Willkommen im User-Forum von mailbox.org
 

Anonymes Konto mit Webmailer von jedem Rechner aus nutzbar (https)?

phunou hat dies geteilt, 23 Tage her
unbeantwortet

Hallo,

ich frage mich gerade, ob man als mitm oder so erkennen kann, an welchem Konto sich jemand auf der mailbox.org-Seite anmeldet. Dank https sollten doch Benutzername und Kennwort verschlüsselt übertragen werden, sodaß ein Dritter nur sehen kann, von welcher IP aus jemand mailbox.org aufruft, aber eben nicht welches Konto er nutzt. Liege ich da falsch?

Mit einem Mailclient und einer verschlüsselten Verbindung müßte es genauso sein, oder? Ein Beobachter sieht, daß sich jemand mit den mailbox-Servern verbindet, aber er dürfte nicht sehen können, welche Mailadresse er benutzt.

Das erscheint mir irgendwie zu einfach. Was habe ich übersehen?

Kommentare (9)

Foto
1

Ich bin technisch nicht so der Spezialist. Aber meines Wissens nach ist eine Verschlüsselung mittels TLS (https für Webseiten sowie IMAP und SMTP über ssl oder starttls für Mail) sicher gegenüber Dritten. Selbst bei Verwendung eines öffentlichen Netzwerks (W-Lan im Hotel, oder andere Hotspots), also wenn Dritte den Datenverkehr mitschneiden können, kann der Inhalt der Daten nicht nachvollzogen werden.

Der Datenverkehr kann nur dann mitgelesen werden, wenn etwas schief läuft. Ein sogenannter "Man-in-the-middle-Angriff" nutzt meines Wissens immer Lücken aus. So etwas kann eine Sicherheitslücke sein (z.B. SSL 1.0 oder Poodle), oder aber eine schlampige Programmierung (wenn der Nutzername im https-Header erscheint), oder eine Nachlässigkeit des Nutzers (login auf einer Phishingseite statt der Originalseite).

Da Mailbox.org großen Wert auf Sicherheit legt, sollte das Risiko seitens des Betreibers gering sein. Trotzdem meide ich öffentliche Netze wenn irgendwie möglich. Ich benutze lieber etwas mehr Bandbreite bei meinem Mobilfunkanbieter, als mich über dubiose W-Lan-Hotspots einzuwählen. Mehr Sicherheit, und gleichzeitig etwas mehr Privatsphäre bekommst du, wenn du bei Verwendung öffentlicher Netze einen VPN-Anbieter verwendest.

Foto
1

Danke, ja, geht mir auch so, was fremde WLANs angeht. Mit mitm meinte ich einfach nur jemanden, der Daten auf ihrem Weg von A nach B mitliest, egal ob mit oder ohne Ausnutzung einer Lücke. Aber ich habe etwas übersehen: Thunderbird schreibt die IP-Adresse des Absenders in den Header. Der Webmailer von mailox.org tut das nicht. Solange mailbox.org keine IPs herausgibt, dürfte niemand dahinterkommen, welches Konto ich nutze, wenn ich mich auf der mailbox.org-Webseite anmelde. Ich bin mir noch nicht mal sicher, ob die IP da überhaupt Aufschluß geben würde. Man muß sie ja erstmal mit dem Konto in Verbindung bringen. Da kommt es darauf an, welche Infos/Metadaten bei der Nutzung des Webportals unverschlüsselt übermittelt werden, über die/den URL, vielleicht auch noch anders. Schätze ich im Moment doch eher als ziemlich riskant ein.

VPNs und Tor lasse ich mal außen vor, da kenne ich micht nicht aus.

Foto
1

Auch der Thunderbird in Verbindung mit mailbox schreibt weder die öffentliche, noch die lokale IP in den Header der Mails. Nur die Server Ip's. Bei anderen Email-Providern schaut es da schon schlimmer aus.....

Foto
1

So ist es. Mailbox.org löscht im Header entsprechende Einträge raus, bzw. übermittelt Sie nicht.

Foto
1

@ EINUSER:

Bezüglich der Nutzung von VPNs sollte man vorsichtig sein:

https://www.kuketz-blog.de/empfehlungsecke-mullvad-vpn-als-empfehlung-hinzugefuegt/

Tor mit Exitnode von mailbox.org ist gut: https://kb.mailbox.org/display/MBOKB/Den+Tor-Exit-Node+von+mailbox.org+verwenden

Was auch immer gut geht, ist ein VPN zur heimischen Fritzbox, um dort die Internetleitung zu nutzen.Auf der Fritzbox sollte man natürlich die DNS Server anpassen: https://digitalcourage.de/support/zensurfreier-dns-server

oder / und

https://dismail.de/info.html#dns

Foto
1

Wenn man Mails mit Thunderbird verschickt, wird dann der gesamte Header verschlüsselt an den Mailserver übertragen?

Foto
1

Schau dir das bitte mal an: https://kb.mailbox.org/display/MBOKB/SSL-TLS-Verschluesselung+bei+mailbox.org

Dortige Verbindung (1) sollte m.M.n. sowohl für Webmail und auch Thunderbird gelten.

Foto
1

Das ist genau die Frage. Aber die Sache ist mal wieder etwas komplexer als auf den ersten Blick ersichtlich. Siehe Wikipedia, SMTP:

  1. Zuerst ruft der Client den Server.
  2. Der Server antwortet "Bereit".
  3. Der Client nennt seinen Namen. (domain.tld, Was soll das sein?)
  4. Der Server antwortet "OK".
  5. Der Client nennt die Absenderadresse.
  6. Der Server antwortet "OK".
  7. Der Client nennt die Empfängeradresse.
  8. Der Server antwortet "OK".
  9. Der Client kündigt an, die Mail zu senden.
  10. Der Server fordert den Client dazu auf anzufangen.
  11. Der Client sendet die gesamte Mail, inklusive Header, in dem Absender- und Empfängeradresse stehen.
  12. Irgendwann sagt der Server "OK", der Client "Quit" und der Server wiederum, daß er den Kanal schließt.

Und das ist schon vereinfacht, da wird sich nicht authentifiziert. Aber man sieht, die Adressen werden zweimal übertragen. Die gesamte Abfolge ist vermutlich so:

  1. Handshake
  2. Benutzername senden
  3. PW senden
  4. Absender- und Empfängeradresse senden
  5. Nachricht senden

Preisfrage: Ab wann ist die Übertragung verschlüsselt?

PS: Bei STARTTLS ist es (laut Wikipedia, SMTP-Auth) anscheinend so, daß Benutzer und PW unverschlüsselt übertragen werden. Dann ist das vermutlich bei SSL/TLS nicht so. Alles andere wäre ja eigentlich auch dämlich.

PPS: Für mich sieht es so aus, als könnt niemand einsehen, welches Konto ein Anwender benutzt, solange er sich nur auf mailbox.org anmeldet (über https) und solange keine Sicherheitslücken im Spiel sind. Aber was passiert, wenn er dann im Portal Mails liest und schreibt und sendet? Das ist wohl eine Frage für den Support (vielleicht auch für den Support von OX). Der Heinlein-Support schreibt hier im Grunde das, was ich oben gemutmaßt habe (daß auch BN/PW verschlüsselt übertragen werden).

Foto
1

Für SMTP und IMAP gilt grundsätzlich ungefähr das gleiche.

Bei Zugriff über SSL/TSL (nicht STARTTLS, sondern ein direkt bedienter TLS Socket) startet die komplette Verbindung bereits mit dem Handshake. Alles folgende ist verschlüsselt.

Bei STARTTLS ist es (hoffentlich) immer so, dass der Client zuerst den Handshake per STARTTLS auslöst und dann die Zugangsdaten übermittelt. Alles folgende ist verschlüsselt. (Sehr sicher konfigurierte Server, die überhaupt keine Plaintext-Verbindungen mehr zulassen, können dem Client auch signalisieren, dass sie keine Zugangsdaten möchten, wenn nicht vorher STARTTLS passiert. Ein extrem schlecht implementierter Client könnte das aber technisch immer noch tun, wird sich damit zwar nicht einloggen können aber hat die Zugangsdaten dann schon übertragen.

Für http bzw. https gilt grundsätzlich der erste Abschnitt. Der Webserver spricht dann nur SSL und kein Plaintext. ALLERDINGS bei HTTP Zugriffen: Die Anfrage URL + GET Parameter wird verbindungs-verschlüsselt aber mindestens beim Zielsystem normalerweise geloggt und landet im Logfile des Webservers.

Zusammengefasst: Zwischen Client und dem Webserver bzw. Mailserver kann bei korrekter Nutzung von TLS keiner den Datenaustausch mitlesen, wenn er sich nicht vorher MITM mäßig als Proxy dazwischengehängt hat und sich anhand eines gültigen Zertifikats falsch ausweisen kann. Leider ist DANE auf Webserver und IMAP-Server Ebene nicht wirklich verbreitet und den Clients fehlen entsprechende Funktionen.

Foto