Nov 12

Aus aktuellem Anlass wurden einige Anbieter geprüft, wie diese mit der IP-Adresse des Versenders verfahren. Werden diese anonymisiert oder in Klarform in den erweiterten Headerinformationen gespeichert?

Wer gelegentlich E-Mails an Mailinglisten schreibt oder an Personen, die nicht unbedingt wissen sollen aus welcher Stadt/Gegend man kommt, für den ist es nicht uninteressant, wie die großen E-Mail-Provider mit der IP-Adresse des Computers umgehen von der die E-Mails versendet werden.

Verräterisch können dabei die E-Mail-Header (deutsch: Kopfzeilen) sein, in denen viele E-Mail-Anbieter die IP-Adresse vermerken, anhand der Empfänger sehen, aus welcher Gegend/ Stadt die E-Mail geschrieben wurde. Eventuell können noch weitere Schlüsse aus diesem Header gezogen werden. Beispielsweise schreiben einige Anbieter sogar die interne Netzwerkadresse oder den Computernamen in die Header !

MailHops BeispielEs geht um die sogenannten „Received-Header“, die in einer E-Mail anzeigen von welchem Ort und wohin diese transportiert wurde. Und zu diesem Transportweg gehört bei einigen Anbietern auch der einliefernde Computer, der die E-Mail verfasst und abschickt. Aus Datenschutzgründen möchte man natürlich nicht, dass die Empfänger wissen, von welchem Ort die E-Mail versendet wurde, mit welchem Gerät die E-Mail geschrieben wurde und wie das interne Netzwerk aussieht.

Gerade im geschäftlichen E-Mail-Verkehr kann eine nicht vorhandene Anonymisierung der IP-Adresse zu Unannehmlichkeiten führen. Ein Beispiel:

  1. Der Firmensitz der eigenen Firma ist in Deutschland. Die Geschäftskontakte (Lieferanten, Kunden etc.) sind ebenfalls alle in Deutschland ansässig. Die Geschäfte lassen sich aufgrund des Internetzeitalters von der ganzen Welt aus steuern, so daß man eine zeitlang seine Geschäfte aus dem Ausland, zum Beispiel vom Zweitwohnsitz aus regeln möchte. Dieses sollten Geschäftspartner und Kunden nicht wissen, so daß die Nutzung eines E-Mail Providers von Vorteil wäre, der die sensiblen Daten, wie IP-Adresse und  den Computernamen etc. nicht in den Received-Headern abspeichert. Nutzt man den falschen E-Mail Provider kann im Zweifel der Standort des Senders vom Empfänger herausgefunden werden. Lieferanten könnten aufgrund der ausländischen IP/des vermeintlich ausländischen Firmensitzes  misstrauisch werden, Bürgschaften aus Sicherheitsgründen verlangen oder im schlimmsten Fall den Liefervertrag aus Vorsicht kündigen…

Anbei die Übersicht, getrennt nach Anbietern und jeweils der Angabe beim Versand über den Webmaildienst oder einem externes Programm (wie z.B. Thunderbird, Apple Mail oder Outlook):

Versand per SMTPVersand per Webmailer
mail.dekeine IP enthaltenkeine IP enthalten
GMailinterne IP und öffentliche IPkeine IP enthalten
outlook.cominterne IP und öffentliche IPkeine IP enthalten
web.deinterne IP und öffentliche IPöffentliche IP
GMXinterne IP und öffentliche IPöffentliche IP
Yahoointerne IP und öffentliche IPöffentliche IP
Freenetinterne IP und öffentliche IPöffentliche IP
T-Onlineinterne IP und öffentliche IPöffentliche IP
Arcorinterne IP und öffentliche IPöffentliche IP

Alle Anbieter, bis auf den recht jungen und neuen E-Mail Provider „mail.de“, verraten die Absende-IP-Adresse, wenn eine E-Mail mit einem E-Mail-Client versendet wird, ebenso wie sogar der Computername bzw. die interne IP-Adresse des Computers festgehalten. Es hängt vom E-Mail-Client ab, ob die interne IP-Adresse oder gar der Computernamen (Bernd-PC) auftaucht.

