Mailbox.org: Sind Anti-Spoofing-Maßnahmen sicher genug?

Hallo Forum,
zur Zeit überlege ich, mir einen neuen Mailanbieter zu suchen. Das Postfach soll zudem mit einer eigenen E-Mail Domäne erweitert werden.

In die engere Auswahl kamen dabei z.B. Mailbox und Posteo. Nun wollte ich Mailbox meinen Segen geben. Bis ich von evtl. nicht ausreichender Sicherheit dieses Anbieters im Zusammenspiel mit der eigenen Domain gelesen habe. Technisch kann ich die Sicherheitskonzepte SPF, DKIM und DMARC leider nicht bewerten und habe nicht wirklich Kenntnis, wie kritisch diese „Sicherheitslücke“ ist. Was ich meine verstanden zu haben: Ein anderer Mailbox.org-Nutzer könnte theoretisch Identitätsdiebstahl begehen und eine E-Mail mit meinem Domain-Namen/Email-Adresse verfassen.

Über die Suchfunktion fand ich heraus, dass die Thematik in einem anderen Forum aktuell auch erwähnt wird.

Mailbox liefert zur Einrichtung einer eigenen Domäne diese Anleitung (und die englische Version).

Mit Blick darauf, dass hier Mailbox.org des Öfteren empfohlen wird und unter der Voraussetzung, dass ich mich an obige Anleitung halte: Kann hier jemand mal kommentieren, wie sicher eine eigene Domain + Mailbox zur Zeit ist?

Schönen Dank und Gruß

1 „Gefällt mir“

wenn ich Deine Links richtig verstanden habe, dann handet es nicht um ein SPF, DKIM oder DMARC Problem, sondern um ein Berechtigungsproblem, konkret, dass nicht berechtigte andere Benutzer (auch) für Deine Domäne Mails einliefern dürfen. Das kann man mit SPF, DKIM oder DMARC dann nicht mehr gerade ziehen, denn natürlich sind die sendenen Server bei mailbox nur begrenzt viele und damit SPF-Records gleich, den privaten DKIM-Schlüssel muss mailbox kennen sonst könnten sie nicht signieren.

Ich habe gerade versucht, das mit meinem Postfix (hat auch mehrere Domänen) zu reproduzieren, und ich bekomme eine Fehlermeldung im Log (leider nicht in Outlook). Allerdings gibt es ganz viele Kombinationen von envolope-from, header-from und header-sender, die ich nicht alle durchgetestet habe, und aus dem Bericht geht nicht hervor, was genau getestet wurde. Auch meinem Postfix reicht es, wenn envelope-from und header-sender übereinstimmen, dann darf header-from auch von einer anderen Domäne sein.

1 „Gefällt mir“

Das war traditionell bei Mailservern so.
Bist bei nen Freund zu besuch, da willste doch mit deiner E-Mail-Adresse schicken können.
Ebentso wie Briefpost, ich schreibe meinen Absender in München drauf und werf das bei meinem Freund in Hamburg ein.
So die Denke zur Anfangszeit und dann kam Der SPAM.
Mailbox.org kommt aus der Zeit, hat Sachen seitdem angepasst und abgesichert. Ich tät hoffen, es komme noch mehr. Wurde angekündigt und wurde gesagt, Umstellung schwer weil Firmen bestimmt/e Absendemethoden brauchen.

Nur wer macht heut noch so offen ein System wie die?
Gwiss ist das praktisch für uns Anwender. TB, FF, Fairemail, alles geht.
Bei Proton und Tuta geht NUR deren SW.

sehe gerade meinen Fehler: es müsste header-from heißen - oben korrigiert.
Und nein, die Prüfungen waren früher noch laxer, und dass header-from eine andere Domäne sein darf finde ich nicht richtig, aber immerhin kann der Empfänger das sehen.

Remove Mailbox.org

… ist eine ziemlich heftige Schlagzeile, die man so (Unkenntnis der näheren Umstände vorausgesetzt) wohl eher der „BILD“ zuordnen würde.

MBO ist in den rund 10 Jahren seines Bestehens auf eine beachtliche Größe gewachsen. Nachvollziehbar, dass hierbei auch der Kundenstamm entsprechend gewachsen ist. In der Breite muss MBO allen Wünschen und Bedürfnissen seiner Kunden bestmöglich gerecht werden, was oft nicht ganz so einfach sein dürfte. Auch nachvollziehbar, oder?!

Ja, aber Spoofing nicht zu verhindern geht gar nicht. Oder nur unter Freunden :wink:

Was mich stört, ist das Kommunikationsverhalten und Reaktionszeit auf technische Probleme von Mailbox.org.

  • Das Problem wurde vor 8 Jahren (2016-07-24) gemeldet.

  • Nach 4 Jahren (2020-04-12) kommt eine Antwort.

    Right now, we’re on the way to stop this

    Hopefully next weeks we’ll be able to switch from warn- to reject mode.

  • Nach weiteren 2 Jahren (2022-02-16):

    We have created an internal team in order to approach this issue.
    Please bear with us.

  • Vor 23 Monaten (2022-09-08):

    We already have taken measures internally and came up with a plan to remedy this.

    In addition we have scheduled a meeting next week where we will discuss further steps.

    We’ll keep you posted on the outcome.

    We want to fix this quickly.

  • Vor 14 Monaten (2023-06-28):

    Just to let you know, it’s definitely on our radar, but it needs careful planning and thorough checking of all security aspects.

    Rest assured, we’re committed to this and grateful for your continued support and understanding.

Danke fürs Testen. Ich kann den Sachverhalt technisch wie gesagt nicht genau beurteilen. Es gibt in den obigen verlinkten Beiträgen jedoch eine Reihe von Usern, die das dem Anschein nach können und besorgt sind.

Das „Remove Mailbox.org“ bezieht sich auf das Entfernen aus ihren Empfehlungen, nicht die Auflösung des Unternehmens :wink: .

1 „Gefällt mir“

Gute Zusammenstellung. Da haben sie es schwarz-weiss. Sie brauchen einfach zu lange! Und versprechen zu viel.

1 „Gefällt mir“

Habe ich gerade getestet und wurde prompt vom Mail-Server abgewiesen:

Senden der Nachricht fehlgeschlagen.
Fehler beim Senden der Nachricht: Der Mail-Server antwortete: 
<xxx@fremde-domain.de>: Sender address rejected: not owned by user xxx@eigene-domain.de.

Beide Domains (fremde-domain.de und eigene-domain.de) sind in unterschiedlichen und voneinander unabhängigen Mailbox.org Konten hinterlegt.

5 „Gefällt mir“

Ist mir klar! So und nicht anders habe ich das auch verstanden. Aber bitte, lasst mal die Kirche im Dorf! So schlecht, dass man die Empfehlung zurückziehen müsste, ist MBO nun auch wieder nicht. Nicht zu vergessen, dass man als Nutzer beim Einbinden der eigenen Mailbox in das MBO-Ökosystem auch Fehler machen kann.

Ungeachtet dessen ist die Kritik am Forum aber durchaus berechtigt, wie ich finde.

1 „Gefällt mir“

Vielen Dank fürs Austesten @nobody .
Hattest du die angegebenen Links aus meinem ersten Post überflogen - sind das eher unrealistische Szenarien, die dort moniert werden? Ich fürchte, technisch bin ich raus, werde das weiter beobachten.

Mich wundert umso mehr, dass die Kommunikation bei einem möglichen Sicherheitsproblem so dürftig ist und sich über Jahre erstreckt, ohne Klarstellung seitens Mailbox. Geht aus meiner Sicht gar nicht. Ich werde das Projekt erst einmal ad acta legen.

Ich denke nicht, dass das aktuell ein Problem ist, da mich der Mailserver am versenden der E-Mail hindert und sagt Sender address rejected: not owned by user xxx und das hier (zumindest bei mir) nicht funktioniert:

Wie @Joachim denke ich auch nicht, dass das ein SPF, DKIM oder DMARC Problem ist, sondern etwas mit Berechtigungen zu tun hat. Unabhängig von der Ursache scheint es behoben zu sein.

1 „Gefällt mir“

„Scheint“ trifft es. AusTests, von denen man nicht weiß, ob sie dem damals beanstandeten Szenario entsprechen, kann man nicht wirklich schließen, dass das Problem beseitigt ist.

das finde ich auch seltsam. Möchte einer der Kunden mal danach fragen und ggfs. auf Artikel 5 Abs. 2 DSGVO hinweisen?

1 „Gefällt mir“

@nobody Wenn ich den Forumsbeitrag gelesen habe, schreibt einer dort:
Du kannst eine Domain, sag XYZ.com, die ihren Eintrag im DNS auf mailbox.org zeigt und nicht deine ist spoofen.
Das müsst gwiss jemand testen können.
Reverenzkunden sind auf deren Seite abgegeben.

Also genau das, was ich hier bereits geschrieben habe:

Auch andere Postausgangsserver verweigern die E-Mail von vornherein (z.B. meldet Posteo DATA-Befehl gescheitert: Der E-Mail-Versand ist nur mit Ihren Posteo-Adressen moeglich.)

2 „Gefällt mir“

Okay, das problem war also, dass man eine E-Mail über MBO verschicken und als Absender eine Domain angeben konnte, die einem nicht gehört, aber einem anderen MBO Kunden? Habs grad getestet und bekomm die gleiche Fehlermeldung. Passt also, oder?

Man sollte immer im Hinterkopf haben, dass die E-Mail einfach uralt ist und seitdem einfach immer nur mehr Sachen obendrauf gepackt wurden aber das Design hat sich nie verändert. Wenn ich mich nicht täusch, gibts im SMTP-Protokoll bis heute keine „Absenderüberprüfung“. Gabs noch nie und wirds auch nie geben. Genau wie im echten Leben kann ich Briefe einfach mit irgendeinem Absender in jeden gelben Briefkasten werfen. Da gibts keinen Unterschied. Früher war es sogar gewollt und so geplant, dass man seine Mails beim nächstgelegenen SMTP-Server abliefert. Und das musste nicht mal der Server vom eigenen Anbieter sein.

hängt davon ab, was Du genau damit meinst. Das Protokoll selbst nicht. Aber Ergänzungen schon. Mir reichen SPF, DKIM und DMARC um den sendenden Server zu authentifizieren, und ich erwarte vom sendenden Server auch, dass er den sendenden Benutzer authentifiziert und prüft, für welche Mailboxen oder Domänen er senden darf.

Naja so wie ich es zusammen mit dem vorherigen Satz beschrieben hab :thinking: Die E-Mail ansich und die Sachen die oben drauf gepackt wurden (= „Ergänzungen“) kann man ja nicht mit modernen Anwendungen/Protokollen (Threema, Signal, Matrix, … ) vergleichen. Ganz egal wie viele „Ergänzungen“ noch kommen werden. E-Mails waren als Postkarten geplant und sind bis heute einfach nur Postkarten. Das ist kein Vorwurf an die E-Mail, weil die Anforderungen damals ganz andere waren als heute. Aber wer bestimmte „Garantien“ wie „kryptographische Absenderüberprüfung“ möchte sollte zu anderen Mittel greifen.

Aber zum Thema: Hat sich das jetzt erledigt oder nicht?

finde ich nicht in Ordnung, Du ignorierst damit gut 40 Jahre Lernkurve.

sollte man tun und mache ich, z.B. https://blog.lindenberg.one/MythosEndeZuEndeVerschlusselung. Gut aufgesetzte Email schneidet da eindeutig besser ab als mancher moderne Kram.

Auch die Messenger haben eine Lernkurve hinter sich, die ersten konnten auch nicht verschlüsseln. Das fällt Dir nur nicht auf, weil das geschlossene Systeme sind und die ein (teilweise fragwürdiges) Schlüsselmanagement nachgerüstet haben.

Das Projekt bei Mailbox.org hat sich für mich erledigt. Mehr noch als das technische Problem ist deren Kommunikation ausschlaggebend für meine Entscheidung.

Aus unternehmerischer Sicht ist mir unverständlich, wie man so eine Anfrage zur Sicherheit über Jahre einfach im Raum stehen lassen kann. Entweder scheint der Kundensupport nicht wichtig genug, oder es ist ein Hinweis auf ineffiziente (Wartungs-)strukturen - ich finde beides nicht gut.

@nobody 's Test fand ich hilfreich, Threads im Mailbox Support-Forum als auch bei Privacyguides sind bislang noch nicht gelöst. Letztlich kann das warscheinlich nur Mailbox aufklären. Ich hab mir mal ein todo gesetzt und werde mich bei Zeiten spaßeshalber in die Thematik einarbeiten, um ein besseres technisches Verständnis zu bekommen.

Bis dahin schonmal vielen Dank für die Antworten!