Wie geht man bewusst sicher mit E-Mails um?

Hallo Rocklell,

Zitat von Rocklell

Mozilla hat (wie schon bei Firefox) nicht kapiert, dass die Add-Ons das Alleinstellungsmerkmal waren und trotzdem hat man ohne Rücksicht auf Verluste die Webextensions durchgedrückt.

bei allem Verständnis für möglichen eigenen Ärger, aber die Add-ons gegenwärtig noch als Alleinstellungsmerkmal Mozillas (Internetbrowser Firefox) bzw. der Thunderbirdentwicklergemeinschaft (Mailprogramm Thunderbird) zu bezeichnen, entspricht einfach nicht der Wirklichkeit, ja streng genommen nicht einmal der Wahrheit.

Es war einmal so, aber es ist seit einigen Jahren definitiv nicht mehr so!

Für den "alten" MS-Internetexplorer, für den auch schon einige Jahre zur Verfügung stehenden Chromebrowser von Google, für kleinere Mailprogramme wie Claws Mail und größere wie MS Outlook und weiteren stehen schon seit vielen Jahren Plugins, Add-Ons, oder wie auch immer die Bezeichungen der Programmerweiterungen sein mögen, zur Verfügung!

Die Umstellung auf die Webextension waren auch kein böser Wille von Mozilla, um Erweiterungsentwickler und -nutzer zu ärgern.

Wenn man sich schon nicht an die Wirklichkeit damals und die Beweggründe dazu (Stichwort: Firefox 57 "Quantum") erinnern will, dann sollte man wenigstens einmal die Fakten zur Kenntnis nehmen.

Eines dieser Fakten ist beispielsweise, dass Mozilla fast zwei Jahre vor der Veröffentlichung von Firefox 57 dieses Umstellungsvorhaben bereits kommuniziert hat.

Dass da in der Koordinierung mit den Erweiterungsentwicklern manches auch suboptimal gelaufen ist und manche APIs nicht zeitnah genug zur Verfügung gestellt werden konnten, ist ebenfalls richtig. Ja, auch Mozilla hat da Fehler gemacht. Der Shitstorm, der mittlerweile bei jeder Veröffentlichung von Mozilla selbst, bei jeder neuen Programmveröffentlichung einer Thunderbird- oder Firefoxversion, durch fortgesetzte Pflege billiger Vorurteile kübelweise ausgegossen wird, haben weder Mozilla selbst noch die Programmentwickler des Firefox und Thunderbird verdient.

Ein weiteres Faktum ist, dass die klassischen Add-ons so tief in die Funktionalität des Firefox und des Thunderbird eingreifen konnten (und dies auch vielfach taten), dass es nach fast jedem Update beider Programme zu zum Teil erheblichen Problemen mit einer Vielzahl von Add-ons gekommen ist und der eigentliche Code des Firefox oder Thunderbird angepasst werden musste oder schlampigen Add-on-Entwicklern "in den Hintern getreten werden musste", dass sie ihre Add-ons richtig pflegen.

Ich habe viele Nutzerbeschwerden von den Jahren vor den Webextensions noch gut in Erinnerung. Und in der Regel wurde die Schuld den Firefox- und Thunderbirdentwicklern bzw. global Mozilla gegeben, die bekamen den "schwarzen Peter"!

Es wäre gut, wenn mancher, der fortgesetzt solche Urteile wie Vorurteile wie eine Monstranz vor sich her trägt, sich mal selbst besinnt und mal darüber nachdenkt, wie sich (auch sehr viele freiwillige und vielleicht zum Teil auch unbezahlte) Entwickler dieser Programme fühlen müssen, von denen einige vielleicht auch Stück Herzblut in die Verbesserung des Browsers und des Mailprogrammes investiert haben.

Ständig die A*******hkarte zu bekommen ist wahrlich nicht angenehm.

Meine zwei Cent dazu!

Gruß

Feuerdrache

Soweit zur Kritik an den umgestellten Add-ons.

Jetzt geht es aber bitte wieder zurück zum eigentlichen Thema, sonst mache ich das Thema gleich dicht.

