Follow

Das Land Thüringen ist Vorreiter bei der datenschutzfreundlichen Kommunikation für Lehrer, Schüler und Eltern. Da können sich andere Bundesländer eine große Scheibe von abschneiden. So gelingt digitale Souveränität.

osb-alliance.de/news/sichere-e

@kuketzblog Also bei uns hostet die Schule schon sehr lange einen eigenen Mailserver. Sehe da den Fortschritt jetzt nicht.

@kuketzblog In einer Zeit wo man es für völlig normal hält Schüler*innen und Eltern via WhatsApp zu informieren, ist das mal wirklich eine erfreuliche Nachricht.

@kuketzblog
Leider gibt's bei Mailbox. org bei SMTP Versand, keine Prüfung ob man berechtigt ist über die angegebene Mail Adresse zu versenden. Somit kann sich jeder Nutzer als ein anderer Mailbox Nutzer ausgeben und dem Empfänger fällt ohne einen Blick in den Quelltext nichts auf.

@og Schick mir doch mal eine E-Mail von webmaster@kuketz-blog.de an info@kuketz-security.de

Danke!
P.S.: Mail-Hosting via mailbox.org

@kuketzblog Testmail ist raus. Mailbox org nimmt Sie auf jeden Fall an und versendet sie. Ob sie dann dort im Spam landet kann ich leider nicht sagen, jedoch sind über diese Methode sogar Mails in Protonmail und GMail Posteingängen gelandet.

@kuketzblog @og

Unglaublich, das scheint tatsächlich möglich zu sein:
------- Quelltext -------
Date: Sat, 13 Jun 2020 15:30:54 +0200
From: <webmaster@kuketz-blog.de>
To: <info@kuketz-security.de>
Subject: mailbox.org SMTP-Test
Message-ID: <20200613153054.0000xxxx@mailbox.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit

mailbox.org | SMTP-Test

@danilo @kuketzblog @og und was noch viel schlimmer ist. Einmal eine Domain bei Mailbox.org registrieret. Mails darüber abgewickelt... danach Domain umgezogen. Aber man kann dann immer noch via Mailbox.org die Mails mit der Domain versenden, da die Domainverknüpfungen im System nicht löschen und auch nicht erneut prüfen. Auch eine Schwachstelle!

@case2tv @danilo @kuketzblog @og

Das stimmt so (natürlich) nicht. Ist ein Account gekündigt, werden (natürlich) alle Anlagen und Daten gelöscht. Eine "Domainverknüpfung" gibt es nicht, aber wenn, wäre sie (natürlich) auch gelöscht.

Man kann allgemein (wie quasi überall auf der Welt) beliebige Absender wählen. Das hat mit "einmal eine Domain dort registriert" nichts zu tun.

@danilo @kuketzblog @og danilo, hast du mit Peer gesprochen? Gibt es ein Feedback?

@case2tv

@kuketzblog meinte, dass es wohl demnächst ein Statement von Peer Heinlein geben soll.

@og @kuketzblog Ich bin gespannt. Manchmal kann sich so etwas ja auch sehr in die Länge ziehen bei mailbox.org

@og @case2tv @kuketzblog

(1)

Hallo,

Nochmal kurz zum Hintergrund: Warum das SMTP-Protokoll eine (beliebige) Wahl des Absenders by design vorsieht, warum das kein Sicherheitsproblem ist, warum SMTP nunmal seit 30 Jahren so ist, wie es ist und vieles mehr ist auf userforum.mailbox.org/topic/ma angerissen. Leider auch nur angerissen, da gibt's natürlich noch fünf Dutzend mehr Argumente und auch die Diskussion, warum SPF & Co. in Wirklichkeit nicht sicher sind, ist nochmal ein Extra-Thema.

@og @case2tv @kuketzblog

(2)

Ich bin sicher, wir könnten uns stundenlang austauschen und es gibt noch viel weitere gewichtige Argumente pro und contra. Aber auch ich habe keine Lust jahrelang gegen Windmühlen zu kämpfen: Im Sommer 2019 haben wir (seufzend) beschlossen, eine Absender-Validierung umzusetzen. Ist nur langwierig, man kann zahlreichen Bestandskunden nicht über Nacht den Mailversand abdrehen und es gibt auch viele Business-Kunden mit automatisierten Versandtools.

@og @case2tv @kuketzblog

(3)

Insofern braucht so etwas ~3 Monate Vorlaufzeit. Im Herbst 2019 war es zu kurzfristig, die Weihnachts- und Urlaubszeit ist für sowas ein absolutes NoGo. Angedacht war dann Q1/2020, aber Corona hat dem einen Strich durch die Rechnung gemacht -- wenn sich gerade die Welt einmal auf links dreht, alle ins HomeOffice wechseln, E-Mail irrsinnig wichtig wird, ändert man keine Kommunikationssysteme.

@og @case2tv @kuketzblog

(4)

Aktuell sind wir wieder auf der Zielgeraden, sammeln (wieder einmal) von vorne Ausnahmen und User, die in Probleme geraten könnten. Demnächst werden wir betroffene User informieren und den Change life schalten -- auch wenn ich das gerne aus der Ferienzeit mehr rausgehalten hätte, aber sonst wird es wieder Q3/2020 und alles zieht sich noch mehr.

@kuketzblog
Wäre mal interessant, auf wie große Akzeptanz das stößt. Oder ob das vielleicht schon allein deswegen gar nicht geht, weil's vom Minister mit dem falschen Parteibuch kommt oder weil Datenschützer ja offensichtlich alle Lehrer verklagen wollen.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!