weil ich mich zuletzt mit dem Thema MS365 OAuth2 und Blockierung der LegacyAuth wie IMAP und POP beschäftigt habe, tauchen nun im Zusammenhang mit Mailbox.org einige Fragen auf.
Mailbox wird ja immer empfohlen und ist bzw. soll beim Thema Sicherheit vorn mitspielen, ich nutze es selbst, frage mich nun jedoch, warum noch die alten Protkolle wie IMAP verwendet werden? Ich empfinde IMAP mittlerweile mehr als unsicher und würde gerne darauf verzichten. Allerdings scheint es so zu sein, dass ich zumindest bei MB dann ausschließlich auf Web setzen müsste, korrekt?
Hallo
Mmh, bei der These „IMAP ist veraltet“ musste ich erstmal eine Suchmaschine anwerfen, weil ich das gar nicht glauben konnte.
Gefunden habe ich JMAP. Spielst du darauf an?
Der ganze techn. Teil ist mir zu kompliziert, schaue ich allein auf die erwähnten Jahreszahlen und die Formulierungen in dem Wiki-Eintrag dann liest sich das für mich noch (sehr) experimentell und techn. unausgereift.
Und selbst wenn es nicht mehr im Post-Alpha/Pre-Beta Stadium (or whatever) wäre, die Implementierung in ein bestehendes Ökosystem ist dann ja mindestens nochmal eine ganze eigene Sache.
Und dann muss ja die Kommunikation mit anderen Anbietern auch funktionieren, sprich, nur weil ich es einbaue heißt das ja nicht das mit der Kommunikation mit anderen dann auch funktioniert.
Und bei mailbox.org kommt dann (hoffentlich!, so viel Vertrauen bringen ich denen entgegen) ja noch die zusätzliche „Härtung“ ihrer Infrastruktur dazu bevor es für die Masse ausgerollt wird.
Kennst du einen Anbieter der das schon einsetzt?
Aus meiner Sicht mag das die Zukunft in der E-Mail Kommunikation sein, aber bis das in der Breite umgesetzt ist, wird noch einiges Wasser durch den Rhein müssen.
Deswegen wundert es mich, warum man das Login-Verfahren noch nicht verbessert hat und CLients immernoch auf IMAP setzen. Da ist MS tatsächlich etwas weiter…
Verstehe ich dich richtig, dass du bei jedes mal, wenn du Mails abrufen möchtest, einen 2FA eingeben möchtest?
Könnte mehr Sicherheit bieten, aber ich vertraue da auf ein viel stelliges Kennwort.
Der Text enthält ausschließlich SEO-optimierte Floskeln und würde einem MS-IM oder IM eines abhängigen Beratungshaus gut gefallen
GAFAM-FUD nennt man das meiner Erinnerung nach. Da lohnt es die Energie nicht. Bedauerlich ist nur, das es bei der DE-IT gut ankommt.
Mittlerweile kommt OAuth vorwiegend in der Version 2.0 zum Einsatz, die in Bezug auf Sicherheit deutliche Fortschritte bringt. Doch die geschilderte Phishing-Problematik schafft es leider nicht aus der Welt
Mir gehts grundsätzlich einfach um die Einfachheit, dass sich ein potenzieller Angreifer mit Kenntniss der Logindaten, ohne Wissen des Betroffenen, Zugriff auf Mails beschaffen kann und das im Hintergrund.
Und wie willst du dich ohne Kenntnis der Logindaten einloggen?
Auch oAuth arbeitet mit Logindaten, die Übergabe dieser erfolgt halt über eine API anstelle eines Formulars.
Soweit ich sehe, hat mailbox.org in den letzten Wochen die Software OX-Exchange endlich auf die aktuelle Version 7.10.6 gehievt. Und sie sind dabei, die 2FA einzubinden. Auf welche Weise ist mir grad unklar; was geht, kann man in der Dokumentation schon mal nachlesen. Weiteres sollte vielleicht dort bei mailbox.org diskutiert werden. Das gilt auch für Feature Request wie von dir Eingangs formuliert: „individuelles Abschalten von IMAP/SMTP und nur Web“
Onetime-Passwort z.B. erhöht den Aufwand und schränkt ein paar Dinge ein (gleichzeitiges Öffen im Webbrowser, keine Clients, Hintergrund-Mailabholen mehr usw. (Hier würden Anwendungspassworte helfen, die die Software seit Version 7.10.4 kann; soweit ich weiß, ist mailbox.org dabei, dass einzubauen/aktivieren; im zuvor genannten Link dazu ist auch auf die Komplexität hingewiesen)
2FA benötigt andere Instanzen, die widerrum angreifbar sind.
