Konfiguration von Thunderbird, per Enterprise Policy policies.json

    Folgendes Thema bezieht sich auf ein Linux Debian 13 (LMDE7), 64 Bit, mit Cinnamon Desktop. Nutzer von Windows oder MAC OS, müssten vmtl. ein paar Pfade und Befehle bei der Nutzung von unten stehendem anpassen.

    Wie es aussieht, kann man wohl nicht nur den Firefox und Firefox-esr Browser unter unterschiedlichen Betriebssystemen per policies.json konfigurieren, sondern auch das Emailprogramm Thunderbird.

    Und interessanter Weise geht dieses sogar unter den drei oben benannten Betriebsystemen mit ein und der selben Datei und auch für beide Firefox Varianten, mit dem genialen Firfox Addon Enterprise Policy Generator von Sören Hentzschel.

    Potentieller Vorteil:
    * Konfiguration ist für alle Nutzer eines Rechners über eine Datei möglich
    * Bei entsprechendem Anmeldescript, kann man das als Admin einheitlich auch auf alle Rechner eines Netzwerks verteilen
    * Es kann unterbinden werden das bestimmte Einstellungen vom Nutzer oder Programmupdates verändert werden können
    * usw.

    Links zu Dokus:
    * https://thunderbird.github.io/policy-templates/ # sehr gute Variante
    * https://github.com/thunderbird/th…escriptions.ftl

    Bekannte Anleitungen:
    * Konfiguration des Thunderbird Email Programm per Enterprise Policie policie.json :)

    Thunderbird Support:
    * https://support.mozilla.org/en-US/products/thunderbird

    Ablageort der policies.json Datei:
    * /etc/thunderbird/policies/policies.json # bei gewünschter systemweiter Anwendung.

    Entfernen einer alten Datei, wenn gewünscht:

    Code
    sudo rm /etc/thunderbird/policies/policies.json

    Anlage des Ordners (wenn nicht vorhanden), mit den mutmaßlich richtigen Verzeichnisrechten:

    Code
    sudo mkdir -p /etc/thunderbird/policies

    Anlage der policies.json (mit den mutmaßlich richtigen Dateirechten:

    Code
    sudo touch /etc/thunderbird/policies/policies.json

    Editieren von policies.json mit Systemtechten per xed Editor (man kann auch einen anderen nehmen):

    • die folgende Variante lässt einem die policies.json mit Systemrechten editieren, ohne dabei den Editor mit Systemrechte auszuführen und ohne die Systemrechte der zu editierenden Datei zu ändern.
    Code
    xed admin:///etc/thunderbird/policies/policies.json

    Beispiel für eine einfache policies.json:

    Code
    {
  "policies": {
    "SSLVersionMin": "tls1.3",
    "SSLVersionMax": "tls1.3"
  }
}

    Anwendung der policies.json einleiten:
    * den Thunderbird neu starten

    Kontrolle ob die Datei policies.json tatsächlich verwendet wird:
    Mind. eine Einstellung seiner Wahl vor Verwendung und bei der Verwendung der policies.json, auf z.B. folgende Weise auf geänderte Verwendung überprüfen (ähnelt der Verwendung von about:config beim Firefox):
    * Bearbeiten--Einstellungen--Konfiguration bearbeiten--und dort den zu überprüfenden Punkt in der Befehlszeile eingeben und den gesetzten Wert überprüfen

    Potentiell sinnvolle Konfigurationsmöglichkeiten der policies.json:
    * unterbinden das andere als TLS 1.3 Cipher Suites verwendet werden
    * Anzeige von HTML, nachladenden Bildern aus dem Internet und ähnlichen problematischen Dingen unterbinden

    Ablageort der policies.json:
    In meinem Fall lautet der richtige systemweite Ablageort wie folgt. Bei anderen Linux Versionen, und anderen Art und Weisen den Thunderbird zu installieren, mag das anders sein.
    /etc/thunderbird/policies/policies.json

    Vmtl. Ablageort für Nutzer abhängige Konfigurationen (ungetestet):
    /usr/lib/thunderbird/distribution/policies.json

    Ein Blick in die Glaskugel:
    Es könnte durchaus sein, das der Enterprise Policy Generator 9, Thunderbird unterstützen wird:
    * https://github.com/cadeyrn/enterp…or/milestone/27

    Verwandte Diskussion zur Konfigurierbarkeit von Thunderbird per policies.json:
    * Konfiguration von Firefox & Firefox-esr, per Enterprise Policy Lolicies Generator und policies.json

    40 Mal editiert, zuletzt von Alfredo534 (3. April 2026 um 14:04)

    Hallo,

    Zitat von Alfredo534

    Links zu Dokus:
    * klären

    Mir ist keine Dokumentation speziell für Thunderbird bekannt. Aber ein großer Teil der Richtlinien stimmt ja mit Firefox überein und dafür gibt es eine Dokumentation:

    Firefox policy reference
    Comprehensive reference documentation of Firefox enterprise policies to configure and managing enterprise browser deployments.
    firefox-admin-docs.mozilla.org

    Da sind dann natürlich ein paar Richtlinien dabei, die es in Thunderbird nicht gibt, und Richtlinien speziell für Thunderbird fehlen hier. Aber vielleicht hilft es ja trotzdem.

