Alias unter iOS erstellen mit Email Adressen die einem nicht gehören!
Ich bin auf ein "kleines" Problem gestoßen in Verbindung mit dem Email Account und Alias Email Adressen unter iOS.
Wenn man sich eine Email bei mailbox.org generiert und diese auf dem iPhone einrichtet, kann man sich JEDE und SO VIELE Alias Email Adressen auf dem iPhone generieren wie man will, ohne dass diese Alias Adresse mit dem registrierten Account verknüpft bzw. dort erstellt ist.
Eigentlich sollte man unter iOS eine Fehlermeldung bekommen, wenn man versucht mit einer Alias Email Adresse die nicht mit dem eigenen Account verknüpft ist, zu verschicken.
Das ist leider nicht der Fall.
Konkret heißt das, ich kann mit Email Adressen von mailbox.org Emails versenden im Namen von anderen Usern!
Habe dieses Phänomen mermals getestet. Habe mir bei mailbox.org eine Email Adresse für die Testphase geholt und in meinem iPhone eingerichtet.
Nun habe ich auf meinem iPhone unter Einstellungen/Mail/Accounts/xxx@mailbox.org/Account/E-Mail/Weitere E-Mail Adresse/ irgendeine Email Adresse@mailbox.org eintragen.
Das kann JEDE Email Adresse sein, egal ob es die schon bei mailbox.org gibt oder nicht.
Nun öffne ich mein "Mails" auf meinem iPhone und schreibe eine neue Email. Klicke ich nun auf den Punkt "Kopie/Blindkopie, Von" kann ich meine zuvor in den Einstellungen ausgedachte/fake Email von mailbox.org auswählen und verschicken ohne das eine Fehlermeldung erscheint.
Ich kann zum Beispiel die Email Adresse support@mailbox.org verwenden und diese als Absender benutzen um Mails zu versenden. Diese gesendete Email landet in dem Postausgang meiner registrierten Hauptadresse. Antwortet jemand auf meine versendete Mail, bekommt der eigentliche Inhaber diese Mail.
Das sind eigentlich Kinderkrankheiten aus den 90ern als Internet noch Raketentechnik war.
Ich habe das gleiche Problem 
Das ist m.E. keine Besonderheit von mailbox.org und/oder iOS.
Man kann bei vielen Providern Mails mit "erfundenen" Absender-Adressen z.B. aus Thunderbird einliefern, wenn zur Authentifizierung die richtige Benutzer-/Passwort-Kombination verwendet wird. Das machen sich ja gerade Spam-Versender zu Nutze. Ich bekomme täglich Spam mit meiner eigenen Mail-Adresse als Absender.
In der Tat wäre es schön, wenn bei allen Providern auch die Absender-Adresse beim Einliefern kontrolliert würde.
Genau das ist ja der Punkt...ich brauche gar keine Benutzer/Passwort Authentifizierung für den Alias.
Wie ich geschrieben habe, ich habe mir ein Emailkonto bei mailbox.org eingerichtet (spoof@mailbox.org) und in meinem iPhone eingerichtet. Als Alias unter iOS habe ich die Email support@mailbox.org eingerichtet, die die offizielle Email vom Support ist. Ich kann über mein iOS mit dem Absender support@mailbox.org Emails verschicken ohne das mir dieser Benutzer gehört.
Bei meinem anderen Email Provider bekomme ich eine Fehlermeldung, wenn der benutzte Alias nicht zu meinem Konto passt.
Der Alias ist ja nur eine weitere Adresse im gleichen Account, also erfolgt die Authentifizierung mit den Daten des eigentlichen Accounts.
Dass die Adresse nicht überprüft wird, halte ich auch für ein Problem. Ich habe nur geschrieben, dass dies bei anderen Providern auch so ist.
Vielleicht kann ja der Support was dazu sagen.
Dem Support habe ich auch schon geschrieben, aber der scheint nicht ganz verstanden zu haben was ich meinte.
Ich habe ihm mal eine Email von seiner eigenen Email Adresse als Absender geschrieben.
Ich habe auch Emailkonten bei anderen Providern und da kann ich über das iPhone nur von Alias Adressen Emails versenden, die ich auch vorher bei dem jeweiligen Provider über deren Internetportal vorher erstellt habe und die somit dem Hauptaccount zugeordnet sind.
Wie ich es schon beschrieben habe, ich kann dann ja jeden Account von mailbox.org imitieren und als Absender von Emails benutzen.
Falls Du ein iPhone hast, kannst Du das ja mal ausprobieren.
Füge einfach unter Einstellungen/Mail/Accounts/xxx@mailbox.org/Account/E-Mail/Weitere E-Mail Adresse/ irgendeine Adresse hinzu. Zum Beispiel support@mailbox.org. Mit Return bestätigen und Einstellungen speichern.
Nun Mail verfassen und auf "Kopie/Blindkopie, Von" klicken, es erscheinen alle Email Accounts, die Du auf deinem iPhone eingerichtet hast...auch support@mailbox.org.
Die einfach auswählen und Dir selber an einen Anderen Account eine Test Email schreiben.
Der Absender der Mail ist dann ganz offiziell support@mailbox.org welcher ja zum Support gehört.
Das darf nicht sein! Der mailbox.org Server MUSS kontrollieren ob die Alias Email, die Du NUR auf deinem iPhone hinzugefügt hast, auch wirklich deinem Hauptaccount zugewiesen ist.
Ansonsten sollte es eine Fehlermeldung geben.
Man kann sogar komplett beliebige Adresse eingeben. Ich habe als Alias in Thunderbird gerade test@nixda.de als Absender eingegeben und über Mailbox an meine Hauptadresse geschickt und das kommt dann auch so an (Im Quelltext kann man sehen, von wo die Mail real kommt, wenn ich das richtig sehe, aber da schaut ja keiner rein im Normalfall).
Über den Yahoo-Server wurde der Absender auf meine Hauptadresse korrigert.
Es gibt durchaus Ansätze, wie man sowas strenger reglementieren könnte. Peer Heinlein selbst griff aus gegebenem Anlass ein Beispiel auf:
https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejects-durch-spf/
Übrigens gibt es auch legitime Zwecke für die von euch "aufgedeckte" "Lücke". Ich nutze gerne z.B. Mail-Extensions auch als Absender, und zwar von Thunderbird aus.
https://support.mailbox.org/knowledge-base/article/was-sind-mailextensions-und-wie-richte-ich-sie-ein
Und ich hoffe, das bleibt auch so.
Gegen Mail-Extension spricht ja auch nichts. Du ergänzt deine bestehende Mail-Adresse ja nur um einen Zusatz.
Ich finde es aber schon etwas kritisch, wenn ich unter beliebiger Adresse verschicken kann. Wer krimimelle Energie hat kann also unter dem Namen Peer Heinlein oder der Support-Adresse mailbox.org User anschreiben und versuchen an bestimmte Daten zu kommen etc.
Der Server muss doch erkennen können, ob ich eine Mail weiterleite oder ein neue Mail schreibe?! Wobei beim manuellen Weiterleiten ja eh der Absender getauscht wird und nicht wie im SPF-Artikel beschrieben der alte Abender bestehen bleibt. Egal ob ich per Thunderbird oder im Web-Interface eine Mail an meinen Yahoo-Account weiterleite, als Absender steht immer meine Mailbox-Adresse drin und nicht der alte Absender der Mail. Wäre in dem Falle ja auch blöd, weil Antworten dann nicht bei mir ankomen würden...
Bleibt der alte Absender eventuell bei automatischen Weiterleitungen von einem Server bestehen?
Daher sollte es doch kein Problem sein bei manuellen Weiterleitungen und neuen Mails den Absender auf eine gültige Adresse zu prüfen?
Kommentare wurden auf dieser Seite deaktiviert!