaut. Die Entscheidung, dass externe Inhalte in verschlüsselten E-Mails nicht mehr angezeigt werden können, selbst wenn ich sie explizit erlaube, ist ein massiver Rückschritt für Thunderbird. Besonders für PGP-Nutzer ist das ein echtes Problem. Es geht hier nicht nur um Sicherheit, sondern darum, dass uns die Möglichkeit genommen wird, eine bewusste Entscheidung zu treffen. Warum darf ich als Nutzer nicht selbst entscheiden, welche Inhalte ich laden möchte?
Das macht verschlüsselte Kommunikation unnötig kompliziert und nimmt Thunderbird einen entscheidenden Vorteil: die Flexibilität. Statt Nutzern Verantwortung zuzugestehen, wirkt diese Entscheidung wie eine Bevormundung. Für viele ist das ein Vertrauensbruch, denn Thunderbird stand bisher für Datenschutz und Kontrolle. Mit dieser Änderung geht das verloren.
Besonders ärgerlich wird das für diejenigen, die E-Mail-Anbieter nutzen, die den Posteingang standardmäßig mit PGP verschlüsseln. In solchen Fällen macht Thunderbird die Nutzung nur noch schwerer, obwohl es eigentlich ein Werkzeug für Privatsphäre sein sollte. Anstatt Verschlüsselung zu fördern, erschwert Mozilla den Zugang für diese Nutzergruppe unnötig.
Die Begründung, dass dies „per Design“ so vorgesehen sei, macht die Sache nur noch absurder. Bisher funktionierte die Balance aus Sicherheit und Usability – warum sollte es plötzlich nicht mehr sicher sein, externen Inhalt nach expliziter Zustimmung zu laden? Diese Entscheidung wirkt wie eine technische Überreaktion und ignoriert die Bedürfnisse derjenigen, die Thunderbird gerade wegen der Verschlüsselungsunterstützung nutzen.
Welche guten Alternativen gibt es zu Thunderbird, die eine PGP-Unterstützung bieten?
Wenn Mozilla diesen Kurs beibehält, verliert Thunderbird zunehmend an Relevanz – gerade für Nutzer, die auf PGP angewiesen sind. Es wäre wünschenswert, dass Mozilla auf das Feedback hört und uns zumindest die Wahl zurückgibt.
Kann euch da nur zustimmen, das ist eine komplette Humbug-Entscheidung. Das war so wie es war genau richtig, standardmäßig wird nicht extern connected (zumindest wenn man entsprechenden Haken in den Einstellungen nicht gesetzt hat) und bei expliziter Zustimmung wird halt doch connected - vollkommen egal ob verschlüsselt oder unverschlüsselt.
Ich kann mir das nur so erklären, dass Mozilla seinem eigenen Code nicht traut und vlt. übereifrig Security vorschiebt, weil evt. durch irgendne dumme Sicherheitslücke irgenwelche Private Keys leaken oder was weiß ich.
Edit: Ich muss aber auch mal hier deutlich sagen: Externe Inhalte haben in Emails einfach nichts zu suchen. Man kann auch Emails ohne externe Inhalt schreiben, am besten einfach nur Text-Emails ohne den ganzen HTML-Firlefanz. Firlefanz kann man dann ja in den Anhang packen.
Edit: Ich muss aber auch mal hier deutlich sagen: Externe Inhalte haben in Emails einfach nichts zu suchen. Man kann auch Emails ohne externe Inhalt schreiben, am besten einfach nur Text-Emails ohne den ganzen HTML-Firlefanz. Firlefanz kann man dann ja in den Anhang packen.
Privat mag das so sein aber Firmen senden in 99% der Fälle externe Inhalte. Darunter auch die "Big-Player" in ihren Newslettern die natürlich auch Trackingfunktionen nutzen usw.
Selbst bei Mails zum Passwortzurücksetzen kann es zu sowas kommen...
Das ist keine gute Praxis aber es ist der Status Quo.
Ich sehe die Situation etwas differenziert, aber insgesamt halte ich die Entscheidung von Mozilla, externe Inhalte in verschlüsselten E-Mails vollständig zu blockieren, für übertrieben und unnötig.
Ja, externe Inhalte in E-Mails bergen Risiken – Tracking, Phishing oder das Enttarnen von Nutzern sind hier die typischen Probleme. Aber das gilt gleichermaßen für verschlüsselte und unverschlüsselte E-Mails. Ob eine Nachricht PGP-verschlüsselt ist oder nicht, macht in Bezug auf diese Risiken keinen Unterschied. Und was die eigentliche Verschlüsselung betrifft: PGP selbst bleibt davon unberührt. Externe Inhalte haben keinen direkten Einfluss auf private Schlüssel oder die Integrität der Verschlüsselung.
Die alte Lösung war doch ausreichend: Thunderbird blockierte externe Inhalte standardmäßig und erlaubte es Nutzern, diese gezielt für bestimmte Absender freizugeben. Das war die perfekte Balance zwischen Sicherheit und Nutzbarkeit. Warum das plötzlich nicht mehr sicher sein soll, erschließt sich mir nicht. Es wirkt eher wie eine theoretische Überreaktion, bei der mögliche Schwachstellen geschlossen werden sollen, die in der Praxis kaum eine Rolle spielen.
Das Problem ist hier vor allem, dass Mozilla den Nutzern die Wahl nimmt. Thunderbird war immer dafür bekannt, flexibel und kontrollierbar zu sein – und genau das geht mit dieser Änderung verloren. Wenn ich als Nutzer bewusst zustimme, externe Inhalte von einer Quelle zu laden, übernehme ich die Verantwortung. Diese Möglichkeit komplett zu streichen, zeigt nur, dass Mozilla seinen eigenen Nutzern nicht mehr vertraut.
