CleanPress

Schlagwort: E-Mail

  • Tutanota Desktop-Clients beenden Beta-Phase

    Tutanota, der deutsche Anbieter für sicheren und verschlüsselten E-Mail-Verkehr hat nach über zwei Jahren seine Desktop-Clients für Linux, macOS und Windows aus der Beta-Phase entlassen und als stabil freigegeben. Die Entwickler erklären in der Ankündigung, dass die Desktop-Clients durch die Integration in das jeweilige Betriebssystem einige Vorteile gegenüber dem Web-Client bieten:

    • sie unterstützen die Dateiöffnung
    • sie senden Benachrichtigungen für neue E-Mails und Termine
    • sie können den geheimen Speicher des Systems nutzen
    • sie können Rechtschreibprüfung für mehrere Sprachen durchführen
    • sie unterstützen Tutanota als Standard-Mail-Handler
    • sie führen automatische Signaturprüfungen bei Client-Updates für beste Sicherheit durch
    • sie unterstützen Installationsrichtlinien für die geschäftliche Nutzung

    Alle Funktionen des Web-Clients

    Die Desktop-Clients verfügen zudem über alle Funktionen, die von der Webversion bekannt sind. Sie bieten ein höheres Sicherheitsniveau als der Web-Client, da jede Version automatisch signiert und diese Signatur beim Start überprüft wird. Die Signatur kann zusätzlich manuell überprüft werden. Vor der Freigabe der stabilen Desktop-Clients fand eine interne Sicherheitsüberprüfung statt, die keine größeren Probleme aufdeckte.

    Benachrichtigungen einschalten

    Um Benachrichtigungen über neue E-Mails und Termine zu erhalten, muss in der Taskleiste das Tutanota-Icon mit der rechten Maustaste angeklickt werden und die Option Im Hintergrund ausführen gewählt werden. Wenn die Option aktiv ist, wird der Desktop-Client nicht beendet, wenn alle Fenster geschlossen werden, sondern bleibt im Hintergrund aktiv , um bei eingehenden E-Mail- oder Kalenderalarmen Desktop-Benachrichtigungen auszulösen.

    Künftige Funktionen

    Die Tutanota-Desktop-Clients verschlüsseln alle Daten automatisch. Die Clients sind Open Source und der gesamte Client-Code ist auf GitHub veröffentlicht. Mit der Veröffentlichung der stabilen Clients ist die Entwicklung nicht abgeschlossen, erweiterte Funktionen, die bereits geplant sind, umfassen:

    • Whitelabel für Desktop-Clients und Apps
    • Offline-Unterstützung
    • Zwei-Faktor-Authentifizierung mit U2F

  • Sichere Videokonferenzen bei mailbox.org

    mailbox.org

    Im Blog des Berliner Mail-Anbieters mailbox.org bietet dieser ab sofort sichere Videokonferenzen an. Dieser Dienst bietet für Unternehmen Konferenzen mit bis zu 25 Teilnehmern an. Für Schulen und Lehrkräfte steht ein Sonder-Paket mit bis zu 50 Teilnehmern bereit. Die Verbindungen sind DSGVO-konform gehostet, verschlüsselt und die Dauer der Konferenzen ist nicht limitiert. Für Großkunden bietet mailbox.org auf Anfrage auch geschlossene Videokonferenzsysteme mit über 100 Teilnehmern an.

    Bis 1.3. kostenlos für alle Kunden

    Das Erfreuliche daran ist, dass diese Möglichkeit, sich online zu treffen, die in den Geschäftstarifen ab 2,50 Euro pro Monat enthalten ist, bis zum 1. März wegen der anhaltenden Corona-Pandemie bereits im Ein-Euro-Tarif für Privatkunden enthalten ist und somit für alle Kunden vorerst kostenfrei ist. Allerdings sind Konferenzen dort auf 10 Teilnehmer beschränkt. Die Videokonferenz-Lösung, die im mailbox.org Office auf der Webseite integriert ist, basiert auf einer Optimierung der bekannten Open Source-Software Jitsi.

