Ist @secure.mailbox.org – wirklich secure?

duda · 1. Februar 2024 um 01:34

Weil ich Peer Heinlein kenne.

Weiter oben wurde (von mir) erklärt, warum, wieso, weshalb es aktuell (noch) keine klare Antwort gibt. Übt doch bitte mal ein wenig Geduld!

Reine Mutmaßung (Spekulation)!

ToKu · 1. Februar 2024 um 07:48

Peer Heinlein ist zur Zeit einfach im Urlaub.

towaco · 1. Februar 2024 um 12:51

Ich dachte, dass mailbox.org kein Ein-Mann-Laden ist, oder kann generell nur er das prüfen?

Joachim · 1. Februar 2024 um 14:22

hier wird sende- und empfangsseitig immer wieder durcheinander geworfen. secure.mailbox.org verwendet sendeseitig kein SMTP-DANE oder vielleicht nur in Expertenkonfiguration dane-only (dann wird aber nur noch an Empfänger mit SMTP-DANE gesendet, und das sind abseits von United Internet relativ wenig Nutzer). Empfangsseitig ist secure.mailbox.org identisch mit mailbox.org.

duda · 1. Februar 2024 um 17:38

Auch ein Peer Heinlein darf mal Urlaub machen!

Natürlich nicht. Aber es macht Sinn den SEO (der übers Jahr sehr viele Vorträge zum Thema hält) zu fragen.

Hierzu sollte vlt. noch Erwähnung finden, dass das eigene und nicht das Postfach des Gegenüber gemeint ist.

ToKu · 1. Februar 2024 um 18:32

Das sehe ich nicht anders, denke auch wohlverdient und hoffe, dass er auch erholsam ist.

sambapati · 26. Februar 2024 um 13:28

Das ist sicherlich unbestritten…
Stand heute wurde dieser Thread vor 43 Tagen eröffnet und Herr Heinlein sagte in seiner Antwort „Das Team schaut da mal drauf.“
Vor 27 Tagen verabschiedete sich Herr Heinlein dann in den Urlaub…
Leider gibt es bis heute keinerlei Reaktion mehr von mailbox.org. Ich finde es schade das man diesem Thema seitens mailbox.org nicht die wünschenswerte Aufmerksamkeit schenkt.

bleifrei · 26. Februar 2024 um 13:39

Vielleicht ist es untergegangen, weil es „nur“ im Forum gepostet wurde und er dann im Urlaub war? Meine Idee wäre, dass man da noch einmal nachfragt im Forum.
Mag das jemand übernehmen, da ich dort im Forum nicht registriert bin?

Nichtsdestotrotz ist es nicht so schön, da es etwas ist, was die nötige Aufmerksamkeit verdient.

Nachtrag/Edit:
@Joachim Ich sah, dass Posteo auch so etwas anbietet. Ist nach meiner Einschätzung das Gleiche, nur nennt sich anders:

Wenn Sie möchten, können Sie zusätzlich unsere TLS-Versand-Garantie aktivieren: Kann ein E-Mailserver keine verschlüsselte Verbindung aufbauen, versenden wir Ihre E-Mail dann garantiert nicht - und benachrichtigen Sie per E-Mail.

Quelle: https://posteo.de/site/verschluesselung#transportweg

Weitere Infos:
https://posteo.de/hilfe/tls-versand-garantie-aktivieren
https://posteo.de/hilfe/tls-empfangs-garantie-aktivieren

Damit müsste es doch die gleichen Probleme wie bei „secure.mailbox.org“ geben oder irre ich mich hier?

Joachim · 27. Februar 2024 um 17:38

Ich habe keinen Benutzer bei Postfix, und ob und was die Tester konkret eingestellt haben weiß ich leider nicht. Anscheinend verwendet Posteo auch einen Postfix, inzwischen mit dane, aber nach den mir vorliegenden Tests wohl nicht wenn Verschlüssel erzwungen wird.
Darf gerne mal jemand konsequent durchtesten… mit dem ggfs. auch von Mailbox.org bekannten Problem, dass mein Tester zwar Domänen und mit Konfiguration auch Server auseinanderhalten kann, benutzerspezifische Einstellungen aber nicht.

duda · 3. März 2024 um 11:45

Unschön, aber das Thema wird wohl „untergegangen“ sein.
Nicht vergessen; MBO ist kein Großkonzern, wo sich komplette Abteilungen oder ganze Teams um bestimmte Problematiken kümmern können (dürfen).