Am Ende bleibt der Eindruck, dass diese Entscheidung weniger mit realen Sicherheitsbedenken zu tun hat, sondern eher ein Versuch ist, potenzielle, theoretische Risiken auszuschließen. Aber solche Entscheidungen schaden der Nutzbarkeit massiv und entfremden die Community. Für mich ist es klar: Es handelt sich hier nicht um einen relevanten Sicherheitsbruch gegenüber PGP, sondern um eine übertriebene Maßnahme, die mehr Probleme schafft, als sie löst.
Wenn Mozilla hier nicht zurückrudert, verliert Thunderbird für mich und sicher viele andere massiv an Attraktivität. Die alte Lösung war sicher genug und bot gleichzeitig die nötige Flexibilität. Diese Balance sollte dringend wiederhergestellt werden.
Ergänzung ()
1. Können externe Inhalte Klartext leaken?
Ja, das kann theoretisch passieren, aber nur unter bestimmten Umständen:
Wenn die verschlüsselte Nachricht externe Ressourcen (z. B. Bilder oder CSS-Dateien) referenziert, könnte der Client versuchen, diese Ressourcen von einem externen Server zu laden.
Der Serverbetreiber könnte durch Metadaten wie die IP-Adresse des Clients oder spezifische Header Informationen über den Empfänger erhalten.
In extremen Szenarien könnte ein Angreifer, der Zugriff auf den Server hat, versuchen, den Inhalt der E-Mail durch Timing-Angriffe oder andere Mittel zu erraten.
Allerdings:
Wenn der Client korrekt implementiert ist, wird der Klartext niemals unverschlüsselt an externe Server gesendet.
Metadaten wie die IP-Adresse des Empfängers werden nur offengelegt, wenn der externe Inhalt tatsächlich geladen wird.
2. Wie sicher war die bisherige Lösung?
Die alte Lösung in Thunderbird war sicher genug, da:
Externe Inhalte standardmäßig blockiert wurden.
Der Nutzer externe Inhalte nur manuell und bewusst für bestimmte Absender freigeben konnte.
Das Risiko war damit extrem begrenzt:
Nur freigegebene Absender konnten externe Inhalte laden.
Unbekannte oder verdächtige Absender wurden weiterhin blockiert.
3. Was sind die realen Risiken?
Tracking: Wenn externe Inhalte geladen werden, könnten Absender sehen, wann und wo die E-Mail geöffnet wurde. Das ist ein allgemeines Problem bei HTML-E-Mails, unabhängig von Verschlüsselung.
Spoofing: Ein Angreifer könnte versuchen, Absenderadressen zu fälschen, um den Client zu täuschen. Aber solche Angriffe sind technisch aufwändig und selten.
Theoretische Schwachstellen: Falls es Bugs in der Implementierung der PGP-Verschlüsselung oder im E-Mail-Client gibt, könnten externe Inhalte eventuell als Angriffsvektor genutzt werden.
Diese Risiken gelten aber gleichermaßen für verschlüsselte wie unverschlüsselte E-Mails und sind keine spezifischen PGP-Probleme.
4. Warum ist das Risiko minimal?
Bei sauberer Implementierung und der bisherigen Regelung in Thunderbird werden externe Inhalte nur nach expliziter Freigabe geladen. Es gibt keine automatische Verbindung zu externen Servern, solange der Nutzer dies nicht ausdrücklich erlaubt.
Die Freigabe von Adressen in den Ausnahmen bedeutet, dass der Nutzer bewusst das Risiko abwägt – eine informierte Entscheidung.
Fazit: Gibt es echte Sicherheitslecks?
Nein, bei korrekter Implementierung gibt es keine relevanten Sicherheitslecks durch PGP oder externe Inhalte.
Die Risiken sind minimal und betreffen vor allem Metadaten (z. B. IP-Adresse), nicht den verschlüsselten Inhalt selbst.
Die alte Lösung war ein guter Kompromiss zwischen Sicherheit und Nutzbarkeit. Die aktuelle Entscheidung von Mozilla löst ein theoretisches Problem, das in der Praxis kaum eine Rolle spielt, und schadet der Usability massiv.
Joar ich weiß, solang man die wichtigsten Teile in der Email selber stehen, ist mir das vollkommen egal, obs da noch im Footer nen "tolles" Logo gibt o. Werbung noch eingeblendet wird (die ich dann halt nicht sehe^^). Es gibt natürlich auch Extremfälle (siehe Anhang), die aber häufig nur Werbung sind, von daher juckt mich das nicht.
Emails von den Big Playern (z.B. Amazon, MS, Google) konnte ich bisher immer ohne Zulassen externer Inhalte lesen. Manchmal sehen die Email auch kaputt aus, aber wie gesagt, solang ich die wichtigen Inhalte lesen kann, reicht mir das. Den Button fürs Zulassen von externen Inhalten benutze ich jedenfalls verdammt selten (vlt. 1-2 im Jahr).
Edit: Absender, die Emails mit externen Inhalten verschicken und dieser externe Inhalt auch zum vollen Verständnis der Email notwendig ist, sollten sich auch gewahr sein, dass die Empfänger diese Email dann einfach nicht lesen können.
Edit2: Was ist denn mit den TB-Derivaten, wie z.B. Betterbird? Den mal getestet?