    Das wäre der Link für DisableTelemetry aus deinem Beispiel-Code:

    DisableTelemetry
    Prevent the upload of telemetry data.
    firefox-admin-docs.mozilla.org
    Zitat von Sören Hentzschel

    Mir ist keine Dokumentation speziell für Thunderbird bekannt. Aber ein großer Teil der Richtlinien stimmt ja mit Firefox überein und dafür gibt es eine Dokumentation:

    https://firefox-admin-docs.mozilla.org/reference/policies/

    Da sind dann natürlich ein paar Richtlinien dabei, die es in Thunderbird nicht gibt, und Richtlinien speziell für Thunderbird fehlen hier. Aber vielleicht hilft es ja trotzdem.

    Cool, dann haben wir bereits drei potentielle Quellen für Infos:

    Vmtl. Spezielle Thunderbird Doku:
    * https://github.com/thunderbird/th…escriptions.ftl

    Firefox Dokus die sich vmtl. mit dem Thunderbird in der Verwendbarkeit überschneiden:
    * https://mozilla.github.io/policy-templates/
    * https://firefox-admin-docs.mozilla.org/reference/policies/

    So, jetzt habe ich eine Angabe in einer offiziellen Quelle gefunden:
    " Linux: place the file into thunderbird/distribution, where thunderbird is the installation directory for Thunderbird. You can also specify a system-wide policy by placing the file in /etc/thunderbird/policies."
    * https://thunderbird.github.io/policy-templat…plates/central/

    Daraus ergibt sich dann ersteinmal folgendes:
    /etc/thunderbird/policies/policies.json

    Jetzt kann ich das testen.

    2 Mal editiert, zuletzt von Alfredo534 (13. März 2026 um 15:27)

    Das gewählte Beispiel für die JSON halt ich für ziemlich unglücklich gewählt, hat schon was vom privacy-handbuch. Ich billige solche Eingriffe weder in Firefox noch Thunderbird. Wer sowas erachtet, sollte sich besser nach einem anderen Programm umsehen :thumbdown:

    Davon abgesehen, bei Firefox gäbe es abvout:support für den Pfad zum Programm.

    Unter zB Mint Cinnamon kann ich sowas wie "Systemüberwachung" nutzen, um den Pfad zu Thunderbird ermitteln. Denn Paketverwaltungen gibt es viele, Debian ist nur eines, Snap, flatpak, "System" etc. Hier wäre es /usr/lib/...

    Unter Snap hätte man auch gar keinen Zugriff auf TB, da muss es woanders hin, es gibt einen Hinweis dazu von Sören, der wiederum auf einem SUMO Artikel verweist.

    Daher sind solche Anleitungen insgesamt ziemlich gewagt.

    Frei nach Einstein: „Zwei Dinge sind unendlich, Marketing und die menschliche Gutgläubigkeit, bei einem bin ich mir noch nicht ganz sicher.“

    Meine Glückszahl hier: 98.

    Zitat von .DeJaVu

    Das gewählte Beispiel für die JSON halt ich für ziemlich unglücklich gewählt, hat schon was vom privacy-handbuch. Ich billige solche Eingriffe weder in Firefox noch Thunderbird. Wer sowas erachtet, sollte sich besser nach einem anderen Programm umsehen :thumbdown:

    Am Beispiel muss man sich nun wirklich nicht aufhängen. In diesem Thema geht es zumindest bisher um die grundsätzliche Verwendung der Datei policies.json, nicht um konkrete Richtlinien.

    Zitat von .DeJaVu

    Davon abgesehen, bei Firefox gäbe es abvout:support für den Pfad zum Programm.

    In Thunderbird ebenso und wie in Firefox auch dort über das Hilfe-Menü erreichbar („Informationen zur Fehlerbehebung”).

    Zitat von .DeJaVu

    Unter Snap hätte man auch gar keinen Zugriff auf TB, da muss es woanders hin, es gibt einen Hinweis dazu von Sören, der wiederum auf einem SUMO Artikel verweist.

    Der Themenstarter weiß doch bereits, wohin die Datei muss. Der Pfad für Thunderbird ist, wie von Alfredo534 genannt, /etc/thunderbird/policies/policies.json. Also auch vergleichbar zu Firefox, wo es /etc/firefox/policies/policies.json ist. Das ist ein globaler Ort, der für alle Installationen funktioniert. Auch, wenn die Anwendung als Snap installiert ist.

    Zitat von Sören Hentzschel

    Am Beispiel muss man sich nun wirklich nicht aufhängen.

    Ich denke doch, das sind meistens keine willkürlichen Einstellungen. Ich kenne sowas von Firefox, und dann scheitert es an etlichen Seiten. Dahingehend vertraue ich Firefox bei SSL/TLS.

    Und ja, solche "Tipps" kommen fast nur aus der Ecke "privacy-handbuch", was ich hier nicht wirklich dementiert lese ;)

    Unter Mint habe ich bei "System" und Flatpak direkten Zugriff als root (sudo). Snap ist ne andere Baustelle. Die Frage dahingehend hast du mir ja einst beantwortet. Aber: wenn das richtig ist als "globaler Ort", dann sollte es mindestens in Mint funktionieren. Feedback folgt.
    Debian ist hier nicht mehr vorgesehen.

    Was Windows angeht, muss man sich auch erst Zugriff auf \program files\ verschaffen, mindestens UAC. Ab Windows pro sind besser die Gruppenrichtlinien nutzbar, ok, dafür braucht es Zugriff auf c:\Windows\PolicyDefinitions\ und entsprechend die Dateien dafür von Mozilla.

    Snap gibt es hier nicht mehr wegen der gewählten Distribution.

    Frei nach Einstein: „Zwei Dinge sind unendlich, Marketing und die menschliche Gutgläubigkeit, bei einem bin ich mir noch nicht ganz sicher.“

    Meine Glückszahl hier: 98.

    Zitat von .DeJaVu

    Dahingehend vertraue ich Firefox bei SSL/TLS.

    Das darfst du auch tun. Aber mal abgesehen davon, dass es hier um Thunderbird und nicht um Firefox geht: Was ist das Schlimmste, was bei Deaktivierung einer bestimmten kryptographischen Chiffre passieren kann? Ein Server kann vielleicht nicht mehr erreicht werden. Dass das die Ursache ist, erkennt man an der Fehlermeldung und kann das entsprechend auf die Richtlinie zurückführen. Bedenke auch, dass wir hier von Unternehmensrichtlinien sprechen. In Unternehmen gibt es teilweise strenge Sicherheits-Auflagen.

    Zitat von .DeJaVu

    Aber: wenn das richtig ist als "globaler Ort", dann sollte es mindestens in Mint funktionieren.

    Ja, das sollte mit jeder Linux-Distribution und bei jeder Art von Firefox-Installation funktionieren.

    Zitat von .DeJaVu

    Was Windows angeht, muss man sich auch erst Zugriff auf \program files\ verschaffen, mindestens UAC.

    Ja, und? Unternehmensrichtlinien werden üblicherweise vom Administrator des Systems verwaltet. Da gibt es kein Problem.

    Zitat von .DeJaVu

    Ab Windows pro sind besser die Gruppenrichtlinien nutzbar

    Ansichtssache. Ich finde den Umgang mit der Datei policies.json angenehmer, vor allem in Kombination mit meiner Erweiterung Enterprise Policy Generator. Zumal die Datei erstens portabel ist und zweitens den Vorteil hat, auf allen Betriebssystemen zu funktionieren, während GPO nur für Windows existiert. Letztlich ist es für dieses Thema aber auch irrelevant, was wir persönlich angenehmer finden, weil der Themenstarter ohnehin Linux nutzt. Und da ist die Datei policies.json alternativlos. Nur Windows (GPO, Intune) und macOS (plist) bieten noch andere Wege an.

    Ja, bei Linux gibt es leider nur diese Option. Ich nutze beide Varianten unter Windows. Sobald irgendwas mit "Firefox" hier aufschlägt, werden die Gruppenrichtlinien wirksam, ansonsten das JSON, insofern reinkopiert. Hat allerdings andere Inhalte als die Beispiele.

    Ich werde das ausprobieren, was du sagst. Allerdings habe ich im Hinterkopf, dass ich diesen Pfad unter Mint anlegen muss. Der Mint-Rechner ist keine 4 Wochen alt.

    Das mit SSL Restriktionen und Server hatte ich schon mal (in Firefox) und mir 'nen Kipparsch gesucht. Startseite ja, weiter - nö. Deswegen von mir keine Empfehlung.

    Nachtrag. Es soll möglich sein, auch Linux mit Richtlinien zu belegen, allerdings wohl nur über Active Directory und einem Windows Server.

    How to use GPO with Ubuntu
    There are two sets of Ubuntu specific settings in the Group Policy Management Editor: Machine policies:[Policy Name] > Computer Configuration > Policies >…
    documentation.ubuntu.com

    Frei nach Einstein: „Zwei Dinge sind unendlich, Marketing und die menschliche Gutgläubigkeit, bei einem bin ich mir noch nicht ganz sicher.“

    Meine Glückszahl hier: 98.

    Einmal editiert, zuletzt von .DeJaVu (14. März 2026 um 11:46)

    Ist es möglich, CSS-Code per Policies oder anders für alle Nutzer eines Rechners anzulegen? Bisher blende ich das TB-eigene Adressbuch in der Bereiche-Seitenleiste in jedem einzelnen Nutzerprofil per CSS aus, weil CardBook genutzt wird. Das nur einmalig für alle Nutzer anzulegen wäre echt praktisch.

    (Ja, ich weiß, das hier ist das Firefox-Forum. Aber in diesem Thema sind gerade Forumsmitglieder unterwegs, die sich auskennen. Vielleicht mag einer von denen antworten.)