Hallo zusammen,

da habt ihr eines meiner Lieblingsthemen aufgegriffen. Wir alle können es ja beinahe täglich lesen: E-Mail ist nach wie vor - oder gerade heutzutage - das Einfallstor für Angreifer.

Da sollte sich niemand sicher fühlen, wie ich auch gleich an einem ganz einfachen Beispiel zeigen werde.

Das Anzeigen in HTML spielt sicherheitstechnisch nur noch eine kleine Rolle. Denn gute Mailprogramme, wie der Thunderbird, führen aktive Scripte gar nicht erst aus nicht aus.

Die Angriffe erfolgen im wesentlichen auf zwei Arten, entweder über schädliche Anhänge oder über Phishing in verschiedenen Varianten.

Ein ganz einfaches Beispiel. Ich hoffe, die Forensoftware spielt dabei mit. Welcher Link ist "echt"?

https://www.me%d1%96nebank.xy

https://www.meinebank.xy

Beide habe ich direkt aus einer Mail kopiert. Die Links sehen gleich aus? Das sind sind sie aber nicht!

In einem habe ich ein lateinisches e durch ein kyrillisches e ersetzt. Sie würden deshalb auf unterschiedliche Seiten führen.

Auch die Ansicht in Reintext hilft hier nicht. Die Links lassen sich in der Anzeige, je nach Schriftsatz, nicht unterscheiden.

Man erkennt den gefälschten Link aber, wenn man mit der Maus darüber fährt und natürlich im Quelltext. Dort zeigt sich der gefälschte Link dann so: https://www.nx-menebank-uhh.xy

In der HTML-Ansicht lassen sich gefälschte Links noch etwas besser verbergen, z.B. indem man sie maskiert oder hinter Grafiken legt. Insofern bietet Reintext nach wie vor etwas mehr Schutz.

Wie kann man sich nun wirksam schützen?

Zunächst passiv, indem man bei Anhängen und Links vorsichtig ist und diese sorgsam kontrolliert. Im Zweifelsfall nicht öffnen oder anklicken. Das sind bekannte Dinge, aber dass sie nicht immer funktionieren, zeigen die vielen erfolgreichen Angriffe. Vor allem, wenn sie gezielt erfolgen und/oder durch Social Engineering vorbereitet sind.

Es gibt aber auch aktive Maßnahmen, die den Schutz erhöhen. Aktiv heißt aber leider, der Benutzer muss sich kurz vom Sofa erheben.

Die aus meiner Sicht wirkungsvollste Maßnahme wären S/MIME Signaturen. Die sind sehr wirksam, weil sie gefälschte Absender oder veränderte Inhalte automatisch erkennen.

Allein schon, wenn Paypal und Amazon ihre Mails signieren würden, dann wären gefühlt mehr als 50% aller Phishing-Mails sofort als solche markiert und erkennbar. Da könnten wir sogar noch auf dem Sofa sitzen bleiben.

Aber ich will nicht nur auf andere zeigen. Jeder kann etwas tun. Mein Arbeitgeber und selbst unsere Dorfbank unterschreiben ihre E-Mails inzwischen digital, weil Kunden danach gefragt haben. Es werden so langsam mehr.

Vielleicht stehen wir also doch mal kurz auf und gönnen unserer Sicherheit ein paar Minuten? Im privaten Umfeld braucht man keine qualifizierten S/MIME-Zertifikate. Hier tun es auch selbsterstellte PGP-Signaturen. Das ist für Thunderbird-Anwender mit der 78 inzwischen wirklich einfach einzurichten. Man benötigt keine Zusatzsoftware und auch keine Erweiterung mehr. Es gibt dazu noch ein paar Baustellen in der 78, aber die betreffen hauptsächlich den Umstieg und die Nutzung bestehender GnuPG-Zertifikate. Kein Grund, zu zögern.

Outlook benötigt dazu ein AddOn, auf dem Smartphone unterstützt das nicht jedes Mailprogramm. K-9 + OpenKeyChain kann es. Doch selbst, wenn der Empfänger mit einer PGP-Signatur nichts anzufangen weiß, sie stört nicht. Die Mails sind nach wie vor lesbar.

