Em-Client unter iOS: Werden die Zugangsdaten für Push-Mail gespeichert?

Hi all,

mein Anliegen wäre eigentlich was für Mike Kuketz, aber der hat derzeit Besseres/Schöneres zu tun. Gratulation zum Nachwuchs und gute Entscheidung sich nun der Familie zu widmen.

Deswegen meine Frage an Alle, die mir vielleicht auch weiterhelfen könnten:

em-client unter iOS

Wenn man da push-mail einschalten möchte, muß man, da das iOS dies Dritt-Mail-clients das nicht gestattet, einen Umweg über den Server von em-client gehen. Zu diesem Zweck muß man seine Zugangsdaten (!) auf deren Server hinterlegen. Das ist mir hochgradig suspekt, selbst, wenn die folks von em-client top-seriös sein sollten.

Sie begründen das damit, daß Apple nur seinem eigenen iOS-Client diese Funktionalität bereitstellt, es bei Anderen nicht zuläßt. Ja, das ist ein Grund. Aber vielleicht kein Grund em-client mit push unter iOS zu nutzen?

Wie sie das tun, ist hier beschrieben:
https://www.emclient.com/push-notifications

Dort steht unter Anderem:

Die Weitergabe Ihrer Anmeldedaten für Ihre Konten ist natürlich ein Risiko, aber wenn Sie nicht gerade eine Mail-App Ihres eigenen E-Mail-Konto-Anbieters verwenden, ist dies die einzige Möglichkeit, um sicherzustellen, dass die Benachrichtigungen funktionieren, und fast alle anderen Mail-Apps verwenden diese Benachrichtigungen auf dieselbe Weise.
Wir nehmen die Sicherheit dieser Aufgabe sehr ernst und freuen uns, Ihnen bestätigen zu können, dass Ihre Daten absolut sicher sind, da sie speicherintern gespeichert werden. Sie können nicht aus einer Serverdatenbank, aus Protokollen oder aus einem Dateispeicher abgerufen werden - das heißt, selbst wenn sich jemand Zugang zu unserem Server verschaffen würde, wäre er nicht in der Lage, diese Daten ausfindig zu machen, da sie sich nur im Arbeitsspeicher befinden.

Berufen wird sich auf ein „Google-Sicherheitsaudit“.

Wunderbar beruhigend für jemand mit Obrigkeitsliebe. Papa Google hat gesagt „alles in Ordnung“.

Ich würde aber gerne mal von jemanden, der sich mit sowas professionell auskennt, beurteilt haben, ob man den Service von em-client guten Gewissens benutzen kann.

Und, um es noch ein wenig ausführlicher zu machen: Ließe man die push-Benachrichtigungen weg - was ich gemacht habe - bin ich ich dann safe?

Ich hoffe irgendein Kundiger kann hier Licht ins Dunkel werfen. Meine Fähigkeiten erschöpfen sich damit, hier vielleicht eine Situation identifiziert zu haben, die potentiell kritisch ist.

Ich habe einige Recherche betrieben, aber konnte nirgends eine befriedigende Antwort finden.

Beide Antworten vom em-Client support habe ich ganz unten eingefügt.

Anscheinend werden meine credentials auch an einen firebase-server weitergereicht. Aus meiner Warte geistern die also irgendwo herum.

Oder muß ich mir eigentlich keine Sorgen machen? Mir ist klar, was das Medium email ist und ich verwende es in diesem Bewußtsein. Trotzdem ist mir das Ganze unheimlich und ich würde gerne es gerne besser einordnen können, so wie ich es könnte, wenn ein Mike sich dessen angenommen hätte.

Vielen Dank an Alle, die sich die Mühe machen, das mal anzusehen. Ich verstehe leider viel zu wenig davon.

cheers
jansemann

2. qualifizierte Antwort:

I totally understand your concerns but that’s why the Push notifications are disabled by default. This functionality requires a user action to be enabled.
Once you disable Push notifications in your mobile app, let me know and I’ll doublecheck if the records were removed from the Firebase server.

Thank you in advance.

Best regards,

1. qualifizierte Antwort:

Thank you for sharing your concerns. I am truly sorry to see that my colleague Karolina failed to deliver a triple A service and did not provide the information you requested.

I will try to answer in points below:

1. I am sure this may be a misunderstanding to some extent, as we never read your data and the credentials are only used for the Push notification service. This is explained in more detail at https://www.emclient.com/push-notifications
2. Also, the detailed explanation of what data are processed can be found in our TaC at https://www.emclient.com/terms-of-use and in the Privacy policy: https://www.emclient.com/privacy-policy

Mainly:
We process the following personal data provided directly by you or third parties, collected from you or resulting from your activities when using the Services:Information You Give Us. This includes:

• your name, postal address, country of your residence and e-mail which you provide when you purchase a Personal License for the Application;
• your name, name of the organization or company you represent, e-mail, postal address, city and country of the registered seat of the organization or the company, when you purchase the Software under a Business License model;
• your name, country of your residence and e-mail which you provide when you register for a Free License for the Application using the Site;
• your username, password and e-mail when you register to the discussion forum on the Site;
• the personal data that may be contained in any video, comment or other submissions you upload or post on the customer forum on the Site;
• the personal data you provide in connection with our promotions we run on the Services;
• the personal data you provide when you report a problem with our Services or when we provide you with customer support on our customer forum or our VIP technical support;
• the personal data you provide when you make a purchase through our Services;
• the personal data you provide when you communicate with us by phone, email or otherwise
• the unique identifier calculated from your hardware configuration we use for validating of your license to use the Application;
• the primary e-mail address set up and synchronized within the Application. This primary e-mail address is used for identification of the computer to allow advanced services such as Server settings feature offered in our License manager. This information can also be used for verification of the use of the Application in accordance with the selected license model.Information You Never Give Us. Our Application allows users to set up accounts to online services such as Google Workspace, iCloud, Office365 and other services. For its operation, it needs to cache some of this data content on your own device. However, with the sole exception specified below the Company never retrieves and has no access to the content of your emails. This includes e-mails, calendars, tasks, notes, contacts and chat messages.The optional „push notifications“ feature on the mobile version of the Application requires a certain set of personal data in order to work properly. This includes your e-mail address, encrypted login and password or a special authorization token generated with your account, subject (header) of the received e-mail message and e-mail address of its sender to be delivered and displayed on your mobile device.
  For more information about the security and processing of your data when using push notifications feature activated on the mobile version of the Application, please visit https://www.emclient.com/push-notifications

4. Please let me know should you need any further clarification and I will happily provide it.

Best regards,

AFAIK haben sämtliche Mailclients für iOS mit denselben Restriktionen für Push zu kämpfen. Aus diesem und aus anderen Gründen lebe ich seit einiger Zeit ganz gut mit einem Workaround: Badge-Notifications bekomme ich über die hauseigene Mail-App von Apple (alle anderen Benachrichtigungsformen finde ich eher nervig), doch beantworte ich Mails fast immer in der App Preside. Schon aus dem Grund, dass man dort auf Wunsch konsequent alles in Plain Text geliefert bekommt. Bei Apples App kannst Du HTML-Mails nicht einmal per Dynamic Type vergrößern (die systemweite Skalierungsfunktion), von der verbesserten Sicherheit durch die reine Textdarstellung ganz abgesehen.

Zu eM im Speziellen kann ich wenig sagen, aber die scheinen mir immer noch vertrauenswürdiger als Sparkmail usf.

Das verstößt m.E. regelmäßig gegen die Verpflichtung aus dem Vertrag mit dem Email-TK-Anbieter, diese Zugangsdaten geheimzuhalten (u.a. bei Telekom, United Internet, bestimmt auch anderen).

Apple-Restriktionen:

Ja, das ist richtig, es haben alle Anbieter mit den Restriktionen seitens apple zu kämpfen.

Alledings will ich nur einschätzen, welche „Runde“ meine credentials irgendwo im Netz machen. Die gebe ich ja sonst niemandem. Ich kann das Risiko nicht richtig beziffern, darum geht es mir.

nicht legal:

Ja, auch das ist vermutlich richtig. Aber wo kein Kläger, da kein Richter, wie so oft im Internet. MIr geht es auch nicht so sehr um die Legalität.

Mit geht es um die Bezifferung des Risiko, das ich hier partout nicht einschätzen kann. Vorsichtshalber habe ich nun keine Mail-Adresse auf push. push wäre aber für die job-Mail schon praktisch.

Ist es sicherheitsmäßig vertretbar, was eM-Client mit meinen credentials macht? Die von eM sagen natürlich hier „in Ordnung“, aber auch sie sprechen von einem Risiko.

Wie groß ist denn das Risiko? Das ist das, was mich beschäftigt.

Du musst dem Anbieter vertrauen, dass er kein „Schindluder“ mit Deinen Credentials und den durch seine Systeme abgefragten Mailbox-Daten treibt.

Ich nutze emClient am iPhone und iPad aber ohne Push-Funktion. Mir ist nicht wohl dabei den Zugang zu meinem Mailaccount einer Dritt-Firma offen zu legen.

Wie @nick habe ich meine Mailbox aber auch in Apples Mail App eingebunden und erhalte darüber die Informationen zu neu eingegangenen Emails. Die bei mir PGP-verschlüsselten Inhalte werden dann aber im emClient gelesen und beantwortet.

Ich habe noch mal eingehender recherchiert und möchte Interessierten das Ergebnis mitteilen:

Mit deaktiviertem Push ist der serverseitige Zugriffspfad von eM Client auf das Postfach inaktiv. Das veröffentlichte CASA-/Google-Audit betrifft funktional nur den Push-Dienst. Ohne Push verbleibt der Datenfluss zwischen Endgerät und eigenem Mailserver.

Kernpunkte zur Einordnung:

Der Push-Mechanismus von eM Client iOS basiert technisch darauf, dass ein eM-Client-Server mit hinterlegten Zugangsdaten oder Autorisierungstokens das Postfach überwacht und bei neuen Nachrichten Metadaten an Firebase übermittelt, von wo aus die Push-Benachrichtigung an das Gerät ausgelöst wird.

Übermittelt werden dabei nicht nur technische Signale, sondern explizit Metadaten wie Absender, Betreff, Zeitstempel und optional eine Vorschau des Inhalts. Diese Informationen verlassen damit den Mailanbieter und werden über Google-Infrastruktur verarbeitet. Der Metadatenabfluss an Dritte ist sicherheits- und datenschutzrechtlich mindestens so relevant wie das Hinterlegen von Zugangsdaten auf einem externen Server.

Die Aussage, Zugangsdaten würden nur im Arbeitsspeicher gehalten, reduziert das Risiko gegenüber persistenter Speicherung, eliminiert es aber nicht. Ein Dienst, der sich aktiv am Mailserver authentisiert, muss Secrets im laufenden Prozess vorhalten. Jeder erfolgreiche Zugriff auf den Prozessspeicher ermöglicht grundsätzlich auch den Zugriff auf diese Daten.

Das auf der eM-Client-Webseite verlinkte Google-CASA-Sicherheitsaudit war zeitlich befristet und ist abgelaufen. Unabhängig davon stellt ein solches Attest keine Garantie für Risikofreiheit dar, sondern eine punktuelle Prüfung gegen definierte Anforderungen.

Konsequenz:

Ohne aktivierten Push entfällt der gesamte Serverpfad inklusive Credential-Delegation und Firebase-Kette. Der verbleibende Vertrauensbereich beschränkt sich auf den eigenen Mailanbieter, das Endgerät und den lokalen Mailclient.

Mit aktiviertem Push wird eine zusätzliche dritte Infrastrukturpartei in den Datenfluss eingeführt, einschließlich Übermittlung von Metadaten an Google-Dienste und der Notwendigkeit, Zugangsdaten oder Tokens extern zu hinterlegen. Das ist die sicherheitsrelevante Trennlinie.