Mit Thunderbird Mails von anderer Mailadresse senden

[Auslaufmodell]

Hallo,

mir ist heute etwas aufgefallen:
ich habe zwei Mailkonten in Thunderbird eingerichtet.
Beim einen Mailkonto verwende ich zwei Aliase. Diese Mailadressen gibt es auch tatsächlich, da so beim Maildienst eingerichtet.
Lege ich hier aber in Thunderbird einfach eine weitere (also dritte) Mailadresse als Identität an, so kann ich von dieser Mails versenden. Der Absender sieht dann diese Mailadresse.
Nun spinne ich mal weiter. Somit kann ich ja mich als jede beliebige Person ausgeben, dessen Namen und Mailadresse ich kenne.
Ist das normal so? Ich finde das nämlich ganz schön bedenklich!

 

[Jesterfox]

E-Mails sind virtuelle Postkarten. Bei denen kannst du ja auch einen beliebigen Absender drauf schreiben... und ja, das ist schon immer so. Wenn man sicherstellen will wer eine E-Mail versendet hat muss der Absender eine entsprechende digitale Signatur verwenden.

Als zusätzliche Maßnahme gibt's auch noch SPF, damit werden für eine Domain die gültigen Mailserver zum versenden spezifiziert. Kommt die Mail von einem anderen darf die Mail verworfen werden. Damit kann man auch schon einiges verhindern, vor allem wenn der gültige Mailserver so konfiguriert ist dass die Benutzer dort nur mit ihre Mail-Adresse versenden dürfen (was üblicherweise so ist, wenn du z.B. bei abc@gmx.de selber hast sollte der GMX-Server einen Absender wie xyz@gmx.de in Mails von dir ablehnen)

 

[Silent1337]

Bei den großen Anbietern wird sowas unterbunden:

- Benutzer müssen sich am SMTP Server anmelden
- Dynamische IP Adressen dürfen keine Mails einliefern
- Der Mailserver des Absenders ist valide

 

[Auslaufmodell]

Also dass das prinzipiell so möglich ist, verwundert mich.
ich finde das ganz schön unsicher.

@ "Benutzer müssen sich am SMTP Server anmelden"
--> Ach so. Vielleicht geht das deshalb, weil ich ja die Mails über den SMTP-Server sende, worüber sich Thunderbird ja anmelden muss.

 

[Jesterfox]

Das E-Mail-Protokoll stammt noch aus der Anfangszeit des Internets... da hat man sich über sowas noch keine großen Gedanken gemacht.

Wenn du dich am SMTP deines Providers anmeldest sollte dieser nur Mails akzeptieren die als Absender einen dir gehörige Adresse dieses Anbieters enthalten. Andere Absender-Einträge sollten als fehlerhaft zurückgewiesen werden.

Das hindert aber prinzipiell erst mal niemanden daran über einen anderen SMTP zu gehen der keine solchen Restriktionen hat (kann man sich auch selber aufsetzen so einen Server). Deswegen wurde z.B. SPF eingeführt, damit kann ein Betreiber einer Domain angeben welche Server Post für diese Domain ausliefern dürfen. Alles andere darf als Fehlerhaft vom Empfänger verworfen werden.

Diese Einträge müssen aber erst ein mal vorhanden sein (die meisten großen Mail-Anbieter haben das aber glaub ich mittlerweile) und der Empfänger muss das auch prüfen (maschinell, am besten direkt beim Empfang der Mail auf dem Server. Als User selbst kann man das eher schlecht prüfen)

 

[Joe Dalton]

MoinMoin,

Also dass das prinzipiell so möglich ist, verwundert mich.
ich finde das ganz schön unsicher.

Mail ist in der aktuellen Konstellation unsicher: das war es früher, das ist es jetzt und so wird es auch bleiben.
Natürlich hat man in den letzten Jahren div. Anstrengungen unternommen, um es etwas "sicherer" zu machen, aber das Problem ist der notwendige kleinste gemeinsame Nenner.

Mit einer PKI ließe sich das ganze etwas verbindlicher gestalten, aber den kleinsten gemeinsamen Nenner erwähnte ich ja schon.

Du brauchst also nicht erstaunt zu sein, da alles wie ursprünglich konzipiert reibungslos funktioniert - inkl. aller Missbrauchsmöglichkeiten.


Grüße,
Chris

 

[Auslaufmodell]

Ich danke euch vielmals für eure wirklich hilfreichen Antworten.
Wie ich erschreckend feststelle, gibt es hier ja wirklich ein großes Problem. Als ich das heute ausprobierte, habe ich eigentlich erwartet, dass ich diese Mailadresse bestätigen muss, die ich da als weitere Identität im Mailclient eingerichtet habe. Aber das war nicht der Fall. Daher kam bei mir diese Frage auf.
Mein Fazit: Mails sind noch lange nicht so sicher, wie man annimmt.

 

[cumulonimbus8]

Du bist auf dem Falschen Dampfer, und das hättet du merken müssen wenn du gründlich mitgelesen hast!

Das Mail-Protokoll SMTP (google mal selbst was die Abkürzung meint) ist uralt und mit Gedankengängen erschaffen worden die, salopp, auf das Gute im Menschen und Anstand setzten. Niemand dachte da an Missbrauch.
Und dieser Nenner muss, wie erklärt wurde, eingehalten werden.

Und so blöd das klingt, das Ganze ist sogar irgendwo logisch: der benannte Absender muss lange nicht der sein der authentifiziert ist die Mail beim Server einzureichen - stell dir Firmen vor wo man lesbare Adressen schnell verteilt ohne beim Server alles anmelden zu müssen weil man als Abteilungsleiter auch keine Ahnung davon hat.

Schau dir doch mal die Kopfzeilen einer an dich selbst geschickte Mail mit unterschiedlichen Absendern an (und zwar «alle»). Merkst du was?

CN8

 

[Joe Dalton]

Mein Fazit: Mails sind noch lange nicht so sicher, wie man annimmt.

Die Annahme entbehrt jeder Grundlage! Und die Erkenntnis ist weder neu noch wirklich überraschend, wenn man sich auch nur ein wenig mit dem Thema beschäftigt. Es ist 1:1 mit der alten Post vergleichbar: Ich kann Briefe/Postkarten mit einem beliebigen Absender versehen und auf die Reise schicken. Sie werden ihr Ziel erreichen und im Fehlerfall halt den falschen zurückgeliefert, falls der Empfänger ungültig ist.

Bei Mails habe ich jedoch i.d.R. die Möglichkeit die Auslieferungsstationen (beteiligte SMTP-Server) einzusehen: Das ist ein Vorteil gegenüber der normalen Post.


Grüße,
Chris