Man sollte sich sicher sein, dass der eigene Anbieter nicht diese sensiblen Daten mit in die E-Mails schreibt, die man verschickt. Zu empfehlen ist also aktuell nur „mail.de“. Oder man nutzt Anonymisierungsdienste wie „Tor“ oder „VPN-Dienste“, was für viele Anwender aber zu kompliziert bzw. zu teuer ist.

Zum besseren nachvollziehen wurden die Textdateien mit Headerbeispielen angehängt. Am besten ist es jedoch selbst auszuprobieren, wie der eigenen E-Mail Provider verfährt: Einfach eine E-Mail versenden und beim Empfänger in die Kopfzeilen schauen! Hilfreich ist auch das bereits hier vorgestellte Thunderbird-Addon MailHops, das grafisch den Weg einer E-Mail anzeigt.

mail.de Arcor gmail GMX outlook.com T-Online web.de Yahoo Freenet

 

Tagged with:
Mrz 22

Von Beginn an kritisieren Datenschützer und IT-Experten das De-Mail Projekt, da es keine End-To-End Verschlüsselung bietet. Dadurch können die beteiligten E-Mail-Provider die verschlüsselten Nachrichten mitlesen, da sie kurzzeitig dort entschlüsselt werden.

Nun soll De-Mail auch für die Behördenkommunikation genutzt werden, sprich Austausch zwischen Behörden. Das Finanzamt hat sich nun gemeldet und gesagt dass das gegen das Steuergeheimnis verstösst, denn die De-Mails sind ja bei den Providern entschlüsselbar, und das ist verboten, die Steuerdaten sind geheim zu halten auf dem Transportweg.
Was wird nun gemacht? Anstatt kein De-Mail zu verwenden oder De-Mail sicherer zu machen, wird einfach die Abgabenordnung geändert, damit das Entschlüsseln bei den Providern kein Verstoss mehr ist. Toll oder?

Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger […] über De-Mail-Dienste […] versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung […] zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten […] stattfindet.

D.h. auch wenn man selbst aus gutem Grund kein De-Mail nutzt weil es unsicher ist, bekommen die Provider trotzdem Zugriff weil ja auch innerhalb der Behörden Dinge hin- und hergeschickt werden, dagegen kann man sich nicht wehren. Man darf seine Steuerdaten also bald als öffentlich betrachten.

Gegen eine wirksame und sicherer End-To-End-Verschlüsselung gibt es kaum Gründe, außer dass es nicht mehr abgehört werden kann. PGP, S/MIME etc. sind seit mehr als 20 Jahren etabliert und gelten als sicher.

Ich schüttle nur mit dem Kopf, das kann nicht wahr sein was die da oben machen…

Okt 23

Vor Kurzem las ich über SSL-Probleme, die Ende 2011 bzw. im September 2012 aufkamen unter den Namen BEAST (Browser Exploit Against SSL/TLS) und CRIME (Compression Ratio Info-leak Made Easy). Beide Angriffe sind dazu in der Lage, aus dem eigentlich verschlüsselten Datenstrom zum Beispiel die Session-Cookies auszulesen, womit der Angreifer dann automatisch im Account des Benutzers eingeloggt ist und seine Daten stehlen oder das Passwort ändern kann.

Um eine kurze Übersicht zu erstellen wie es bei den bekannten Mailprovidern aussieht habe ich die unten stehende Tabelle erstellt. Mit Hilfe der Webseite ssllabs.com konnte ich sehr einfach überprüfen ob ein Provider anfällig ist. Stand der Tabelle ist der 23.10.2012 (sortiert nach Punkten):

AnbieterURL der TestseiteBEASTCRIMESSLLabs PunkteAnmerkung
GoogleMailWebseitesichersicher87
mail.deWebseitesichersicher87
web.deWebseiteanfälliganfällig85
GMXWebseiteanfälliganfällig85
ArcorWebseiteanfälligsicher66Schwache Verschlüsselungen, anfälliges SSL 2.0, und:

Long handshake intolerance
TLS extension intolerance
FreenetWebseiteanfälliganfällig61Nicht nur anfällig gegen BEAST und CRIME, sondern zusätzlich:

This server is vulnerable to MITM attacks because it supports insecure renegotiation.
This server is easier to attack via DoS because it supports client-initiated renegotiation.
T-OnlineWebseiteanfälligsicher52Nur 52 Punkte, schlechtestes Ergebnis

Schwache Verschlüsselungen, anfälliges SSL 2.0
Secure Renegotiation Not supported

Nur Googlemail und mail.de können sich tadellos präsentieren, alle anderen haben Sicherheitsprobleme, die teilweise gravierend sind. Da sollte dringend nachgebessert werden, gerade Provider die von mehreren Millionen Personen genutzt werden sollten auf ihre Sicherheit und die ihrer Kunden achten.

