Sinnvoller Umgang mit Verschlüsselung bei mailbox.org

Reklow · 20. Juli 2025 um 07:40

Ob der Guard mit dem von Dir nicht verwendeten PGP-Schlüssel konfiguriert bleibt oder nicht, ist für die Funktion des verschlüsselten Postfachs und auch die Vertraulichkeit Deiner E-Mails im Postfach egal. Der Guard-Schlüssel hat einfach keine Bewandnis zu dieser Funktion.

Solltest Du Dich irgendwann dafür entscheiden wollen auch den Webmail-Client von Mailbox.org nutzen zu wollen, müsstest Du Deinen auf Thunderbird generierten Schlüssel in den Guard importieren. Aber aktuell hast Du das ja gar nicht vor.

Defile2224 · 20. Juli 2025 um 11:17

passt, danke euch! Das ist mir bewusst, Webmail-Funktionalität gibts nur ohne Verschlüsselung oder durch Hinterlegen des private keys. Für mich aktuell nicht notwendig/relevant. Das Schlüsselpaar vom Guard wird ja nicht genutzt und somit kann ich den auch aktiv lassen - passiert ja nichts. Ich denke das wars, danke euch

@Reklow Jetzt hab ich doch nochmal was
Mit was würdest du denn den Schlüssel erstellen? RSA 4096 oder mit ECC (da hab ich in Thunderbird keine Option für die Anzahl der bits). ECC scheint die Zukunft zu sein, aber noch nicht umfassend adaptiert. Was macht da am meisten Sinn?

fbnixgut · 20. Juli 2025 um 12:01

Moinsen,

die verschiedenen von dir angesprochenen Punkte führen zu einer Komplexität und machen dadurch auch Antworten kompliziert. Ich sehe auch keinen roten Pfaden und genaue Ziele, somit ist aus Sicht der IT-Sicherheit „das“ Konzept eh brüchig.

Weg von Google

Im Thread später hast du formuliert, dass du von Google/GMX weg wolltest. Nun bist du bei Mailbox.org. Prima, einen guten Schritt getan.

Postfach schützen gegen nachträglichen Missbrauch

Bei mailbox.org siehst du dann Features wie z.B. Guard, also Postfachverschlüsselung, was eines von vielen Features dort ist. Das Feature macht (nur) Sinn, wenn du eh schon mit Mailverschlüsselung aktiv arbeitest und alles, was unverschlüsselt reinkommt, dann nachträglich verschlüsselt werden soll.

Würde es nur darum gehen, einen nachträglichen Missbrauch zu unterbinden, wäre ein einfacherer Weg, die E-Mails vom IMAP-Server zu verschieben in das Lokal-Verzeichnis von Thunderbird auf deinen gepflegten Computer.

Verschleierung / Domain

Du nutzt addy.io und ähnliche Verschleierer. Das geht auch mit den Alias-Adressen und vor allem den temporären Mailadressen bei Mailbox.org sehr gut.

Eine Domain ist ganz nett, bedeutet aber Whois-Daten deiner Person preisgeben. Die sind zwar nicht mehr für die Öffentlichkeit auslesbar, sind aber dennoch personenbezogener Daten, die leicht abfragbar sind für (behördliche) Dienste.

Die Domain-Einbindung bei mailbox.org klappt sehr gut. Aber hast du im DNS deiner Domain auch alle notwendigen Features aktiviert, DKIM, SPF, DMARC etc. und getestet mit MECSA? Auch alles wieder Arbeit und benötigt Kompetenz

Verschlüsselung

In Anbetracht der politischen Entwicklungen Richtung Diktaturen/Oligarchen-Systemen und insbesondere der Missachtung von Rechtsstaatlichkeit ist Verschlüsselung sehr sinnvoll. Und zwar jetzt, damit du Erfahrungen sammelst.

Dabei geht es aber nicht nur um Verschlüsselung, sondern auch um die Herstellung von Authentizität, die m.E. genauso wichtig ist. Denn dadurch kann ich meine digitale Identität beweisen und die Gegenseite das prüfen. Genauso andersrum: denn wie soll ich z.B. prüfen können, dass die Rechnung von XY im Posteingang auch tatsächlich vom Absender ist.
OpenPGP zu beherrschen hat sehr große Vorteile, die Anwendung ist sehr mächtig. Im Thunderbird ist davon nur eine abgespeckte Version vorhanden. Das Hauptpasswort bei Thunderbird Desktop gesetzt zum Schutz der Logindaten und PGP-Keyphrasen?
Ansonsten sollte mensch sich positionieren auf der Skala der Bedrohung, woraus sich dann ergibt, wie stark und weitgehend Verschlüsselung angewendet werden sollte.

Bei Mail-Verschlüsselung sind auch die Orte wichtig zu beachten, von wo aus auf das Mailpostfach zugegriffen werden soll. Du hast da auch erwähnt:

Thunderbird Desktop-Computer
Thunderbird auf Android / Mobile
Webmail

Es müssten also an drei Orten der Private Key verfügbar sein. Und du musst den zugrundeliegenden Computern vertrauen. Beim Mobile tue ich das nur bei einem GrapheneOS-System, bei Desktop-Computern nur mit Virtualisierung & Isolierung und im Besten Fall das dann mit Qubes. Das gilt dann auch zu bedenken.

Wiederherstellung

Einem Backup ist es egal, ob die Daten schon verschlüsselt sind. Von der Denke her sollte aber immer aus der Sicht der Wiederherstellung drauf geschaut werden. Wenn du da kein tragfähiges und geprüftes Konzept der Wiederherstellung hast, ist jede Erhöhung der Komplexität gefährlich, z.B. mit Verschlüsselung einfach anfangen

Testen

Testen ist immer wichtig und das am Besten nicht in der produktiven Umgebung. Investiere doch einfach ein paar Euro in einen zusätzlichen Account bei mailbox.org und hack da gnadenlos rum im Test-Account. Und prüfe dabei auch die Wiederherstellung usw.

Was dir genehm ist an Features und du auch beherrscht, übernimmst du in den regulären Account.

Die Mindestvertragslaufzeit ist ein Monat beim Tarif Standard (3€ im Monat).

Falls du Mailadressen übertragen willst vom Test- in den Produktivaccount, reduzieren für die Mailadresse die Sperrzeit auf „keine“ bei Löschung und trage sie dann sofort im anderen Account bei Alias-Adressen ein.

Volltextsuche

Die wurde hier ja angesprochen, weil bei Verschlüsselung des Postfaches das ja nun nicht mehr geht im Thunderbird und so. Ok, ein Nachtteil und muss erwähnt werden.

Siehe folgenden Punkt, Ordnung der Daten. Bei guter Datenstruktur kann eine fehlende Volltextsuche gut ausgeglichen werden.

Technisch ist es ansonsten auch möglich, E-Mails automatisch wieder zu entschlüsseln und im Klartext abzulegen. Logischerweise an einem lokalen, vertrauenswürdigen Ort. Jedenfalls kann dort dann wieder mit einer Volltextsuche gearbeitet werden.

Ordnung der Daten

Wenn ich mir aber Gedanken mache, um in der Praxis im Bereich Datensicherheit und Privatsphäre besser aufgestellt zu sein, sehe ich zwingend auch die Behandlung der eigenen Datenstruktur als beachtenswert, und das auch aus verschiedenen Blickwinkeln, z.B. die Spreu vom Weizen zu trennen, dem Löschverfahren, dem Archivierungskonzept (95% der Daten werden meist nie wieder angefasst nach 8 Wochen) usw.

Hilfreich und möglich bei Mailbox.org sind

Alias-Mailadressen für bestimmte Rollen / Szenarien
Temporäre Mailadressen mit automatischen Verfallsdatum
Filter, gesetzt direkt am Mailserver, die anhand deiner Mailadressen wegsortieren
Ziel: der eigentliche Posteingang ist leer bzw. beinhaltet nur wichtige, persönliche E-Mails. Der Rest ist in Unterordnern des Posteingangs.

soweit mein Beitrag zum Sonntag

Reklow · 20. Juli 2025 um 18:16

Ich habe von kryptografischen Verfahren und den dahinterliegenden Überlegungen wenig Ahnung. Ich habe meinen letzten PHP Key meine ich basierend auf RSA 4096 erzeugt.

Vielleicht kann hier jemand anderes eine qualifizierte Aussage treffen.

Joachim · 20. Juli 2025 um 18:30

stimme zu, aber dann muss man konsequenter Weise nicht nachträglich verschlüsseln sondern den Emailserver selbst betreiben.

MECSA testet nur eine Richtung, mein Test beide.

fbnixgut · 20. Juli 2025 um 19:40

Ach, echt? Was habt ihr Leute eigentlich immer gegen Schritte machen? Immer schön gleich alles ins Negative ziehen und schön dabei vor allem den Diskussionszusammenhang ignorieren: wozu benötige ich beiden Seiten, wenn es um die Prüfung der DNS-Einstellung der Domain geht?

Nachtrag: beim angebotenen, verlinkten Test geht es jedoch um andere Fragen. Offenbar geht es mehr um Werbung auf die eigene Website…

Konsequent wäre, wenn man in seinem Impressum einen OpenPGP Public-Key o.ä. anbietet. Heiße Luft …

Defile2224 · 20. Juli 2025 um 19:57

ja du hast ja Recht, das hab ich vorne auch geschrieben - ich habe kein definiertes threat model und daher ist es schwer, Maßnahmen zu unbekannten Problemen zu definieren. Mein Ansatz war daher, dass ich einfach die „kleinen Verbesserungen“ mitnehme, ohne zu starke Komplexität einzufügen.

Ich wollte jetzt die Baustellen Browser, Mail/Kalender, Passwortmanager, Photo-Sync, 2FA, Backup/NAS usw. in den nächsten Monaten technisch glattziehen und auf bessere Beine stellen. Das hier beschriebene war mein Versuch, meine Mailbox sauber aufzubauen. Aktuell ist die Mailbox.org-Mailbox noch Spielwiese, daher kann ich da auch noch experimentieren. Bis auf ein paar Logins habe ich noch nichts darauf umgestellt.

Zur Domain:
Ich hatte ein ungutes Gefühl mit dem Vendor-Lock, wenn ich keine eigene Domain mitnehme. Ich hatte eh schon eine, weil ich darüber meine lokalen Services über Nginx laufen lasse - aber die sind nicht von extern erreichbar und somit war die Domain auch im Internet tot. Wenn ich sie jetzt für Mails nutze, bin ich nicht mehr komplett anonym und ja, vor Strafverfolgung bin ich ebenfalls nicht sicher. Das wäre ich bei Mailbox.org aber auch nicht (und ist auch nicht mein Ziel). Für mich persönlich wiegt das aber das Ziel auf, dass ich dadurch den Anbieter wechseln kann, ohne die Mail-Adressen bei allen möglichen Shops/logins vorher umgestellt haben zu müssen. Könnte höchstens die Alias-Funktion bei mailbox.org nutzen, da wären bei meinem Standard-Tarif immerhin 50 Stück enthalten. Würde zwar dann nicht mehr gehen, dass ich für jeden Login eine eigene Mail-Adresse anlege, aber wäre auch praktikabel - und die Mails gehen dann nicht über 2 fremde Mailserver. Das überlege ich mir mal noch, danke für den Hinweis!
Zu den DNS-Sachen: Ich hab die Domain bei netcup liegen und alles soweit eingetragen. Etwas mühsam war, dass ich für die Subdomain andere Einstellungen wegen addy.io eintragen musste, aber ich bin der Meinung gewesen, dass das alles passt. Mit MECSA bin ich grün, den andren Test hab ich nicht gemacht.

fbnixgut · 20. Juli 2025 um 20:04

Ok, ein möglicher Wechsel des Mailproviders ist da als Option. Dann macht das Sinn mit einer Domain.

Persönlich will ich aber gerade bei Shops etc. eine Verschleierung und Entkoppelung mir wichtiger Werte, wie z.B. einer Domain. Denn wenn irgendein externe Dienstleister einen Einbruch erlebt, ist die @domain.de im Datenbestand für Spam u.ä. (und wird fröhlich ausprobiert mit Varianten vor dem @); bei einer alias-Adresse bei neutraler mailbox.org kann ich in dem Fall leicht wechseln.

Joachim · 20. Juli 2025 um 20:05

PGP ist sowas von kaputt, dass ich mich weigere, PGP einzusetzen, daher gibt es bei mir keinen PGP-Schlüssel im Impressum.

Du kannst die beiden Tests laufen lassen und die Ergebnisse vergleichen. Vorher kannst Du nicht mitreden.

Defile2224 · 20. Juli 2025 um 20:19

Ja auch richtig. Ich nutze die Aliasse zwar nur mit der Subdomain, aber die gehen aktuell alle mit catch-all auf die mailbox.org-Adresse. Ich kann die Aliasse mit einem Klick deaktivieren, wird aber nervig, wenn ein Bot im Dauerlauf Aliasse anlegt Dann wäre ich mit so nem @mailbox.org-Alias (oder ohne catch-all) besser unterwegs. Bei mailbox.org habe ich dann aber das Problem, dass ich „nur“ 25 zur Verfügung habe. Wenn ich jetzt überspitzt ein Alias für Shop-Logins nutze, dann bin ich dem Spam hilflos ausgeliefert - ich kann den Alias ja nicht einfach deaktivieren, weil da noch viele andere Logins dranhängen. Ich glaube die einfachste Lösung wäre, meine Aliasing-Methode ohne catch-all. Das kann ich auch leicht realisieren, weil mir Vaultwarden direkt in addy.io nen Alias anlegen kann, wenn ich einen neuen Eintrag hinzufüge. Dann hab ich kryptische Mail-Adressen (also yvxwcokero@sub.meinedomain.de), die man nicht sinnvoll erraten kann. Das würd dem von dir geschilderten Probem entgegen wirken.

Marcel · 20. Juli 2025 um 22:45

Übrigens: Bei mailbox.org in Verwendung des Guards sind Betreffszeilen- und Volltextsuchen möglich. Gerade nochmal probiert, man muss aber natürlich das Passwort mindestens für die Sitzung oder ein paar Minuten im Browser speichern zu Entschlüsselung

Joachim · 21. Juli 2025 um 08:28

findet das auf dem Client (so bei Proton) oder auf dem Server statt? Falls letzteres hilft Guard überhaupt nicht, weil dann kann Mailbox.org die Schlüssel abgreifen.

ToKu · 21. Juli 2025 um 13:33

Das funktioniert bei mir nicht. Selbst wenn ich im Webmailer das Guardpasswort eingeben und eine Mail geöffnet habe und ich dann ein Wort aus dem Mailtext in die Suche eingebe, wird keine Mail dazu gefunden, ob obwohl ich sie entschlüsselt angezeigt bekomme.

Defile2224 · 21. Juli 2025 um 21:08

ich hab den Guard-Schlüssel schon rausgenommen, kann das aktuell nicht mehr testen

Es bleibt bei mir jetzt nur noch die Frage, wie/mit was ich das Schlüsselpaar erstelle. Spricht etwas gegen Thunderbird und RSA 4096? ECC steht noch zur Auswahl, scheint die leistungsfähigere Variante zu sein, allerdings steht auf einigen Seiten, dass das noch nicht flächendeckend unterstützt wird - wäre ja aber „nur“ bei mailbox.org notwendig. Oder soll ich es die Schlüssel komplett anders generieren? Wie habt ihr das gelöst?

Edit: Habe gerade u.a. das hier gefunden: https://www.kuketz-blog.de/gnupg-schluesselerstellung-und-smartcard-transfer-nitrokey-teil2/

Marcel · 22. Juli 2025 um 10:41

Das ist ja eigenartig, ich habe es extra für den Post nochmal probiert. Und wenn Du im Guard das Passwort speicherst für die Sitzung?

ToKu · 22. Juli 2025 um 11:29

Häkchen ist gesetzt in der Checkbox „Bei mailbox.org Guard angemeldet bleiben“ mit der Auswahl „Sitzung“ .

Der Eintrag im Mailboxforum ist zwar 5 Jahre alt, aber auch hier wird eine Volltextsuche verneint.
Bist du sicher, dass du es mit Begriffen versucht hast, die nicht im Betreff enthalten sind?