    Im eigenen deutschen Rechenzentrum

    Der Anbieter mailbox.org betreibt alle für diesen Dienst benötigten Server selbst in eigenen Rechenzentren in Deutschland. So kann garantiert werden, dass sensible Unternehmens-, Kunden- oder Schülerdaten datenschutzkonform bei einem vertrauenswürdigen Anbieter in Deutschland verbleiben. Es muss für die Nutzung im Browser keine weitere Software installiert werden. Alternativ stehen auch kostenlose Apps für die mobile Nutzung auf Android- und iOS-Geräten zur Verfügung. Eine FAQ zum Thema gibt es auf der Webseite.

    Im Einzelnen bietet der Videokonferenzdienst unter anderem eine geteilte Bildschirmansicht und Präsentationen, einen Text-Chat, auch moderiert mit Wortmeldung sowie die Stummschaltung von Teilnehmern. Die Teilnahme von Gesprächspartnern ohne Konto bei mailbox.org ist möglich.

  • Claws Mail 3.17.6 warnt vor Phishing

    Screenshot: ft

    Claws Mail ist ein GTK-basierter, benutzerfreundlicher, leichtgewichtiger E-Mail-Client und News-Reader. Die bereits seit 2001 entwickelte Anwendung hörte früher auf den Namen Sylpheed Claws. Gerade ist Claws Mail 3.17.6 von den Entwicklern freigegeben worden.

    Phishing erschwert

    Die neue Unterversion von Claws Mail 3.17 hat eine weitere Phishing-Warnung erhalten. Wurde der Anwender bisher gewarnt, wenn er eine Phishing-URL angeklickt hat, so erscheint jetzt zusätzlich eine Warnung, wenn eine solche URL aus einer Mail heraus kopiert wird.

    Eigenschaften vererben

    Neu in Claws Mail 3.17.6 ist auch die Möglichkeit, beim Erstellen neuer Ordner über die Dialoge Nachricht verschieben oder Nachricht kopieren die Eigenschaften und Verarbeitungsregeln vom übergeordneten Ordner zu vererben.

    Des Weiteren wurde die Fortschrittsanzeige beim Importieren einer Mbox-Datei verbessert. Eine Warnung erscheint, wenn als Privatsphäre-Option keine ausgewählt wurde, gleichzeitig aber automatisches Signieren und Verschlüsseln aktiviert ist.

    Das Paket pkgconfig wird eingesetzt, um festzustellen, ob neben Python 3 auch Python 2 auf dem System installiert ist. In diesem Fall wird das Python-Plugin aktiviert, das Python 2 nutzt.

    Claws Mail 3.17.6 auch für Windows

    Die polnische Übersetzung wurde für Claws Mail 3.17.6 aktualisiert und eine griechische Übersetzung hinzugefügt. Zudem wurden Fehler aus der Vorversion beseitigt. So wurde unter anderem eine Verletzung des STARTTLS-Protokolls behoben.

    Auch Abstürze des Programms durch schnell aufeinander folgendes Drücken der Tasten v (versteckt die Mailansicht) und c (überprüft die Signatur) sollen der Vergangenheit angehören. Weitere Informationen zu Claws Mail 3.17.6 bieten die Release Notes.

    Claws Mail steht unter der GPL und ist für Linux, BSD, macOS und mit einigen Abstrichen auch für Windows verfügbar. Die in C geschriebene Anwendung bietet eine Anzahl an Plugins zur Erweiterung der Funktionalität und kann über Skins individuell gestaltet werden.

  • EFAIL – der Tag danach

    EFAIL
    Bild: Efail | Lizenz: CC0 1.0

     

    Erstaunlich ruhig ist es am Tag nach der Panik verbreitenden Enthüllung mit dem Namen EFAIL. Bereits gestern Abend hatte auf Twitter und G+ die Kritik an der Veröffentlichung und der darauf aufbauenden Berichterstattung eingesetzt. Auch dieses Blog muss sich, wie fast alle, diesen Schuh anziehen. Die Tageschau hatte sich sogar dazu verstiegen zu titeln, Forscher hätten die E-Mail-Verschlüsselung geknackt. Nun weiß es die ganze Welt: E-Mails sind unsicher. Das wissen informierte Anwender schon seit mehr als zwei Jahrzehnten. Ebenso ist die Tatsache, dass man in Mails kein HTML nutzen will, kein Geheimnis und jeder kann sich mit ein wenig Google-Suche darüber informieren, warum das so ist.

    Der Erfinder ergreift das Wort

    Werner Koch, der Erfinder von GNU Privacy Guard (GnuPG) äußerte sich bereits gestern Mittag auf der GnuPG-Mailingliste dahingehend, er sehe die Aussagen in Bezug auf PGP als reichlich überzogen. Koch empfiehlt demnach auch, kein HTML in E-Mails zu nutzen. Wenn es unumgänglich ist, solche Mails anzunehmen, solle man sicherstellen, dass der MIME-Parser des E-Mail-Cients es nicht erlaubt, entschlüsselte HTML-MIME-Anteile aneinanderzuhängen, wodurch solche Angriffe erst möglich werden.

    MDC umstritten!?

    Eine weitere Möglichkeit, Angriffe dieser art zu blockieren, ist die Verwendung von authentifizierter Verschlüsselung, die laut Koch bei PGP bereits seit 2001 verfügbar ist. Sie basiert auf Modification Detection Code (MDC) und wurde damals wegen ähnlicher Angriffe eingeführt. Die Methode ist je nach Implementierung im Client nicht zu 100 Prozent zuverlässig, aber wesentlich besser als im Fall von S/MIME, der über keine funktionierende authentifizierte Verschlüsselung verfügt. Korrekt arbeitende E-Mail-Clients geben bei jeder PGP-verschlüsselten Mail, die keinen MDC-Anhang enthält, eine Warnung aus, dass die Authentizität der Mail nicht verifiziert werden konnte und sollten das Öffnen der Mail verweigern. Gleiches gilt bei Anzeichen einer Manipulation der Mail.

    Hanno Böck, Berliner Sicherheitsexperte, der für Golem.de, die »TAZ« und »Die Zeit« schreibt, erklärte gestern auf Golem, die Datenauthentifizierung mit MDC sei mangelhaft. Seine Begründung: »Wenn die MDC-Authentifizierung fehlschlägt, werden die Daten trotzdem von GnuPG entschlüsselt und ausgegeben, erst hinterher erfolgt eine Benachrichtigung, dass die entsprechenden Daten ungültig sind.« Das gilt nach seiner Aussage für einige »naive« Mail-Clients. Er fährt fort: »Korrekt implementiert dürften ungesicherte Daten nie ausgegeben werden, sondern müssten immer verworfen werden.«

    Papier falsch betitelt

    Sicherheitsexperte und Mitentwickler der Thunderbird-Erweiterung Enigmail, Robert J. Hansen haut mit seiner Kritik in die gleiche Kerbe wie Koch und kritisiert den Rat der EFF, Enigmail, die Verschlüsselungserweiterung von Thunderbird sofort zu entfernen. Er sagt, das Papier der Forscher (PDF) sei falsch betitelt, denn die Lücken erlaubten Angriffe auf fehlerhafte E-Mail-Clients, nicht auf die Verschlüsselung selbst.

    Somit erscheint am Tag danach EFAIL als reichlich aufgeblasen und überzogen. Panikmache hilft nicht an der Stelle, wo handfeste Aufklärung und die korrekte Benennung der Schuldigen vonnöten wäre.

