IMAP - Sicherheit und mailbox.org

Die einzigen, die das Problem systematisch adressieren (Verschlüsselung von Mail-Metadaten), scheinen mir Tutanota zu sein. Dadurch brechen sie allerdings die Kompatibilität mit PGP.

Und gilt halt auch nur wen zwischen Tutanota Mails verschickt werden bzw. der Empfänger den Transfer über Browser und Passwort mit macht.

Metadaten hat aber nicht mehr wirklich was mit dem eigentlichen Thema zu tun?

Da gints ja um die „Unsicherheit“ des IMPA/POP Logins

Weil Du eine Kopie im gesendet Ordner ablegst wie es in den Einstellungen standard ist.

Das Problem dabei ist, wenn Du eine Postfachverschlüsselung (wie z.B. bei mailbox) verwendest, ist zwar die Kopie auf dem Server korrekt verschlüsselt, aber die Kopie auf dem clienten nicht.
Weil Thunderbird (wie auch jedes andere Mail Programm im IMAP Betrieb) den Fehler macht (in meinen Augen) einfach eine Kopie zu erstellen, welche, nicht wie die Kopie auf dem Server den Mailserver durchläuft und daraufhin verschlüsselt gespeichert wird, dann unverschlüsselt im Thunderbird Profil vorliegt. Das ändert sich auch nicht beim synchronisieren.
Aufgrund dessen habe ich diese Einstellung die Kopie zu erstellen deaktiviert und setze mich generell in bbc und filtere diese an mich gerichtete Nachricht in den Gesendet Ordner als gelesen aus, damit die Mail auch verschlüsselt im Thunderbirdprofil vorliegt.

Und ich wiederhole es gerne, eine Zwangssignierung der zu versendeten Mails würde das Problem lösen. Kennt jemand so eine Funktion oder weiß ob so was umzusetzen wäre?

2 „Gefällt mir“

Was genau wird denn von dir bei IMAP als „mittlerweile mehr als unsicher“ empfunden? Die Infrastruktur, das Protokoll??

1 „Gefällt mir“

Dieses Argument habe ich komischerweise in letzter Zeit öfter gelesen; auch in anderen Foren. Woher stammt es? Sind da irgendwelche Falschinformationen im Umlauf oder wirbt jemand damit, dass IMAP unsicher sei, um das eigene Produkt zu vermarkten?
Wirkt jedenfalls auf mich sehr merkwürdig!

2 „Gefällt mir“

IMAP (Protokoll) ist altbewährt. Schwachstellen wären den Profiprotagonisten, wie MBO, doch sicherlich längst aufgefallen und sie würden entsprechende Hinweise und/oder Warnungen aussprechen.

Das wäre vlt. mal ein gutes Thema für den MBO-Support.

IMAP ist ja schon immer IMAP, da hat sich in den vergangen Jahren ja nix am Protokoll geändert.
Also kann der Fearness-Factor ja nur daher rühren, dass IMAP kein 2FA unterstützt…Aus besagten Gründen wie es @Maiox dargelegt hat

Ob IMAP nun ein Risikofaktor darstellt, hängt ja stark von der Verwendungsweise ab. Benutze ich es auf unsicheren Geräten oder fremden Rechnern, um meine Mails abzurufen/zu versenden, von denen man nicht weiß, ob sie automatisch meine eingegebenen Zugangsdaten speichern, ist von IMAP abzuraten. Hierfür ist die 2FA die geeignete Login Methode.
Habe ich für IMAP aber ein starkes Passwort, das ich sicher verwahre und bin mir sicher, dass dieses auch beim Login nicht abgegriffen wird, sehe ich kein Problem mit der IMAP (oder auch POP) Abfrage. Eine zusätzliche Sicherheit bietet natürlich eine Verschlüsselung des Rechners, um auch im Falle eines Hardwarediebstahls nicht so einfach Zugriff auf die Daten zu bieten.

Bei Mailboxorg im Forum taucht oft die Forderung nach einem geschützteren Abruf auf (z.B. Neue 2fa Implementierung absehbar? oder Warum ist die Zwei-Faktor-Authentifizierung so unglaublich umständlich und verwirrend aufgebaut? oder Zusätzliche Passwörter für Applikationen oder OTP und 2FA: Bitte auch für IMAP und POP3 und SMTP), verbunden mit dem Ergebnis, dass Mailbox daran arbeitet, eine Implementierung aber nicht absehbar ist.
Insbesondere sehen viele die Möglichkeit, Applikationspasswörter für Mailclients vergeben zu können, als nötigen Schutz für eine sichere IMAP Verwendung.
Peer Heinlein hatte dazu in einem Beitrag, der nicht mehr existiert (warum hier), gesagt, dass dies auf den Mailboxsystemen nicht so einfach umzusetzen ist, um für wirklich mehr Sicherheit zu sorgen und dass es bei anderen Anbietern, die so etwas ermöglichen, oft mehr Schein ist, als wirkliche zusätzliche Sicherheit.

In meinen Augen bietet hier das verschlüsselte Postfach bei Mailboxorg eine gute zusätzliche Sicherheit, da man noch das Passwort für den Guard braucht, um an seine Mails zu kommen. Sieht man nun sein Smartphone als nicht sicheres Gerät an und will man aber trotzdem nicht mit dem Webclient und einem 2FA, sondern über einem Mailclient von unterwegs über IMAP über neu eingegangenen Mails informiert werden, kann man nun seine Mails abrufen, sieht aber nur den Header, kann die verschlüsselte Mail ohne das Guardpasswort aber nicht öffnen. Bleiben natürlich noch die sichtbaren Metadaten und die Möglichkeit Mails zu senden.

