email: IMAP nur mit STARTTLS ohne verschlüsseltes Passwort sicher ?

[markus-1969]

https://www.computerbase.de/forum/threads/amazon-gehackt-trotz-2fa.2196416/

hat mich zum Nachdenken gebracht: Ich hab wo es geht die Zweifach - Autentifizierung eingerichtet und das Passwort auf dem mailaccount auf dem die ganzen mails zusammen laufen verkompliziert.

Aber dennoch folgende Frage: Ich hole meine mails mit IMAP ab und sehe mir den mailaccount und dessen Verschlüsselung an. Mehr als



STARTTLS

und

Passwort, normal



kann der alte mailserver als Gegenstelle nicht, vor allem kein "verschlüsseltes Passwort."



Frage: Was hilft ein komplexes Passwort a la



1§"$"§5r23wrfw!



wenn die Daten für den Abruf der mail (login - Kennung und passwort) als "passwort, normal" übertragen und evtl. mit gelesen werden können ?

 

[wirelessy]

STARTTLS verschlüsselt das Passwort während der Übertragung. Passt schon.

 

[thealex]

Wo hast du denn deine E-Mail-Adresse? Kannst du da kein 2FA aktivieren? In solchen Fällen werden auch oft anwendungsspezifische Passwörter angelegt. Die können nur einmal eingerichtet werden und sind demnach mehr oder weniger wertlos, wenn sie abgegriffen werden.

So zumindest handhabe ich das bei meinem gmx-Account mit aktvierter MFA. Jeder Client, der mit IMAP abruft (jedes Smartphone, Tablet, PC etc.) wurde mit einem separaten anwendungsspezifischen Passwort eingerichtet.

 

[Yuuri]

Ist dann eben transportverschlüsselt. Aber wechsel auf SSL/TLS, denn STARTTLS kann ggf. einfach rausgefiltert werden, vor allem im unverschlusseltem Kontext. SSL/TLS erlaubt es von vorn herein nicht unverschlüsselt zu übertragen.

 

[snakesh1t]

Normalerweise sollte es keine Mailserver ohne SSL/STARTTLS mehr geben.
IMAP Port 993 mit SSL und SMTP 465 oder 587 mit STARTTLS sollte absolut ausreichend sein.

 

[markus-1969]

1)

kein 2FA aktivieren

beim Abholen von mails mit IMAP und Thunderbird ?

du meinst ich kriege ein einmalpasswort aufs handy und tippe das ab im thunderbird am PC ?

das geht sicher nicht bei dem mailserver

2)

mit einem separaten anwendungsspezifischen Passwort eingerichtet

ich nehme immer Passwörter wie

1§"$"§5r23wrfw!

aber was ist "anwendungsspezifisch" ? Kann man bei GMX oder wo auch immer je nach mailclient unterschiedliche Passwörter vergeben ?

3)


Port Bezug mails: 143
Port Versand mails: 587

4)

wechsel auf SSL/TLS

beim mailversand nimmt der server kein SSL/TLS

beim Bezug konnte ich es umstellen

 

[Bob.Dig]

beim mailversand nimmt der server kein SSL/TLS

Denkst Du vielleicht. Wer ist denn nun dein Anbieter, damit wir dir googlen helfen können.

 

[markus-1969]

nun dein Anbieter

google bringt da nix - der mailserver ist von einem freund vor 30 jahren eingerichtet worden ehrenamtlich so daß man alles damit machen kann rund um mails domains etc mit linux

der freund verstarb und der rechner läuft bis heute nur kennt sich kaum jemand damit aus

und der konkrete Betreiber macht mich identifizierbar

kein SSL/TLS beim Versand hab ich ausprobiert

 

[Nilson]

der freund verstarb und der rechner läuft bis heute nur kennt sich kaum jemand damit aus

Heißt da läuft irgendwo ein Mail-Server, der nicht aktiv betreut und im schlimmsten fall nicht mal updates bekommt? Wenn DAS mal kein Sicherheitsrisiko ist. Die Transportverschlüsselung ist da im Zweifel noch das kleinste deine Probleme.
Oder ist das "einfach" ein Hosting-Paket bei einem der (großen) Hoster inkl. Mail, bei dem sich der Hoster um das meiste kümmert.

 

[markus-1969]

nicht aktiv betreut und im schlimmsten fall nicht mal updates

ich finde es anmaßend so zu urteilen wenn man die Lage nicht kennt ...

vor allem ist der mailserver nicht Thema - Thema sind meine Einstellungen in Thunderbird und die Frage der Verschlüsselung zwischen Server und mailclient - nicht mehr und nicht weniger.

 

[wirelessy]

Du willst es nicht hören, sichtlich, aber Recht hat er.

Die Übertragung des Passworts an einen Server ohne Admin (oder 3rd party admin ) ist kritischer als unverschlüsselt, irgendwo

Was bringt dir ne verschlüsselte Übertragung, wenn das Zielsystem nicht mehr vertrauenswürdig ist?