  • Sicherheitslücken bei PGP- und S/MIME-Tools

    Sicherheitslücken bei PGP- und S/MIME-Tools
    Bild: IMG_3129 | Quelle Andy LFollow | Lizenz: CC BY-2.0

    Die Electronic Frontier Foundation  (EFF) warnt heute vorab Anwender von PGP- und S/MIME-Tools zur Ver- und Entschlüsselung von E-Mails. Diese Tools sollten möglichst sofort deaktiviert werden. Dabei geht es um Enigmail im Zusammenhang mit Thunderbird, GPGTools mit Apple Mail und Gpg4win mit Outlook.

    Enthüllung morgen

    Die Warnung der EFF bezieht sich auf eine Twitter-Meldung, die für morgen früh um 07:00 AM UTC, also um 09:00 unserer Zeit die Enthüllung kritischer Verwundbarkeiten zu den genannten Tools ankündigt. Wer diese Tools verwendet, ist angehalten, sie sofort zu deaktivieren und vor allem keine Mails damit zu entschlüsseln. Bis weitere Klarheit herrscht, rät die EFF, verschlüsselte Kommunikationsmittel wie den Messenger Signal zu verwenden. In der Ankündigung finden sich Links, wie die entsprechenden Tools der Mail-Clients deaktiviert werden können, bis  die Lücken geschlossen sind.

    Wir werden morgen weiter berichten, sobald nähere Informationen vorliegen.

  • Mozilla Thunderbird 60 als Beta verfügbar

    Logo: Mozilla Lizenz: CC BY-SA 3.0

     

    Mozilla Thunderbird 60 wird auch den letzten Zweifler überzeugen, dass der weit verbreitete E-Mail-Client nicht ausentwickelt ist, wie das Mozillas Michelle Baker vor Jahren behauptet hatte. Das war einer der Gründe, warum Mozilla sich von Thunderbird zurückziehen wollte. Heute nutzt Thunderbird zwar noch Mozillas Infrastruktur, wird aber ansonsten von einem unabhängigen Entwicklerteam betreut.

    Lange wurde dementsprechend Thunderbird lediglich gepflegt anstatt weiter entwickelt. Das damit seit einiger Zeit Schluss ist, belegt auch die jetzt erschienene Beta-Version zu Thunderbird 60. Nachdem die optische Erneuerung in den Händen eines Design-Teams liegt, sind im Dezember 2017 vier neue Entwickler zum Team gestoßen.

    Empfänger entfernen

    Thunderbird 60 zeigt beim Überfahren des Empfänger-Felds der Adresseingabe eine Entfernen-Schaltfläche in Form eines X, sodass bereits eingetragene Empfänger mit einmem Klick wieder entfernt werden können. Zudem wird bei der Adresseingabe der bereits eingegebene Teil einer Adresse aus einem Adressbuch fett angezeigt. Der Tastenkürzel ALT-M zeigt während der Erstellung einer Mail das Eingabefeld für Anhänge.

    Mbox oder Maildir

    Ordner können nun vom Mbox-Format nach Maildir und zurück konvertiert werden. Diese Funktion ist derzeit allerdings noch im experimentellen Stadium. Zudem bietet Thunderbird 60 an, IMAP-Ordner zu komprimieren, auch wenn das Konto online ist. Auch die Kalender-Komponente wurde aufgewertet. So können einzelne oder mehrere Einträge kopiert, ausgeschnitten oder entfernt werden. Zudem ist es möglich, Orte für Kalenderereignisse sowohl in der Tages- als auch in der Wochenansicht anzuzeigen.

    Die Kalender-Komponente bietet zudem nun auch die Möglichkeit, Terminbenachrichtigungen direkt zu versenden, anstatt ein Popup-Fenster anzuzeigen. Andererseits entfernt Thunderbird 60 die Möglichkeit, E-Mail-Einladungen zu versenden, die mit Microsoft Outlook 2002 und früheren Versionen kompatibel sind. Auf der Seite mit den Release Notes kann Thunderbird 60 Beta heruntergeladen werden.

