Willkommen im User-Forum von mailbox.org
 

STARTTLS ist Standard bei der Einrichtung eines mailbox.org Accounts in Thunderbird.

3966068 hat dies geteilt, 2 Jahren her
kein Problem

Hallo mailbox.org Team,


mir ist aufgefallen, dass bei der Einrichtung eines mailbox.org Accounts in Thunderbird IMAP und SMTP automatisch so konfiguriert werden, dass STARTTLS verwendet wird. Dies spiegelt auch die Anleitung in der Hilfe wieder. Soweit ich STARTTLS verstehe, ist es anfällig für MITM-Angriffe, wodurch Daten evtl. ungeschützt übertragen werden. Durch manuelle Konfiguration kann dies auch in Thunderbird verhindert werden (indem statt STARTTLS bei "Verbindungssicherheit" SSL/TLS angegeben wird).

Durch die Voreinstellung werden somit unnötigerweise Nutzer von mailbox.org gefährdet.


Falls ich mich im Bezug auf die Sicherheit von STARTTLS irre, bitte ich dies zu entschuldigen.

Ich hoffe auf eine baldige Antwort!

Edit: Typos

Beste Antwort
Foto

> IMAP und SMTP automatisch so konfiguriert werden, dass STARTTLS

Das ist seit einigen Tagen (ca. eine Woche) nicht mehr korrekt, fürThunderbird wird SSL bevorzugt angeboten.

Die in der Literatur beschriebenen möglichen Angriffe auf STARTTLS sind durch unsere Server Konfiguration ausgeschlossen, so dass diesbezüglich auch früher kein Risiko bestand.

Kommentare (11)

Foto
2

> IMAP und SMTP automatisch so konfiguriert werden, dass STARTTLS

Das ist seit einigen Tagen (ca. eine Woche) nicht mehr korrekt, fürThunderbird wird SSL bevorzugt angeboten.

Die in der Literatur beschriebenen möglichen Angriffe auf STARTTLS sind durch unsere Server Konfiguration ausgeschlossen, so dass diesbezüglich auch früher kein Risiko bestand.

Foto
1

Vielen Dank für die schnelle Antwort!

Foto
1

Ist SMTPS auf Port 465 nicht deprecated und nur noch submission auf Port 587 vorgesehen?

Warum wurde die Änderung denn durchgeführt, wenn STARTTLS kein problem ist?

Foto
1

Nein, "old style SSL" ist nach wie vor besser, vor allem bei SMTP, siehe Vergleich von SSL und STARTTLS insbesondere für SMTP im Privacy-Handbuch.


submission auf Port 587 verwendet STARTTLS und hat damit eindeutig Privacy Leaks.

Foto
1

Die Zuweisung 465 -> smtps wurde schon lange aufgehoben und gilt nicht mehr: https://www.ietf.org/assignments/service-names-port-numbers/service-names-port-numbers.txt


Entsprechende Hinweise findet man auch zuhauf in google. Deshalb die Frage, warum jetzt plötzlich wieder SMTPS auf Port 465 verwendet wird.


Ich habe früher auch immer 465 wegen der sicheren TLS-Verschlüsselung genutzt, aufgrund der o.g. Hinweise aber auf Port 587 umgestellt.

Foto
1

Am Ende ist alles das gleiche. Es ist immer der gleiche "smtpd" des Mailservers, es ist immer das gleiche SSL, es ist immer SMTP. Total egal, ob Port 25, 587 oder 465 benutzt werden. (587 und 25 unterscheiden sich aus Sicht des Clients nicht, das ist nur eine kleine Besonderheit auf Server-Seite.).


Ich sehe da auch keine "Privacxy-Leaks". Das ist Humbug.

Foto
1

Der smtpd am Ende ist zwar der gleiche, aber wenn bei STARTTLS das STARTTLS-Kommando abgefangen wird, haben wir eben kein TLS. Bei "direktem" TLS gibt es hingegen eine immere TLS-Verbindung oder keine, aber keine unverschlüsselte.