 

[markus-1969]

das Zielsystem nicht mehr vertrauenswürdig

ob ich das Zielsystem ändere ist eine Frage die mit diesem Thread nichts zu tun hat.

es kommt nicht drauf an ob er Recht hat sondern darauf daß ich nur das hören will was ich im ersten Beitrag definiert habe.

 

[wirelessy]

Oh, OK, dann bist du wohl am falschen Ort.
Hier sagen wir gerne, was wir denken, und was unsere Meinung ist.
Wenn du nur hören willst was dir gefällt, dann bezahl jemanden dafür.
Aber die Frage ist ja auch hinreichend beantwortet.

Es kommt mir überhaupt nicht drauf an, dass du nur hören willst, was du definiert hast.

 

[markus-1969]

so scheiden sich die Geister. Natürlich höre ich mir die Meinungen an aber Belehrungen in Bereichen, die andere nicht beurteilen können (wer kennt denn den mailserver in seiner Konfiguration ?) gehen zu weit. Es gibt auch im Netz Regeln des sozialen Umgangs die für alle und jeden gelten und die wesentlich auch den Verzicht auf sachfremde Beiträge beinhalten.

 

[Nilson]

Ja, ich kenne die Konfiguration des Mailservers nicht, wenn ich aber lese, dass das ein 30 Jahre altes, von einem, inzwischen verstorbenen, Ehrenamtler aufgesetzt wurde, mit dem sich niemand auskennt, gehen bei mir die Alarmglocken an.
Das betrifft im Zweifel eben nicht nur dich und deine Mails. Eine nicht gepatchte Sicherheitslücke und feindliche übernahme später, und das Ding dient als Spamschleuder. Und betrifft dann eben eine ganze Reihe von Usern. Das wollte ich nicht unkommentiert lassen, auch wenn du dich jetzt auf den Schlips getreten fühlst.

 

[WhiteHelix]

Es gibt auch im Netz Regeln des sozialen Umgangs

Und das ist jetzt wo ein Problem gewesen? Der Hinweis auf ein ggf. seit Jahr(zehnten) ungepatchtes System ist mehr als berechtigt und sinnvoll. Wir reden hier von Kram der öffentlich erreichbar im Internet steht, das interessiert niemanden ob die Person die das betreut/mal betreut hat dazu noch in der Lage ist.

Wenn managed bei irgend nem Anbieter der sich entsprechend zumindest um Updates und Co. kümmert wärs ja gut, dann hast du ja auch gleich n Ansprechpartner wenns um ne Konfigurationsänderung geht. Wenn das irgend ne Linux Root Kiste ist, absolute Katastrophe. Updates betreffen da ja auch weit mehr als nur den Mailserver als Applikation sondern das Gesamtsystem. Ist technisch einfach so, das hat mit "sozialem Umgang" absolut nichts zu tun. Das betrifft dann auch sämtliche dritte, deren Verkehr auf dem Server liegt 💁‍♂️

 

[Evil E-Lex]

es kommt nicht drauf an ob er Recht hat sondern darauf daß ich nur das hören will was ich im ersten Beitrag definiert habe.

Das Problem ist halt, dass dein erster Beitrag mit dem nachgelieferten Kontext irrelevant geworden ist. Solange das Fundament (der Mailserver) nicht nach dem Stand der Technik betrieben wird, und daran darf man anhand deiner Schilderung "der rechner läuft bis heute nur kennt sich kaum jemand damit aus" berechtigte Zweifel haben, bringt es nichts, sich um die Gestaltung des Daches (die Einstellungen in deinem Mailclient) Gedanken zu machen.

 

[markus-1969]

berechtigte Zweifel

sicher - die berechtigten Zweifel hab ich auch ... aber der Server wird ehrenamtlich von ein paar Leuten betrieben, hat vielleicht 2xy Nutzende und so eine alte Technik daß sich selbst ein Hacker damit nicht mehr auskennt ...

aber das zu thematisieren bringt nix weil ich die ganzen technischen Details alle nicht kenne ... und ein neuer Server ist sicher unsicherer weil die Hacker die neuen Server mit ihrer IT kennen

 

[WhiteHelix]

und so eine alte Technik daß sich selbst ein Hacker damit nicht mehr auskennt ...

und ein neuer Server ist sicher unsicherer weil die Hacker die neuen Server mit ihrer IT kennen

Also sorry wen ich das jetzt so sage, aber das ist absoluter Schwachsinn.

Aber es scheint ja doch noch Leute zu gebgen, die das Ding betreuen? Dann hast du ja auch n Ansprechpartner.

 

[markus-1969]

absoluter Schwachsinn.

ich denke eben so und ich hab eben keine Lust über dieses Thema zu diskutieren zumal man es so sehen kann wie ich.

Schwachsinn sind Deine Beiträge weil die einfach NICHT weiter helfen sondern nur oberlehrehaft sind vor allem weil Du aus der Ferne alles besser weißt ohne die Leute zu kennen die das Teil betreuen und ohne die Technik zu kennen die da drauf ist.