Willkommen im User-Forum von mailbox.org
 

Alias unter iOS erstellen mit Email Adressen die einem nicht gehören!

9592368 hat dies geteilt, 2 Jahren her
veröffentlicht

Ich bin auf ein "kleines" Problem gestoßen in Verbindung mit dem Email Account und Alias Email Adressen unter iOS.

Wenn man sich eine Email bei mailbox.org generiert und diese auf dem iPhone einrichtet, kann man sich JEDE und SO VIELE Alias Email Adressen auf dem iPhone generieren wie man will, ohne dass diese Alias Adresse mit dem registrierten Account verknüpft bzw. dort erstellt ist.

Eigentlich sollte man unter iOS eine Fehlermeldung bekommen, wenn man versucht mit einer Alias Email Adresse die nicht mit dem eigenen Account verknüpft ist, zu verschicken.

Das ist leider nicht der Fall.

Konkret heißt das, ich kann mit Email Adressen von mailbox.org Emails versenden im Namen von anderen Usern!

Habe dieses Phänomen mermals getestet. Habe mir bei mailbox.org eine Email Adresse für die Testphase geholt und in meinem iPhone eingerichtet.

Nun habe ich auf meinem iPhone unter Einstellungen/Mail/Accounts/xxx@mailbox.org/Account/E-Mail/Weitere E-Mail Adresse/ irgendeine Email Adresse@mailbox.org eintragen.

Das kann JEDE Email Adresse sein, egal ob es die schon bei mailbox.org gibt oder nicht.

Nun öffne ich mein "Mails" auf meinem iPhone und schreibe eine neue Email. Klicke ich nun auf den Punkt "Kopie/Blindkopie, Von" kann ich meine zuvor in den Einstellungen ausgedachte/fake Email von mailbox.org auswählen und verschicken ohne das eine Fehlermeldung erscheint.

Ich kann zum Beispiel die Email Adresse support@mailbox.org verwenden und diese als Absender benutzen um Mails zu versenden. Diese gesendete Email landet in dem Postausgang meiner registrierten Hauptadresse. Antwortet jemand auf meine versendete Mail, bekommt der eigentliche Inhaber diese Mail.

Das sind eigentlich Kinderkrankheiten aus den 90ern als Internet noch Raketentechnik war.

Kommentare (15)

Foto
1

Das ist m.E. keine Besonderheit von mailbox.org und/oder iOS.

Man kann bei vielen Providern Mails mit "erfundenen" Absender-Adressen z.B. aus Thunderbird einliefern, wenn zur Authentifizierung die richtige Benutzer-/Passwort-Kombination verwendet wird. Das machen sich ja gerade Spam-Versender zu Nutze. Ich bekomme täglich Spam mit meiner eigenen Mail-Adresse als Absender.

In der Tat wäre es schön, wenn bei allen Providern auch die Absender-Adresse beim Einliefern kontrolliert würde.

Foto
1

Genau das ist ja der Punkt...ich brauche gar keine Benutzer/Passwort Authentifizierung für den Alias.

Wie ich geschrieben habe, ich habe mir ein Emailkonto bei mailbox.org eingerichtet (spoof@mailbox.org) und in meinem iPhone eingerichtet. Als Alias unter iOS habe ich die Email support@mailbox.org eingerichtet, die die offizielle Email vom Support ist. Ich kann über mein iOS mit dem Absender support@mailbox.org Emails verschicken ohne das mir dieser Benutzer gehört.

Bei meinem anderen Email Provider bekomme ich eine Fehlermeldung, wenn der benutzte Alias nicht zu meinem Konto passt.

Foto
1

Schau mal in den Empfangsheader der versendeten Nachricht, da müsste dann als Versender deine (spoof@mailbox.or) drinne stehen, egal welchen Alias du verwendet hast.

Warum du bei anderen Email Provider eine Fehlermeldung bekommst und bei mailbox nicxht, keine hnung.

Foto
1

Die wenigsten Leute werden sich allerdings die Mühe machen, bei jeder Mail die zugehörigen Mail-Header anzugucken. Insofern gebe ich dem Threadersteller uneingeschränkt recht. Es sollte gar nicht möglich sein, gespoofte Mails versenden zu können. Bei Telefonnummern kriegt man ja in den Medien immer mit, zu was Nummernspoofing führt und für was dies missbraucht wird...

Foto
1

Im Header steht eben nicht die Hauptadresse! Sondern die Email, die ich mir als Alias ausgedacht habe...und das kann jede @mailbox.org sein.

Im Header steht meine Alias als Absender, so als wenn sie auch von dort kommt.

Habe es mehrmals mit support@mailbox.org getestet.

Als Alias support@mailbox.org benutzt und an eine andere Email Adresse von mir gesendet. Im Header ist es so, dass support@mailbox.org diese Email versendet hat. Wenn man auf diese Mail Antwortet landet sie ja auch im Postfach von support@mailbox.org.

Foto
Foto
1

Der Alias ist ja nur eine weitere Adresse im gleichen Account, also erfolgt die Authentifizierung mit den Daten des eigentlichen Accounts.


Dass die Adresse nicht überprüft wird, halte ich auch für ein Problem. Ich habe nur geschrieben, dass dies bei anderen Providern auch so ist.

Vielleicht kann ja der Support was dazu sagen.

Foto
1

Dem Support habe ich auch schon geschrieben, aber der scheint nicht ganz verstanden zu haben was ich meinte.

Ich habe ihm mal eine Email von seiner eigenen Email Adresse als Absender geschrieben.

Ich habe auch Emailkonten bei anderen Providern und da kann ich über das iPhone nur von Alias Adressen Emails versenden, die ich auch vorher bei dem jeweiligen Provider über deren Internetportal vorher erstellt habe und die somit dem Hauptaccount zugeordnet sind.

Wie ich es schon beschrieben habe, ich kann dann ja jeden Account von mailbox.org imitieren und als Absender von Emails benutzen.

Falls Du ein iPhone hast, kannst Du das ja mal ausprobieren.

Füge einfach unter Einstellungen/Mail/Accounts/xxx@mailbox.org/Account/E-Mail/Weitere E-Mail Adresse/ irgendeine Adresse hinzu. Zum Beispiel support@mailbox.org. Mit Return bestätigen und Einstellungen speichern.

Nun Mail verfassen und auf "Kopie/Blindkopie, Von" klicken, es erscheinen alle Email Accounts, die Du auf deinem iPhone eingerichtet hast...auch support@mailbox.org.

Die einfach auswählen und Dir selber an einen Anderen Account eine Test Email schreiben.

Der Absender der Mail ist dann ganz offiziell support@mailbox.org welcher ja zum Support gehört.

Das darf nicht sein! Der mailbox.org Server MUSS kontrollieren ob die Alias Email, die Du NUR auf deinem iPhone hinzugefügt hast, auch wirklich deinem Hauptaccount zugewiesen ist.

Ansonsten sollte es eine Fehlermeldung geben.

Foto
1

Ich habe Dir ja nicht widersprochen, sondern zugestimmt. Ich habe lediglich gesagt, und das habe ich natürlich auch mit meinem iPhone getestet, dass dieses "Phänomen" (Fehler) nicht iOS-spezifisch ist, sondern z.B. mit Thunderbird unter Windows ebenfalls erreicht werden kann. Und ich schrieb, dass ich noch mehr Provider kenne (vorwiegend im Webhosting-Bereich), bei denen das ebenso leicht möglich ist. Ich sehe da keinen Widerspruch zu Deinen Aussagen, außer dass es eben auch in anderen Software-Provider-Kombinationen vorkommt.

Foto
1

Kann diesen Sachverhalt bestätigen. Gerade habe ich mir selbst eine Nachricht mit anderem Absender gesendet. Im Header steht die "Fake"-Alias drin!


Ich bin technisch nicht versiert genug um herauszufinden, ob dennoch erkennbar ist, wer der tatsächliche Absender ist UND ob eine Antwort auf eine solche Mail beim tatsächlichen Besitzer dieser Alias landet. Ich sehe hier gewisse Risiken.

Foto
Foto
1

Man kann sogar komplett beliebige Adresse eingeben. Ich habe als Alias in Thunderbird gerade test@nixda.de als Absender eingegeben und über Mailbox an meine Hauptadresse geschickt und das kommt dann auch so an (Im Quelltext kann man sehen, von wo die Mail real kommt, wenn ich das richtig sehe, aber da schaut ja keiner rein im Normalfall).


Über den Yahoo-Server wurde der Absender auf meine Hauptadresse korrigert.

Foto
1

Funktioniert bei mir nicht, wenn ich in Einstellungen/Weitere Identitäten/Hinzufügen eine beliebige Adresse eingebe, so dass Thunderbird dann unter z.B. name@domain.tld versendet. Wie machst du das?

Foto
1

Nicht als Alias eintragen, sondern einfach eine neue Mail starten und oben bei Absender kann man im Dropdown einen Menüpunkt auswählen, der die Eingabe einer beliebigen Mailadresse ermöglicht.

Foto
Foto
1

Es gibt durchaus Ansätze, wie man sowas strenger reglementieren könnte. Peer Heinlein selbst griff aus gegebenem Anlass ein Beispiel auf:

https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejects-durch-spf/

Übrigens gibt es auch legitime Zwecke für die von euch "aufgedeckte" "Lücke". Ich nutze gerne z.B. Mail-Extensions auch als Absender, und zwar von Thunderbird aus.

https://support.mailbox.org/knowledge-base/article/was-sind-mailextensions-und-wie-richte-ich-sie-ein

Und ich hoffe, das bleibt auch so.

Foto
1

Gegen Mail-Extension spricht ja auch nichts. Du ergänzt deine bestehende Mail-Adresse ja nur um einen Zusatz.

Ich finde es aber schon etwas kritisch, wenn ich unter beliebiger Adresse verschicken kann. Wer krimimelle Energie hat kann also unter dem Namen Peer Heinlein oder der Support-Adresse mailbox.org User anschreiben und versuchen an bestimmte Daten zu kommen etc.


Der Server muss doch erkennen können, ob ich eine Mail weiterleite oder ein neue Mail schreibe?! Wobei beim manuellen Weiterleiten ja eh der Absender getauscht wird und nicht wie im SPF-Artikel beschrieben der alte Abender bestehen bleibt. Egal ob ich per Thunderbird oder im Web-Interface eine Mail an meinen Yahoo-Account weiterleite, als Absender steht immer meine Mailbox-Adresse drin und nicht der alte Absender der Mail. Wäre in dem Falle ja auch blöd, weil Antworten dann nicht bei mir ankomen würden...

Bleibt der alte Absender eventuell bei automatischen Weiterleitungen von einem Server bestehen?

Daher sollte es doch kein Problem sein bei manuellen Weiterleitungen und neuen Mails den Absender auf eine gültige Adresse zu prüfen?

Foto
1

In jedem Fall verwendet das System aber DEINE Account-Informationen. Ich glaube nicht, dass du bei irgendeinem Mailprovider von einem anderen Account senden kannst, sondern du kannst "nur" einen anderen Absendenamen oder eine andere lediglich angezeigte Adresse nutzen.


Die Lösung liegt darin, Mails nur signiert oder verschküsselt zu senden.


Du hast aber recht, dass die bloße Tatsache, dass in einer Mail ein anderer Absender als Absender sichtbar ist, inklusive dessen Mailadresse, eher schlecht ist.


Ich befürchte nur, dass wenn man das abstellt, man die Mailextensions in der bisherigen Form vergessen kann.


Von daher würde ich es sehr begrüßen, wenn Mailbox.org das ändert.


Es müsste geprpft werden, ob die verwendeten Absenderangaben im Acoount angelegt worden sind. Wenn sie es nicht sind, darf die Mail nicht versendet werden können.


Das schliesst dann leider Mailextesnions mit ein. Diese muss man dann eben auch zuvor im Account anlegen, und das System müsste das dann eben prüfen. Man kann das ja mit Sicherheit so einstellen, dass Mailextesnion snicht als Alias zählen, um den Account nicht zu sprengen.

Foto