Vielleicht bemerkt der Empfänger aber, dass da eine Signatur im Anhang mitgeschickt wurde und fragt nach, was das ist? Das wäre dann die Gelegenheit.

Also, probiert es einfach mal aus! Jede digitale Unterschrift zählt.

Was passiert eigentlich, wenn mein nur 1 Jahr gültiges S/MIME-Zertifikat abgelaufen ist? Bleiben die bisherigen Unterschriften gültig? Was "muss" ich machen, um weiterhin unterschreiben zu können? Im Grunde bezieht sich meine Frage auf beide Varianten (S/MIME und OpenPGP). Was muss ich machen, um zu "verlängern"?

Dazu vielleicht zunächst die sehr verkürzte Antwort: Wenn wir nur das Signieren betrachten, ist es eigentlich egal. Denn die Echtheit einer E-Mail muss ja nur im Moment des Empfangens geprüft werden.

Etwas genauer:

Abgelaufene Zertifikate funktionieren zum Prüfen einer Signatur und für das Entschlüsseln weiterhin. Man muss sie dazu natürlich zusätzlich zu den neuen installiert lassen.

(Das ist einer der Gründe, weshalb ich das dauerhafte Entschlüsseln unter Enigmail so sehr geschätzt habe.)

Sie lassen sich aber nicht mehr zum Unterschreiben oder Verschlüsseln neuer Mails benutzen.

Bei S/MIME benötigt man nach dem Ablauf neue Zertifikate.

Im Falle von selbsterstellten PGP-Schlüsseln gibt es die Möglichkeit, die Gültigkeit nachträglich zu verlängern, bis hin zu unbegrenzt. Früher ging das direkt in Enigmail. Jetzt braucht man wohl eine Schlüsselverwaltung wie Kleopatra dazu oder macht es direkt über GnuPG.

Wenn man Schlüssel verlängert hat, muss man den öffentlichen Schlüssel neu verteilen.

Das Verlängern entspricht sicher nicht der reinen Sicherheitslehre, ist aber meiner Meinung nach für private Zwecke völlig ok.

Hallo Susi,

Zitat von Susi to visit

Outlook benötigt dazu ein AddOn

welches Add-in braucht man für Outlook?

Gruß
EDV-Oldi

GPGOL. Kommt bei GPG4WIN mit.

Zitat von Susi to visit

GPGOL. Kommt bei GPG4WIN mit.

Dann muss man aber auch Kleopatra mit installieren, brauch ich das dann auch für Thunderbird?

Zitat von Susi to visit

Jetzt braucht man wohl eine Schlüsselverwaltung wie Kleopatra dazu

Ich dachte das macht alles Open PGP.

Gruß
EDV-Oldi

Zitat von edvoldi

Dann muss man aber auch Kleopatra mit installieren, brauch ich das dann auch für Thunderbird?

Also, das Add-On ist nur für Outlook. Im Thunderbird ab 78 braucht man Kleopatra nicht mehr. Wie ich oben geschrieben habe, kann man Kleopatra aber dazu benuten, die Gültigkeit von Schlüsseln nachträglich zu verändern. Das kann die 78 (noch) nicht.

Hallo Susi,

Zitat von Susi to visit

Also, das Add-On ist nur für Outlook.

das ist mir klar.

Zitat von Susi to visit

Wie ich oben geschrieben habe, kann man Kleopatra aber dazu benuten, die Gültigkeit von Schlüsseln nachträglich zu verändern. Das kann die 78 (noch) nicht.

das hatte ich nicht richtig verstanden.

Danke für die Info.

Gruß
EDV-Oldi

Hallo Susi,

Zitat von Susi to visit

Wie ich oben geschrieben habe, kann man Kleopatra aber dazu benuten, die Gültigkeit von Schlüsseln nachträglich zu verändern.

ich kann meine Schlüssel in Open PGP verlängern, Du nicht?

Gruß
EDV-Oldi