Hier nochmal eine Verdeutlichung des Hinweises bei Verwendung eines Mailclients und IMAP von

was er schon einmal in diesem Beitrag angesprochen hat und ich die Problematik erst garnicht verstanden habe.

Habe ich bei Mailboxorg (und vermutlich auch anderen Anbietern) die Postfachverschlüsselung aktiviert und benutze einen Mailclient, anstatt den Webclient, bleiben versendete Mails unverschlüsselt lokal auf dem Rechner, auch wenn sie im „gesendet Ordner“ bei Mailboxorg auf den Servern verschlüsselt sind. Die Mails werden bei einer IMAP Synchronisierung also nicht wirklich vom Mailboxserver heruntergeladen.
Ich denke dies ist besonders für Leute wichtig zu wissen, deren Gerät nicht selber verschlüsselt ist oder bei einem Gerät wie ein Smartphone, dass vielleicht per se als weniger sicher anzusehen ist, als der heimische verschlüsselte PC.
Abhilfe schafft da nur, entweder auf das Versenden von Mails zu verzichten oder der von M-u-m-p-i-t-z beschriebene Weg, die gesendeten Mails in Kopie an sich selbst zu verschicken und nicht in den Gesendet Ordner des Mailclients kopieren zu lassen. Auch nachzulesen bei Mail.de ganz unten im Beitrag, die nur die Verschlüsselung des Posteinganges anbieten.

2 „Gefällt mir“

Danke für das ausführliche Posting, aber die Sache mit den App-Tokens gibt mir Rätsel auf. Ich dachte, das wäre überall gängige Praxis, wo es 2fa gibt. Bei der Nextcloud, aber auch im eher datenschutz-unfreundlichen Mainstream wie bei gmx und web.de - überall gibt’s diese App-Passwörter.

Aber stimmt schon: Wieviel das wirklich an Mehrwert bietet, darüber kann man streiten. Vorteil (so auch auf der Nextcloud-Doku): Sind fest an ein Gerät / eine App gekoppelt und können jederzeit serverseitig invalidiert werden.

Ich habe noch eine Verständnisfrage was das Thema Verschlüsslung meiner Emails „at rest“ betrifft. Die Optionale Verschlüsslung meiner Emails habe ich aus kompiblitätsgründen nicht aktiviert. Bedeutet das, dass meine Emails alle unverschlüsselt auf den Servern von mailbox.org ruhen und theoretisch von jedem Mitarbeiter oder Eindringling gelesen werden können? Das wäre ja dann praktisch bei jedem Email Anbieter der Fall wenn er keine E2E - Verschlüsslung verwendet?

Das ist bei Mails immer der Fall, außer du versendet verschlüsselt. MBO bietet noch die Posteingangsverschlüsselung für unverschlüsselte mails an. Theoretisch könnten die die Mails aber noch beim Eingang lesen, dafür liegen die aber dann verschlüsselt im Postfach.

Ich bin mir nicht sicher, ob ich mich richtig ausdrücke. Also mal ein Beispiel: Ich habe meinem Anwalt heute eine nicht verschlüsselte Email mit Anhang geschickt. Kann nachträglich jetzt ein Mitarbeiter von Mailbox oder ein Angreifer ohne mein Account Passwort diese Email lesen wenn sie auf den Servern von mailbox.org gespeichert ist?

Ja, rein technisch könnte das jemand mit entsprechender Berechtigung zum Zugriff auf die Mailboxen bzw. deren Verzeichnisse machen. Das ist aber bei jedem Provider mit vergleichbares Angebot der Fall.

Außer bei E2E verschlüsselten Angeboten? (Bsp. Proton)

Du kannst bei mailbox.org auch E2E nutzen.

1 „Gefällt mir“

Bei allen Angeboten, die deine E-Mails komplett verschlüsselt ablegen und dabei auch den Send-Ordner inkludieren.
Das muss also nicht zwangsläufig einer der E2E-Anbieter sein und kann auch über Hinterlegung des eigenen PGP-Key realisiert sein.

In der Praxis sollte man immer im Hinterkopf haben, dass die eigene Mailbox nur die eine Seite ist.
Da kann man selbst viel Aufwand betreiben und die Gegenstelle hat es dann einfach im FTP-Verzeichnis des Shared-Hosting-Paketes liegen weil es im Preis enthalten war. Sowohl bei RAs wie auch Steuerberatern oft gesehen. Oder es wird direkt oder indirekt in ein O365-System oder ähnliches eingespeist :wink:

1 „Gefällt mir“

Du meinst indem ich alles PGP verschlüssle? Dadurch funktioniert aber IMAP nicht mehr bei mailbox.org?

Kommuniziert mailbox.org ob die Daten „at rest“ verschlüsselt werden? Ich hab dazu nichts gefunden.
Mir erscheint es schlauer die Daten direkt konsequent E2E zu verschlüssel bevor sie auf den Mailservern gespeichert werden (ich meine damit wieder Proton).

(Ich weiß, dass die Gegenseite auch vernünftig mit den Daten umgehen muss.)

Das kommt doch letztlich auf das gleiche heraus. Meine E-Mails werden bei Eingang und Ausgang mit meinem PGP-Key verschlüsselt. Dann benötige ich einen entsprechenden Client, z.B. Thunderbird mit meinem Key um die zu lesen.
Wenn ich Protonmail wähle, brauche ich den Protonmail-Client. D.h. einen entsprechend mit meinem Key ausgestatteten Mailclient.

1 „Gefällt mir“

Naja, das eine ist „basteln“ beim anderen lade ich eine App aus dem store (die es auch bald für Mac gibt, bzw. schon in der Beta ist).