Re: (OT) Mailclients und Efail…
Am 24.05.2018 um 21:59 schrieb Christoph Schmees:
>>> Natürlich habe ich Thunderbird empfangsseitig so eingestellt, dass
>>> er (außer bei bekannten Absendern, die ich explizit freigegeben
>>> habe) *nichts* automatisch nachlädt: keine Bilder, keine sonstigen
>>> externen Inhalte.
>> Also brauche ich Dir nur eine Mail mit abgefangenem verschlüsselten
>> Inhalt schicken, in die ich HTML einbette, was den entschlüsselten Text
>> an meinen Server schickt, und ich muss nur als Absenderadresse auch
>> wieder die des Absenders einsetzen, von dem ich die Mail abgefangen
>> habe? Praktisch.
>>
> dunkel ist deiner Worte Sinn. Was willst du sagen? Wenn du einen
> potentiellen Angriffsweg meinst gefunden zu haben, dann
> konkretisiere ihn bitte. Dann haben wir alle etwas davon.
Wie viel konkreter brauchst Du es denn noch?
Alice <alice@example.com> schickt Dir eine Nachricht.
PGP/GPG-verschlüsselt, mit Deinem öffentlichen Schlüssel, so dass sie
nur mit Deinem privaten Schlüssel lesbar ist.
Eve fängt diese Nachricht ab, baut ihren bösen HTML-Code drumherum, der
einen unter Ihrer Kontrolle stehenden Webserver aufruft, an den dann die
entschlüsselte Nachricht übertragen wird. Dann trägt sie im
Absender-Feld wieder Alice <alice@example.com> ein und schickt die Mail
an Dich.
Da Du Alice <alice@example.com> vertraust und HTML-Mails erlaubst, wirst
Du die Nachricht entschlüsseln - und Eve bekommt dank des EFAIL-HTMLs,
das die entschlüsselte Nachricht umgibt, den entschlüsselten Inhalt auf
ihren Webserver geliefert.
TL;DR: Da das Absenderfeld beliebig manipulierbar ist, darfst Du ihm
nicht vertrauen.
-Stefan
Reply to: