Da die in Amnesia installierte Torbutton-Erweiterung nicht mit Icedove (Thunderbird) kompatibel ist, wird dem SMTP-Relay, das für den E-Mail-Versand verwendet wird, die echte IP-Adresse des Computers mitgeteilt.

Auswirkungen

Wenn Sie Icedove zum Versenden von E-Mails verwenden, wird die tatsächliche IP-Adresse des Computers an das SMTP-Relay weitergegeben, das sie in der Regel in die Kopfzeile "Received:" der ausgehenden E-Mail einträgt. Diese privaten Informationen werden daher offengelegt:

  • die Administratoren des SMTP-Relais;
  • jeder, der eine solche gesendete E-Mail lesen kann, einschließlich: jeder, an den die E-Mail gesendet wird, sowie verschiedene Netzwerk- und E-Mail-Server-Administratoren.

Bei der Verwendung einer NAT-ed Internetverbindung ist die offengelegte IP eine lokale Netzwerk-IP (z. B. 192.168.1.42), die in der Regel nicht zu viel verrät. Wenn man hingegen direkt mit dem Internet verbunden ist, z. B. über ein PPP- oder DSL-Modem ohne Router, zeigt die offengelegte IP tatsächlich den Standort des Amnesie-Nutzers an.

Lösung

Upgrade auf amnesia 0.4.1, das Claws Mail anstelle von Icedove enthält, und setzen Sie die folgenden Einstellungen in ~/.claws-mail/accountrc für jedes Konto:

    set_domain=1
    domain=localhost

Siehe #6119 für Details.

Milderung

Am besten ist es, Icedove (Thunderbird) im Amnesiemodus zu vermeiden, bis die fehlerfreien Images veröffentlicht werden. Wenn dies nicht möglich ist:

  • Verwenden Sie Amnesia hinter einer NAT-geschützten Internetverbindung, innerhalb eines LANs, das weit verbreitete IP-Adressen nutzt.
  • Verwenden Sie ein vertrauenswürdiges, datenschutzfreundliches SMTP-Relay, das die IP-Adresse des Kunden nirgends angibt, insbesondere nicht in den E-Mail-Kopfzeilen.

Note that using GnuPG does not fix this problem at all: GnuPG only encrypts the email body, the email headers being always kept in clear.

Betroffene Versionen

Jede Amnesia-Version bis einschließlich 0.3. Amnesia 0.4 ist nicht betroffen.