Anonymes Konto mit Webmailer von jedem Rechner aus nutzbar (https)?

Danke, ja, geht mir auch so, was fremde WLANs angeht. Mit mitm meinte ich einfach nur jemanden, der Daten auf ihrem Weg von A nach B mitliest, egal ob mit oder ohne Ausnutzung einer Lücke. Aber ich habe etwas übersehen: Thunderbird schreibt die IP-Adresse des Absenders in den Header. Der Webmailer von mailox.org tut das nicht. Solange mailbox.org keine IPs herausgibt, dürfte niemand dahinterkommen, welches Konto ich nutze, wenn ich mich auf der mailbox.org-Webseite anmelde. Ich bin mir noch nicht mal sicher, ob die IP da überhaupt Aufschluß geben würde. Man muß sie ja erstmal mit dem Konto in Verbindung bringen. Da kommt es darauf an, welche Infos/Metadaten bei der Nutzung des Webportals unverschlüsselt übermittelt werden, über die/den URL, vielleicht auch noch anders. Schätze ich im Moment doch eher als ziemlich riskant ein.

VPNs und Tor lasse ich mal außen vor, da kenne ich micht nicht aus.

Auch der Thunderbird in Verbindung mit mailbox schreibt weder die öffentliche, noch die lokale IP in den Header der Mails. Nur die Server Ip's. Bei anderen Email-Providern schaut es da schon schlimmer aus.....

So ist es. Mailbox.org löscht im Header entsprechende Einträge raus, bzw. übermittelt Sie nicht.

@ EINUSER:

Bezüglich der Nutzung von VPNs sollte man vorsichtig sein:

https://www.kuketz-blog.de/empfehlungsecke-mullvad-vpn-als-empfehlung-hinzugefuegt/

Tor mit Exitnode von mailbox.org ist gut: https://kb.mailbox.org/display/MBOKB/Den+Tor-Exit-Node+von+mailbox.org+verwenden

Was auch immer gut geht, ist ein VPN zur heimischen Fritzbox, um dort die Internetleitung zu nutzen.Auf der Fritzbox sollte man natürlich die DNS Server anpassen: https://digitalcourage.de/support/zensurfreier-dns-server

oder / und

https://dismail.de/info.html#dns

Wenn man Mails mit Thunderbird verschickt, wird dann der gesamte Header verschlüsselt an den Mailserver übertragen?

Schau dir das bitte mal an: https://kb.mailbox.org/display/MBOKB/SSL-TLS-Verschluesselung+bei+mailbox.org

Dortige Verbindung (1) sollte m.M.n. sowohl für Webmail und auch Thunderbird gelten.

Das ist genau die Frage. Aber die Sache ist mal wieder etwas komplexer als auf den ersten Blick ersichtlich. Siehe Wikipedia, SMTP:

1. Zuerst ruft der Client den Server.
2. Der Server antwortet "Bereit".
3. Der Client nennt seinen Namen. (domain.tld, Was soll das sein?)
4. Der Server antwortet "OK".
5. Der Client nennt die Absenderadresse.
6. Der Server antwortet "OK".
7. Der Client nennt die Empfängeradresse.
8. Der Server antwortet "OK".
9. Der Client kündigt an, die Mail zu senden.
10. Der Server fordert den Client dazu auf anzufangen.
11. Der Client sendet die gesamte Mail, inklusive Header, in dem Absender- und Empfängeradresse stehen.
12. Irgendwann sagt der Server "OK", der Client "Quit" und der Server wiederum, daß er den Kanal schließt.
    

Und das ist schon vereinfacht, da wird sich nicht authentifiziert. Aber man sieht, die Adressen werden zweimal übertragen. Die gesamte Abfolge ist vermutlich so:

1. Handshake
2. Benutzername senden
3. PW senden
4. Absender- und Empfängeradresse senden
5. Nachricht senden
   

Preisfrage: Ab wann ist die Übertragung verschlüsselt?

PS: Bei STARTTLS ist es (laut Wikipedia, SMTP-Auth) anscheinend so, daß Benutzer und PW unverschlüsselt übertragen werden. Dann ist das vermutlich bei SSL/TLS nicht so. Alles andere wäre ja eigentlich auch dämlich.

PPS: Für mich sieht es so aus, als könnt niemand einsehen, welches Konto ein Anwender benutzt, solange er sich nur auf mailbox.org anmeldet (über https) und solange keine Sicherheitslücken im Spiel sind. Aber was passiert, wenn er dann im Portal Mails liest und schreibt und sendet? Das ist wohl eine Frage für den Support (vielleicht auch für den Support von OX). Der Heinlein-Support schreibt hier im Grunde das, was ich oben gemutmaßt habe (daß auch BN/PW verschlüsselt übertragen werden).

Für SMTP und IMAP gilt grundsätzlich ungefähr das gleiche.

Bei Zugriff über SSL/TSL (nicht STARTTLS, sondern ein direkt bedienter TLS Socket) startet die komplette Verbindung bereits mit dem Handshake. Alles folgende ist verschlüsselt.

Bei STARTTLS ist es (hoffentlich) immer so, dass der Client zuerst den Handshake per STARTTLS auslöst und dann die Zugangsdaten übermittelt. Alles folgende ist verschlüsselt. (Sehr sicher konfigurierte Server, die überhaupt keine Plaintext-Verbindungen mehr zulassen, können dem Client auch signalisieren, dass sie keine Zugangsdaten möchten, wenn nicht vorher STARTTLS passiert. Ein extrem schlecht implementierter Client könnte das aber technisch immer noch tun, wird sich damit zwar nicht einloggen können aber hat die Zugangsdaten dann schon übertragen.

Für http bzw. https gilt grundsätzlich der erste Abschnitt. Der Webserver spricht dann nur SSL und kein Plaintext. ALLERDINGS bei HTTP Zugriffen: Die Anfrage URL + GET Parameter wird verbindungs-verschlüsselt aber mindestens beim Zielsystem normalerweise geloggt und landet im Logfile des Webservers.

Zusammengefasst: Zwischen Client und dem Webserver bzw. Mailserver kann bei korrekter Nutzung von TLS keiner den Datenaustausch mitlesen, wenn er sich nicht vorher MITM mäßig als Proxy dazwischengehängt hat und sich anhand eines gültigen Zertifikats falsch ausweisen kann. Leider ist DANE auf Webserver und IMAP-Server Ebene nicht wirklich verbreitet und den Clients fehlen entsprechende Funktionen.