  • Autocrypt zur E-Mail-Verschlüsselung

    Autocrypt
    Bild: „Pink is locked“ von Sergey Kochkarev Lizenz: Public Domain Mark 1.0

    Der Berliner E-Mail-Provider Posteo unterstützt seit einigen Tagen Autocrypt. In einem Newsletter wurde ich erst auf dieses neue Verschlüsselungsverfahren aufmerksam, das sich auf die Fahnen geschrieben hat, echte Ende-zu-Ende-Verschlüsselung bei E-Mail-Programmen erheblich zu vereinfachen. Die neue Verschlüsselungsmethode wird derzeit in verbreitete E-Mail-Programme wie Thunderbird mit Enigmail und K-9 Mail für Android integriert. Neue Versionen dieser Programme wie Enigmail 2.0 und K-9 Mail 5.3 werden Autocrypt unterstützen.

    Automatisierter Schlüsseltausch

    Verwenden Absender und Empfänger Autocrypt-fähige E-Mail-Programme, müssen sie für eine Ende-zu-Ende-verschlüsselte Kommunikation nichts mehr tun: Die E-Mail-Programme verschlüsseln E-Mails vor dem Versand automatisch mit PGP und tauschen öffentliche Schlüssel automatisch im Hintergrund aus. Das oft als kompliziert empfundene manuelle Austauschen und Verwalten von GPG-Schlüsseln entfällt damit ersatzlos.

    Vor der ersten verschlüsselten Kommunikation wird stattdessen einmalig eine reguläre E-Mail ohne Inhalt zugesendet. Bei diesem Versand wird erstmals der Schlüssel im Hintergrund übertragen. Ab diesem Zeitpunkt können alle Nachrichten automatisch verschlüsselt werden. Autocrypt ist Open Source, funktioniert anbieterübergreifend und setzt auf echte Ende-zu-Ende-Verschlüsselung, bei der ein privater Schlüssel stets beim jeweiligen Nutzer verbleibt.

    Posteo mit zusätzlicher Absicherung

    Bisher ist es nicht vorgesehen, dass E-Mail-Provider sich an der Schlüsselverteilung von Autocrypt beteiligen. Posteo macht hier einen ersten Schritt und sichert dabei das Schlüsselaustauschverfahren weiter ab. Posteo bietet bereits verschiedene Verschlüsselungsverfahren und viele Kunden haben ihre öffentlichen PGP-Schlüssel bereits über Posteo zugänglich gemacht. Mit Autocrypt können E-Mail-Programme öffentliche Schlüssel bald automatisiert über die E-Mail-Header austauschen.

    Die providerseitige Unterstützung sorgt nun dafür, dass ein Autocrypt-fähiges Programm den Schlüssel auch dann erhält, wenn der Posteo-Absender ein Programm ohne Autocrypt verwendet. Liegt der öffentliche Schlüssel des Absenders vor, fügt Posteo fügt vor jedem E-Mail-Versand den für die Verschlüsselung benötigten Autocrypt-Header selbst hinzu. Der Kommunikationspartner kann dann verschlüsselt antworten ohne einen manuellen Schlüsselaustausch vornehmen zu müssen.

    Autocrypt mit DKIM

    Bei jedem weiteren Versand wird der aktuelle Schlüssel im Autocrypt-Header übermittelt. In den Programmen der Kommunikationspartner sind somit stets die aktuellen Schlüssel hinterlegt. Posteo sichert den Schlüsselaustausch mit Autocrypt zusätzlich mit digitalen Signaturen über DKIM ab. Die DKIM-Signierung sorgt dafür, dass öffentliche Schlüssel auf dem Transport nicht unbemerkt manipuliert werden können. Auch Autocrypt-Header, die das  lokale E-Mailprogramm gegebenenfalls hinzufügt, werden mit DKIM signiert.