EMail Security

Gibt es allgemeine Gründe, dass ein normaler Mail-Client (Thunderbird/KMail/Outlook/... ) aus Security Sicht besser oder schlechter als eine Web-Mail-Client (Roundcube,Zimbra, Mailpile, ...) Lösung ist ?

Mail scheint mir im meinem Nicht-IT-Freundeskreis als das wohl größte Problem im Bezug auf Security.
Ich würde diesen Leuten gerne einen Ratschlag geben, welcher Client für sie das Beste sei, dabei kommt es eher nicht auf alle möglichen Features an, sondern gerade anders herum: Ein Client mit möglichst eingeschränktem Featuressatz scheint für diesen Userkreis vermutlich die beste Alternative. Was habt ihr hier für Meinungen, Ansätze oder Vorschläge.
 
Wie meinst du das mit sicherer,ich nutzte einen Anbieter der nur Web Zugrieff erlaubt mit doppelter Password Eingabe,Sicherheit ist immer sone Sache.

bei einem Software Clienten kann man z.b mit einer Schadsoftware an Passwörter gelangen die diese direkt aus den Dateien der Software auslist oder mitschneidet,das gleiche ist aber auch bei Anbietern möglich die nur HTTP also Web Zugriff erlauben wenn man Cookies und Passwörter im Browser speichert.

Was aber schwerer sein dürfte ist den Datenverkehr mitzuschneiden wenn dieser SSL verschlüsselt ist was bei jedem Anbieter der nur HTTP erlaubt auch so ist.

Eines gibt es noch zu sagen,im Prinzip ist es egal,die höchste Sicherheitsstufe am Computer bringt nichts selbst wenn ich ihn aus lasse und der Dieb so clever ist und die Daten vom Server des Anbieter klaut.

Da kannste die Kiste aus lassen und bist trotzdem der gearschte.
 
Zuletzt bearbeitet:
Moinsen,

Grundsätzlich lässt sich KISS anwenden.
Einfacher ist in der Regel sicherer.(zumindest bzgl. Systemen)
(Weswegen ich jedem anrate sein Handy so dumm wie möglich zu halten, ist teilweise genau das Gegenteil was viele machen, und auch hier gilt, es ist ein Prozess).

Einem DAU würde ich also von einer eigenen Roundcube-Instanz abraten, da man dafür i.d.R. einen Server braucht.
MUTT ist wegen seiner, Einfachheit(nicht benutzerfreundlichkeit) genau deswegen sicher und wird auch immer noch verwendet.


Grundsätzlich gilt aber, das Fehler in jeder Software vorkommt, deshalbt nimmt sich Thunderbird, Outlook und Co nicht wirklich viel.

Sicherheit ist ja immer auch ein Prozess und es kommt drauf an wogegen du dich schützen möchtest.

Wenn du zB ein Krimineller oder politischer Aktivist in den USA bist ist Gmail und Co wahrscheinlich nicht die beste Wahl,
Wenn ich aber Dissident in China oder zB Iran bin, dann ist Gmail vielleicht nicht die schlechteste Wahl.

Es gibt wie Rat schon sagte auch den Aspekt der Vertraulichkeit der Kommunikation, etc. und Sicherheit vor unauthorisiertem Zugriff und da hilft halt ein gutes Passwort.

Das Problem was man mit Browsern halt hat ist das sie für viele Computertätigkeiten heutzutage benutzt werden.
D.h. haben sie eine start exponierte Stellung.
ein Link, Phishing etc.
Deshalb ist ein dedizierter Client, nicht so schlecht, da man den nur mittels DNS-Spoofing umleiten kann, und nicht mittels, hier bitte einloggen-links.


Für die ganz paranoiden gibt es dann noch sowas wie QUBES, oder Tails, je nachdem ob man mehr auf Anonymität oder Integrität des Systems wert legt.

Von daher gibt es keine allgemeingültige Antwort(im Detail), denn deine Sicherheitsbedürfnisse sind anders als meine, und auch ich habe unterschiedliche Bedürfnisse je nachdem ob ich mein Desktopsystem oder Laptopsystem nutze.

Aber Best Practice: gutes Passwort, je nach Situation(aufschreiben(jaja) oder Passwortsafe(sichert gegen unterschiedliche Angrifssszenarien), regelmäßig Backups für offline-gebrauch machen, Laptops verschlüsseln, da die ja immer mal wieder verloren gehen können ;) , und weitere Schritte welche deinem Sicherheitsbedürfnis und Situation angemessen sind.

