Willkommen im User-Forum von mailbox.org
 

Sicherheitsfragen

6991748 hat dies geteilt, 59 Tage her
unbeantwortet

Hallo, hab ich bin neu hier und überlege mich dauerhaft hier anzumelden.

Ich habe erstmal 3 Fragen zum Thema Sicherheit die mich sehr interessieren:

Der Thema Schutz gegen Hacker und Datendiebe z.b. Man-in-the-middle usw.

Letztes Jahr oder so wurden ja eine Menge um die Millionen Datensätze mit email-passwörtern aufgetaucht.


A)verschlüsselung -> haben ja ssl und verschlüsseln es damit?

HTTPS mit SSL: Haben ja alle Mainstream/Standardanbieter die ich kenne, wie z.B. web.de/gmail.com als auch korrekte wie mailbox.de.

Es verschlüsseln die Passwörter als Hash, damit Hacker die Passwörter nicht als Klartext lesen können.

-> Wie können Ende 2018 Millionen von Datensätze unverschlüsselt aufgetaucht sein, wenn all diese Anbieter, die SSL haben.

Phishing wäre möglich, aber bei Millionen konnten ist das auch Seltsam. Diese waren auch gmx Konten aber die haben schon länger SSL.

(Da könnt ihr gerne ganz tief in die Materie eingehen. )


B)PGP. Verschlüsselt beim Gesendeten email den Inhalt. Ohne PGP könnte einer die email abgreifen und in klar text lesen?

-> Auf dieser Seite hier: https://www.heinlein-support.de/blog/security/e-mail-verschluesselung-site-to-site-per-pgp-gpg-smime-oder-ssl-tls/

-> zufälligerweiße ist die Seite vom mailbox-Betreiber? Beim googlen wars oben. Ist mir auch erst beim reinkopieren aufgefallen. ^^

-> "Trotzdem ist SSL/TLS durchaus sehr vorteilhaft, denn hier wird die gesamte Kommunikation zwischen den Servern verschlüsselt — es gelangt keine Information mehr"

heißt ja es wird nicht nur der Passwort verschlüsselt sondern auch der Text? Jetzt bin ich da verwirrt. Ok unten wird dann alles schön verglichen aber soll ich jetzt PGP nutzen? Habe es bisher nicht gebraucht, aber das Thema mit dem Datenklau von Millionen Konten schreckt da schon etwas ab. Hab auch Zugangsdaten und passwörter für manche Seiten, die bei meinen Emails ab und zu drin stehen. Muss ich, wenn ich jetzt PGP nutze dann Zuerst den Email-passwort und daraufhin den PGP-Passwort eingeben? (Zu all den ganzen Passwortchaos was eine andere Baustelle ist...) PGP hört sich schon zwecks komfort sehr nachteilig an oder ist das nur minimal?

C)Wenn ich mich mit der App von my.com mit meiner web.de account anmelde, blockiert es wegen einer Sicherheit den Zugriff.

Da gibts eine Fuktion, die POP3 und IMAP zugriff Standard erstmal deaktiviert ist. Diese kann vom Nutzer einfach aktiviert werden.

Hört sich ja gut und bisschen sicherer an oder?


Ich hoffe auf informative Antworten.

freundliche Grüße

Kommentare (2)

Foto
2

Hi, zu deinen Fragen...

- alle nutzen SSL/TLS, das ist richtig. Es gibt nur verschiedene Versionen dieser kryptografischen Verfahren und manche gelten mittlerweile als unsicher. mailbox.org verwendet nur sichere Varianten und akzeptiert bei den Ciphers, welche Client und Server aushandeln können, ebenfalls nur die als sicher geltenden Versionen, vorrangig mit PFS (siehe z.B. hier - https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.pdf?__blob=publicationFile&v=7 ). Du kannst die Server der Mail-Provider selbst testen, z.B. mit https://www.ssllabs.com/ssltest/ . Hier wirst du sehr schnell erkennen, dass mailbox.org mit seinen Servern einer der sichersten und restriktivsten Mail-Provider ist, wenn es um die Sicherheit geht.

- bei mailbox.org werden die Passwörter übrigens im Klartext übertragen. Dies ist aber dennoch sicher, da die Passwörter durch den zuvor ausgehandelten, hochsicheren TLS-Tunnel "geschickt" werden.

- Die geleakten Zugangsdaten stammen vorrangig aus Server-Hacks und nicht aus klein-klein gehackten Endgeräten und nicht aus einzelnen Phishing-Angriffen. Es gibt leider etliche Anbieter (mailbox.org ausgenommen), die speichern die Zugangsdaten im Klartext, als einfachen (rückrechenbaren) Hash, auf ungesicherten und offenen Cloud-Instanzen und und und. Was hier an mangelhaft abgesicherten Infrastrukturen betrieben wird, könnte schon fast als kriminell bezeichnet werden.

- PGP ist natürlich Ende-zu-Ende-Verschlüsselung und hinreichend sicher. Eine nicht PGP-verschlüsselte E-Mail kann jedoch nicht kategorisch als unsicher bezeichnet werden. Sofern die betroffenen Mailserver untereinander TLS-Verbindungen nutzen und die notwendigen Client-Verbindungen auch mittels TLS abgesichert sind, kann dennoch von einer sicheren Mail-Kommunikation gesprochen werden. Bei mailbox.org gibt es die Möglichkeit, E-Mails über @secure.mailbox.org-Adressen zu schicken, dann hast du eine TLS-Versandgarantie, d.h. die Mail wird nur verschickt, wenn der angesprochene Empfangs-Mailserver eine sichere TLS-Verbindung unterstützt. Das gleiche gibt es auf Empfangsseite. Wird eine E-Mail an @secure.mailbox.org-Adressen versandt, wird diese nur unterstützt, wenn die Serververbindung sicher ist. Dies nennt sich TLS-Versand- und Empfangsgarantie - siehe https://kb.mailbox.org/pages/viewpage.action?pageId=1179896

- Ich würde an deiner Stelle keine Mail-Clients verwenden, welche deine Zugangsdaten zwecks Push-Nachrichten auf fremden Servern speichern. Ob dein Client dies macht, würde ich mal in den AGBs etc. nachlesen.

- PGP ist natürlich gut, leider ist es für Mainstream etwas zu kompliziert. Mit dem Anbieter mailbox.org kannst du jedoch beruhigt sein, dass das "Drumherum" nach Best Practice und dem Stand der Technik abgesichert ist...

Foto
1

Vielen Dank für die ausführliche Antwort. Fühl mich jetzt sicherer.

Ich suche eine sichere alternatvie zum mail-client von apple und da ist der mail-client von my.com als auch outlook mit toller einer tollen Oberfläche, bei dem ich nicht ewig runterscrollen muss, um die ordner meiner 4ten email zu sehen. Bei Android wäre dies K9-mail aber dies gibt es beim iphone nicht.

Wie ist der Mailclient von my.com wegen Sicherheit und "push-nachrichten"? Die Oberfläche finde ich besser und übersichtlicher als von ios-standard-mail, da ich beim ios-email immer runterscrollen muss, da ich dort 3-4 emailadressen mit ordnern habe. Beim mail-com client brauche ich nur auf den Symbol klicken.

Bei den Infos steht, dass es jede IMAP- und POP3 aktivierte mailbox unterstützt. Da web.de dies schon voreingestellt deaktiviert hat und mailbox.org nicht. Frage ich mich gerade wieso das so ist.

Hoffe auf eine weitere informative Antwort. Eventuell sollte ich dafür ein neues Thema erstellen?

Foto