Hier die Screenshots mit dem aktuellen Stand:

Tagged with:
Apr 18

Der E-Mail Markt ist zweifelsohne in Bewegung. Facebook fängt damit an, seinen Nutzern automatisch eine E-Mail Adresse unter @facebook.com zuzuweisen und dringt durch dieses Feature auch in die Gefilde der E-Mail Provider ein. Grund genug, sich mit dem  Dienst näher zu beschäftigen:

Auffällig ist die Sperrlichkeit, mit der Facebook den neuen Dienst einführt. In einer kurzen Pressemeldung wird auf die Einführung des neuen Dienstes verwiesen. Aber wie verhält es sich mit den zusätzlichen Daten, die Facebook durch den E-Mail Dienst erhält?

Darf Facebook die externen E-Mail Adressen der Empfänger für eigene Zwecke verwenden? Werden Einladungs-E-Mails an unregistrierte Facebook-User versendet? Werden Inhalte der E-Mails ähnlich wie bei Google durch Software „überwacht“ und anhand erspähter „KeyWords“ entsprechende Werbung eingeblendet? Neben dieser Ungewissheit steht es außer Frage, das Facebook mit der Einführung der E-Mail Adressen sich auch ein Stück weit angreifbar für Spammails von Außerhalb macht. Kommen ausreichend Schutzmassnahmen zum Einsatz? Viele Fragen bleiben derzeit unbeantwortet, so daß jedem verantwortungsvollem E-Mail Anwender zunächst nur geraten werden kann, den Dienst kritisch zu betrachten oder gar vorerst von einer Nutzung abzusehen.

Erst kürzlich konnte Google verkünden, den Rechtsstreit in Deutschland bzgl. der Domain gmail.de beigelegt zu haben. Ob aus diesem Grund technische Umstellungen vorgenommen werden mussten und der Dienst gestern Abend (17.04.2012) teilweise nicht erreichbar war, ist unbekannt. Zumindest berichten viele User über soziale Netzwerke, dass Sie die folgende Fehlermeldung erhalten: „Temporärer Fehler (500) – Leider ist Ihr Google Mail-Konto verübergehend nicht verfügbar. Bitte versuchen Sie es in wenigen Minuten erneut.“

Der mobile Zugriff scheint laut Nutzermeldungen zu funktionieren.
Es ist schon erstaunlich, dass immer wieder auch Weltkonzerne von derartigen Ausfällen betroffen sind. Sollte man doch meinen, dass aufgrund der immensen Nutzerzahlen entsprechende Vorkehrungen getroffen werden. Bleibt abzuwarten, ob der Ausfall auf technische Änderungen durch Einführung der Domain gmail.de zurückzuführen sind.

Tagged with:
Apr 30

Was schon lange bekannt war, wird nun mit Zahlen belegt:

  • 2009 sank der Gewinn vor Steuern im klassischen Briefgeschäft um 14 %
  • 2010 soll der Gewinnrückgang gar 30 % ausmachen

Die Deutsche Post sieht den Grund in der kontinuierlich steigenden E-Mail – bzw. Online  Kommunikation.
Da trifft es sich ja, dass noch dieses Jahr der Dienst „Brief im Internet“ (alias ePost bzw. E-Postbrief) auf den Markt kommen soll.
Als Konkurrent von De-Mail will die Deutsche Post somit in den Markt der sicheren und rechtsverbindlichen E-Mail einsteigen und so Verluste aus dem Briefgeschäft kompensieren.
Wir sind gespannt!

Verwandte Artikel:

Tagged with:
preload preload preload