Gruß

Fluffy
 
Zuletzt bearbeitet von einem Moderator:
Gibt es allgemeine Gründe, dass ein normaler Mail-Client (Thunderbird/KMail/Outlook/... ) aus Security Sicht besser oder schlechter als eine Web-Mail-Client (Roundcube,Zimbra, Mailpile, ...) Lösung ist ?
Spontan fallen mir Dinge wie Emailverschlüsselung und Signierung ein.
Zwar gibt es für Roundcube&Co Lösungen, aber entweder braucht man ein Browserplugin (ung ggf. noch unterstützung auf dem Server) oder muss die privaten Schlüsseln hochladen.

Und sofern man sich auf das Webinterface des Anbieters verlässt, schaut's nicht ganz so rosig aus:
Uber drei Milliarden Accounts gekapert | heise online

Ebenso mit einem eigenen Webmailserver:
Roundcube : Security vulnerabilities
Zimbra : Security vulnerabilities

Die haben i.d.R. eine deutlich größere Angriffsfläche, als ein Client, der nur bei bestimmten Anbietern Emails abholt und grundsätlich HTML-Mails nur von Whitelist-Adressen akzeptiert. Zudem muss der eigene Server gepflegt werden und für die sichere Konfiguration:
Critical Vulnerability Patched in Roundcube Webmail | Threatpost | The first stop for security news
“All requirements are met by default,” RIPS chief security officer Hendrik Buchwald told Threatpost. “If you just install Roundcube you are vulnerable. You have to actively change the configuration to be not vulnerable. So it is very common, there are probably tens to hundreds of thousands installations that meet these requirements.”
braucht man spezifische Kenntnisse.
 
Um das bisher genannte zu ergänzen:

Ich bin bisher mit protonmail als Anbieter ganz zufrieden. Laut deren Angaben ist deren Speicher verschlüsselt, die Verbindung läuft via https:// hergestellt.

Ich selbst bin kein Freund von Mail-Clients da a) der Rechner "zugemüllt" wird und b) immernoch die Frage bleibt ob POP3 oder IMAP... Abgesehen davon hat man eh einen Browser, der (hoffentlich) kontinuierlich gepatcht wird. Im Bezug auf privilege escalation/shutter attacks bleibts eben im Kopf zu halten das man sich mit einem Mailclient eine Software installiert die viele Rechte hat und aber auch garantiert Sicherheitslücken.

Sicher, eine Systemverchlüsselung ist wichtig, aber mindestens noch ein PasswordManager (imho). Ich benutze auf meinem Arch "pass", welches auf GPG2 basiert. Ist ein InLine Programm, ich bin mir nicht sicher ob es für IT-Legasteniker geeignet ist ^^ Systemverschlüsselung ist nämlich dann witzlos wenn man den Rechner unbeaufsichtig lässt, auch wenn er gesperrt ist (z.B. DNS spoofing via USB-Stick), oder aber der Rechner im gestarteten Zustand entwendet wird (Cold-Boot-Attacks).

Wer auf Nummer Sicher gehen will was den Inhalt der gesendeten Email angeht, setzt wohl am besten auf PGP & einen Mailclient in einer VM. Da kann man dann auch Anhänge öffnen ohne dass einem der Himmel auf den Kopf fällt. Die Mails, die "gut" sind, kann man ja dann immernoch im eigentlich System öffnen/Speichern.

Im Bezug auf Privacy: Es gibt einige Onion-Mailanbieter, siehe hiddenwiki(Gehe da mal nicht näher drauf ein, ich weiß nicht wie gern hier sowas gesehen ist). Da ist aber immer die Frage wie viele personenbezogene Daten man über einen solchen Server laufen lassen will, denn a) muss man seine IP nicht verschleiern wenn man über diesen Mailaccount seine Gehaltsabrechnung und seinen Mietvertrag bekommt und b) weiß man nicht was die mit den Mails auf ihrem Server anstellen. Lesen ist da wohl noch die schönste Variante.


Naja, alles in allem kann man hier aufrüsten wie man will, meiner Erfahrung nach erstetzt (gerade in diesem Bereich) nichts die Brain.exe. Die meisten Wehwehchen die ich bisher im Bereich Mail fixen durfte waren ein Layer 8 Problem.


Grüße
 
Zurück
Oben