Das Land Thüringen ist Vorreiter bei der datenschutzfreundlichen Kommunikation für Lehrer, Schüler und Eltern. Da können sich andere Bundesländer eine große Scheibe von abschneiden. So gelingt digitale Souveränität.

osb-alliance.de/news/sichere-e

@kuketzblog
Leider gibt's bei Mailbox. org bei SMTP Versand, keine Prüfung ob man berechtigt ist über die angegebene Mail Adresse zu versenden. Somit kann sich jeder Nutzer als ein anderer Mailbox Nutzer ausgeben und dem Empfänger fällt ohne einen Blick in den Quelltext nichts auf.

@og Schick mir doch mal eine E-Mail von webmaster@kuketz-blog.de an info@kuketz-security.de

Danke!
P.S.: Mail-Hosting via mailbox.org

@kuketzblog @og

Unglaublich, das scheint tatsächlich möglich zu sein:
------- Quelltext -------
Date: Sat, 13 Jun 2020 15:30:54 +0200
From: <webmaster@kuketz-blog.de>
To: <info@kuketz-security.de>
Subject: mailbox.org SMTP-Test
Message-ID: <20200613153054.0000xxxx@mailbox.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit

mailbox.org | SMTP-Test

Follow

@danilo @kuketzblog @og und was noch viel schlimmer ist. Einmal eine Domain bei Mailbox.org registrieret. Mails darüber abgewickelt... danach Domain umgezogen. Aber man kann dann immer noch via Mailbox.org die Mails mit der Domain versenden, da die Domainverknüpfungen im System nicht löschen und auch nicht erneut prüfen. Auch eine Schwachstelle!

@case2tv @danilo @kuketzblog @og

Das stimmt so (natürlich) nicht. Ist ein Account gekündigt, werden (natürlich) alle Anlagen und Daten gelöscht. Eine "Domainverknüpfung" gibt es nicht, aber wenn, wäre sie (natürlich) auch gelöscht.

Man kann allgemein (wie quasi überall auf der Welt) beliebige Absender wählen. Das hat mit "einmal eine Domain dort registriert" nichts zu tun.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!