Wenn es "immer das gleiche" ist, warum wurde dann seitens mailbox.org umgestellt?

Foto
1

Wenn das STARTTLS abgefangen wird, dann gibt es am Ende gar kein SMTP weil unser Server das dann gar nicht erst mitmacht.


Umgestellt wurde es von einem Kollegen, der das aufgrund der vielen Diskussionen darüber irgendwann veranlaßt hat. Das ist technisch gesehen sinnfrei, aber wenn wir ständig zeitraubende Diskussionen auf Basis falscher Annahmen führen müssen, dann ändern wir das halt.


Ich persönlich hätte das nicht gemacht, weil viele moderne Mailclients in ihrem Setup automatisch eher nach submission statt smtps suchen.

Foto
1

> Ich sehe da auch keine "Privacxy-Leaks". Das ist Humbug.


Die interne IP aus dem LAN wird bei SMTP via STARTTLS unverschlüsselt im HELO vom E-Mail Client gesendet. Für Whistleblower kann das ein k.o. sein, weil man dadurch erkennen kann, von welchem Rechner innerhalb einer Firma die E-Mail gesendet wird. Bei SSL/TLS gibt es diesen Leak nicht, ist unter dem Link im PRivacy HAndbuch beschrieben.


> Wenn das STARTTLS abgefangen wird, dann gibt es am Ende gar kein SMTP weil unser Server das dann gar nicht erst mitmacht.


Wenn STARTTLS abgefangen wird, dann sendet ein dämlicher E-Mail Client möglicherweise die Login Credentials unverschlüsselt. Der Server von Mailbox.org würde das nicht annehmen und keine Verbindung aufbauen, der dämliche E-Mail Client würde die Login Credentials "gegen die Wand werfen", aber unverschlüsselt und ein Angreifer könnte es abgreifen. Mozilla Thunderbird war früher in der Standard-Config so dämlich, ist jetzt aber besser geworden.

Foto
1

Ich liebe diese schwammigen Begründungen "dann sendet ein dämlicher Client möglicherweise".


Welcher Client soll das sein?

Hat es das jemals gegeben?


Warum soll man nicht genausogut begründen können "ein dämlicher Client könnte möglicherweise auch auf Port 465 Zugangsdaten senden wenn wein MitM dort das SSL kaputt macht". Genausogut könnte man auch schwadronieren, ein dämlicher Client könnte die Mail versehentlich auf Facebook posten, wenn er keinen Connect bekommt. Sorry, ist unsachlich, ich weiß. Genau darum geht es ja.


Das sind schwammige Behauptungen ohne jede Substanz. Mit solchen "Vermutungen" kann man fast alles auf der Welt beweisen und in Frage stellen.

Foto
2

Wikipedia: https://de.wikipedia.org/wiki/STARTTLS


"STARTTLS kann jedoch nicht verhindern, dass eine Client-Software, die

STARTTLS nicht kennt, die Login-Daten im Klartext sendet (siehe Kapitel 9

von RFC 2595. "


"nicht kennt" kann dabei auch bedeuten, dass "250_STARTTLS" vom Provider oder einem anderen man-in-the-middle unterdrückt wurde.


Der RCF weist in Kapitel 9 darauf hin, dass in diesem Fall die Sicherheit durch den Mail Client gewährleistet werden muss. Bei alten Thunderbird Versionen war das nicht der Fall, bei aktuellen Thunderbirds ist es gefixt. Mit anderen Mail Clients habe ich keine Ahnung, wie die arbeiten.


Im Gegensatz dazu kann bei TLS auf Port 465 der Provider alleine sicherstellen, dass eine sichere Verschlüsselung immer genutzt wird und ist nicht auf die Kooperation der Mail Clients angewiesen. Aus meiner Sicht würde das Verhalten eindeutig besser zu Mailbox.org passen, (was inzwischen ja durch die Techniker so realisiert wurde - danke).

Foto