Falls es hilft:
Bei den diesjährigen Chemnitzer Linux-Tagen werde ich voraussichtlich Peer Heinlein treffen können. Peer wird am Sonntag (17.03.24) einen Vortrag halten, den ich gerne besuchen möchte. Sollten wir abseits vom Vortrag ins Gepräch kommen können, werde ich Peer gerne direkt darauf ansprechen. Und mit @Joachim kann ich mich vorab noch mal kurzschließen.

towaco · 11. März 2024 um 18:43

Untergegangen… Ich denke eher, dass es keine Prio hat.

OpenTalk ist die CashCow - da ist mailbox.org erstmal egal.

sambapati · 11. März 2024 um 19:52

Mittlerweile hat schon jemand nachgefragt. Ist mittlerweile aber auch schon wieder 8 Tage her. Antwort? Fehlanzeige.

Die hier im Raum stehende Vermutung zu überprüfern und zu kommentieren erfordert nach meiner Einschätzung für die Profis bei mailbox.org keinen großen Zeitaufwand. Im Forum von mailbox.org ist die Frage „Ist @secure.mailbox.org – wirklich secure?“ jetzt seit insgesamt 57 Tagen unbeantwortet. Ich denke mal man wird
a) versuchen das Thema einfach auszusitzen.
oder aber
b) man weiß schon das die Testergebnisse von @Joachim stimmen und arbeiten an einer Lösung?

bleifrei · 12. März 2024 um 12:44

Ja, finde ich auch sehr schade! Denn Kommunikation ist mMn das A und O; gerade bei Unternehmen.
Allerdings sah ich, dass die Frage den Tag „beantwortet“ trägt. Ich weiß gerade aber nicht, ob es schon vorher so war?!

Vielleicht erfährt ja @duda mehr.

sambapati · 18. März 2024 um 11:39

Bin mal neugierig. Hattest Du Gelegenheit mit Herrn Heinlein zu diesem Thema zu sprechen?

duda · 24. März 2024 um 12:35

Nein, leider nicht. Deshalb ist das Thema aber nicht vom Tisch!

Wenngleich die Hintergründe noch nicht näher beleuchtet werden konnten, gibt es aus Anbietersicht selbstverständlich gute Gründe, warum es so ist wie es ist.

sambapati · 24. März 2024 um 14:36

Wie schon eingangs erwähnt bin ich immer noch ein zufriedener Kunde bei mailbox.org und würde nur zu gern gern glauben das "es aus Anbietersicht „selbstverständlich“ gute Gründe gibt, warum es so ist wie es ist.

…aber glauben heißt eben nicht wissen…

Wenn es dann gute Gründe gibt, warum beantwortet das Team von mailbox.org nicht einfach die Fragen im eigenen Forum? Es gibt doch auch gute Gründe offen mit seinen Kunden zu kommunizieren und ggf. auch zu diskutieren.
Da genau dies nicht passiert ist für mich ein Indikator dafür, dass es es eben keine „selbstverständlich guten Gründe“ gibt und man eben deshalb unliebsamen Diskussionen ausweichen möchte.

duda · 24. März 2024 um 15:09

Doch, die gibt es definitiv.

Das mag ein Stück weit zutreffend sein. Es gibt aber aktuell (leider) für MBO viel wichtigere Themen (bspw. „NIS2“).

ToKu · 28. Oktober 2024 um 21:46

Ich weiß nicht, wie lange es diese Einstellungen gibt, aber in den Mailbox.org Einstellungen unter mailbox.org >E-Mail>Verschlüsselter Versand gibt es unter >Einschalten mit Profi-Einstellungen die Auswahl zwischen encrypt, dane-only und verify. In der Mailboxhilfe sind die Erläuterungen dazu zu finden.

encrypt: Die Mail muß mindestens ganz normal mit SSL/TLS-verschlüsselt sein. Lediglich normale Plaintext-Übertragungen sind verboten.

dane-only: Eine einfache SSL/TLS-Verbindung reicht nicht aus, das SSL-Zertifikat der Gegenstelle muß mittels DANE verifizierbar sein.

verify: Versendet E-Mails nur an die Provider, deren SSL-Zertifikat wir besonders gespeichert haben.

Joachim · 29. Oktober 2024 um 08:50

das entspricht bei encrypt und dane-only der Postfix-Doku. Bei verify stimmt es nicht. Wirklich geeignet ist keine alleine, weil immer ein Empfänger aus der Reihe tanzt.
Sinnvoller wäre die Einstellung dane (hängt vom Resolver ab), aber die wird nicht angeboten.