- security
- Icedove (Thunderbird) verrät die echte IP-Adresse
Da die in Amnesia installierte Torbutton-Erweiterung nicht mit Icedove (Thunderbird) kompatibel ist, wird dem SMTP-Relay, das für den E-Mail-Versand verwendet wird, die echte IP-Adresse des Computers mitgeteilt.
Auswirkungen
Wenn Sie Icedove zum Versenden von E-Mails verwenden, wird die tatsächliche IP-Adresse des Computers an das SMTP-Relay weitergegeben, das sie in der Regel in die Kopfzeile "Received:" der ausgehenden E-Mail einträgt. Diese privaten Informationen werden daher offengelegt:
- die Administratoren des SMTP-Relais;
- jeder, der eine solche gesendete E-Mail lesen kann, einschließlich: jeder, an den die E-Mail gesendet wird, sowie verschiedene Netzwerk- und E-Mail-Server-Administratoren.
Bei der Verwendung einer NAT-ed Internetverbindung ist die offengelegte IP eine lokale Netzwerk-IP (z. B. 192.168.1.42), die in der Regel nicht zu viel verrät. Wenn man hingegen direkt mit dem Internet verbunden ist, z. B. über ein PPP- oder DSL-Modem ohne Router, zeigt die offengelegte IP tatsächlich den Standort des Amnesie-Nutzers an.
Lösung
Upgrade auf amnesia 0.4.1, das Claws Mail anstelle
von Icedove enthält, und setzen Sie die folgenden Einstellungen in
~/.claws-mail/accountrc
für jedes Konto:
set_domain=1
domain=localhost
Siehe #6119 für Details.
Milderung
Am besten ist es, Icedove (Thunderbird) im Amnesiemodus zu vermeiden, bis die fehlerfreien Images veröffentlicht werden. Wenn dies nicht möglich ist:
- Verwenden Sie Amnesia hinter einer NAT-geschützten Internetverbindung, innerhalb eines LANs, das weit verbreitete IP-Adressen nutzt.
- Verwenden Sie ein vertrauenswürdiges, datenschutzfreundliches SMTP-Relay, das die IP-Adresse des Kunden nirgends angibt, insbesondere nicht in den E-Mail-Kopfzeilen.
Note that using GnuPG does not fix this problem at all: GnuPG only encrypts the email body, the email headers being always kept in clear.
Betroffene Versionen
Jede Amnesia-Version bis einschließlich 0.3. Amnesia 0.4 ist nicht betroffen.