Was sicherlich fehlt bei mailbox.org ist die Listung der letzten Logins, was aber dem ursprünglichen Privacy widerspricht, dem individuellen User aber helfen würden. (Dieser Widerspruch ist spannendes Thema für eigenen Thread
Technisches zu OX-Echange kurz geschaut:
Software-Details für Multifactor Authentication sind beschrieben, auch die Nachteile, dass nämlich die Clients das Problem sind, da diese das Verfahren nicht können: "
Wenn ein Benutzer die Multifaktor-Authentifizierung für sein Konto aktiviert, sind seine Anmeldungen auf die Appsuite-Benutzeroberfläche beschränkt, da die Client-Anwendungen (Mail-App, Drive-App, Exchange Active Sync) derzeit nicht über die Schnittstelle zur Durchführung der zusätzlichen Multifaktor-Anforderungen verfügen.
Damit ist dann wohl auch IMAP deaktiviert.
Seit 7.10.4 sind für IMAP-Monitoring Verbesserungen eingeführt
Ansonsten: MS macht da grad was und wirbt um geile Lösungen ala MS365. mailbox.org und andere gucken sich das an und überlegen genau, wie sie da was einbauen. Letztere bevorzuge ich, weil ich auch weiß, dass man an einem laufenden System nicht einfach dann rumfummelt und nachbessert (das, was MS nämlich macht). Es dauert also länger, schafft aber echte Sicherheit auf beiden Seiten. Feature Request sind sicherlich gerne gesehen bei mailbox.org u.a., denn dadurch werden Signale des Bedarfs gemeldet. Und je mehr Signale, desto eher sicherlich auch mehr Budget
Wer seine Mails alle verschlüsselt auf dem Mailserver speichert und die dafür nötigen Schlüssel nur dem client zur Verfügung stellt, ist dann eine weitere Sicherheitsmaßnahme bein Abrufen der Daten vom Server nicht völlig unnötig, da die Daten für alle anderen unbrauchbar sind?
sehr spezielle Sicht und nur für eine Seite, bezogen auf bestehende „Daten für alle anderen unbrauchbar“, annehmbar. Ergänzung: Meta-Daten sind da ja noch sichtbar.
Bleibt dann noch die Möglichkeit des Versendens die möglich ist …
Für das Meta Daten Problem ein Tor node für den Verbindungsaufbau wählen ?
Jemand nutzt mein Postfach zum versenden. Das würde ich aber doch sehr schnell mit bekommen wenn der outgoing Ordner überläuft.
Ich habe es leider nicht auf dem Schirm, aber besteht nicht die Möglichkeit eine Signierung zu erzwingen?
Wenn der Schlüssel zum signieren und der zum verschlüsseln zwei unterschiedliche sind, wäre das Problem auch bewältigt.
Den Mißbrauch erkennt man leider nicht unbedingt am Ausgangsordner.
Ob eine versendete Mail dort landet ist Sache des Clients. Während Thunderbird das macht, wird es eine Software für Spammer eher nicht machen.
Mein Thunderbird macht es auch nicht, ich setze mich selbst in bbc und habe eine Filterregel das diese an mich gesendete Nachricht gelesen in dem gesendet Ordner landet.
Hintergrund, nur so ist das gesamte Postfach inklusive der lokalen Mails bei Mailbox verschlüsselt, wenn man zwei verschiedene clients benutzt. Ansonsten bleiben die Mails auf dem client der sie versendet unverschlüsselt.
Sehr seltsames Problem, habe ich aber nachweisen können.
Also müsste ich warten bis mich der Provider anspricht das mein Konto für Spam missbraucht wird.
Schade, das man so etwas wie eine Zwangssignierung Serverseitig nicht erzwingen kann.
Dann könnten nur die clients mit Schlüssel auch wirklich Mails versenden:
