hat ein VPN Auswirkungen auf die e-mail Sicherheit?

[foo_1337]

Verwendet man ein öffentliches WLAN z.B. in einem Hotel oder Heim, bringt VPN eine erhöhte Sicherheit, da alles was durch die Hotel Infrastruktur läuft auch verschlüsselt ist durch den Tunnel.

Das Problem wird hier nur von A nach B verlagert. Welchen Grund gibt es, dem VPN Anbieter mehr zu vertrauen als dem Hotel Wifi? Eine Ausnahme wäre natürlich, wenn man das VPN selbst bereit stellt. Aber selbst dann: Die Daten gehen eh früher oder später durch das Internetz. Daher: Hört einfach auf mit Schlangenöl und sorgt dafür, dass der Transportlayer sicher ist. Jedes Netz ist als unsicher zu behandeln. Folgt man dieser Philisophie, fährt man am besten.

Haben nicht die meisten Provider TLS aktiv mittlerweile?

Die meisten. Da ich meinen eigenen Mailserver betreibe, kann ich dir sicher sagen: Ja, es sind viele aber halt längst nicht alle. Ich sende solchen MTA keine Mails und verzichte dann halt zwangsweise auf die Kommunikation, aber wenn du $email_provider_vonderstange nimmst, hast du halt null Garantie und überhaupt keine Kontrolle darüber.

 

[Nutzerkennwort]

Die Diskussion ist müßig. Vertrauen muss man auch zum Bäcker, Fleischer, Mail-Server-Betreiber, etc. haben oder auch nicht.
Fakt ist, das ein VPN deinen Standort verschleiern und die Verbindung verschlüsseln sollte. Ob der
VPN-Anbieter seine Position ausnutzt um "mitzulesen" bzw. deine Daten abfängt und ggf. an die Polizei verrät, das ist halt das gewisse Risiko.

Zur Beurteilungs-Orientierung von VPN-Dienstleistern gibt es im Netz genügend Quellen.

 

[foo_1337]

Fakt ist, das ein VPN deinen Standort verschleiern und die Verbindung verschlüsseln sollte.

Ein VPN macht weder das eine noch das andere. Aber das wurde hier bereits mehrfach erläutert.

 

[Nutzerkennwort]

Ein VPN macht weder das eine noch das andere. Aber das wurde hier bereits mehrfach erläutert.

Außer das eine gewisse Skepsis gegenüber einen VPN bereits angesprochen wurde, stimme ich eben nicht
100 % zu (meine Meinung).

 

[foo_1337]

Mit Meinung hat das nicht viel zu tun, sondern eher mit Fakten.

Dein Email Client -> Transportweg -> dein Mailserver -> Transportweg -> Zielserver -> Transportweg -> Zielclient

Dein Email Client -> VPN Tunnel Eingang -> Transportweg -> VPN Tunnel Ausgang -> Transportweg -> dein Mailserver -> Transportweg -> Zielserver -> Transportweg -> Zielclient

@h00bi hat das hier bereits sehr schön dargstellt. Verschlüsselt wird hier ausschließlich der Tunnel zwischen Client und VPN Endpunkt. Nicht mehr und nicht weniger. Der Rest ist vom Transport Protokoll abhängig.
Vielleicht mal mit http und google einfach dargestellt

Ohne VPN:
Dein Browser -> ISP Router 1 -> ISP Router 2 -> Transit ISP Router 1 -> Transit ISP Router 2 -> Google Router 1 -> Google Router 2 -> Webserver
Mit VPN:
Dein Browser -> VPN Tunnel Eingang -> VPN Router 1 -> VPN Tunnel Ausgang -> Transit ISP Router 1 -> Transit ISP Router 2 -> Google Router 1 -> Google Router 2 -> Webserver

Grün = Durch das VPN verschlüsselt. Der Rest muss durch den das Transportprotokoll, in dem Fall dann HTTPS verschlüsselt werden. Sonst hat man rein gar nichts gewonnen.

Zum Standort: Per GeoIP DB, also z.B. Maxmind, bekommt man je nachdem wie gut die DB gepflegt ist, einen ungefähren Standort auf IP Basis. Ja, das unterbindet das VPN. In der Theorie. Es gibt leider diverse Möglichkeiten, dass die IP Adresse dann doch leaked. Aber abgesehen davon gibt es eben weiter Methoden zur Standorterkennung:

• Paketlaufzeit
• Browsersprache (oder die des MUA im E-Mail Kontext)
• Location im Browser (Anfängerfehler, aber leider oft genug aktiv) https://browserleaks.com/geo (würde mich nicht wundern, wenn hier diverse User eine böse Überraschung erleben)
• Social Media gedönse / Cookies etc
• DNS/IPv4/IPv6/WebRTC leaks, wenn VPN nicht vernünftig konfiguriert
• Brower Fingerprinting (aufwendig hier die Location zuzuordnen aber nicht unmöglich)

 

[Nutzerkennwort]

Mit Meinung hat das nicht viel zu tun, sondern eher mit Fakten.

Router 2 -> Webserver
Mit VPN:
Dein Browser -> VPN Tunnel Eingang -> VPN Router 1 -> VPN Tunnel Ausgang -> Transit ISP Router 1 -> Transit ISP Router 2 -> Google Router 1 -> Google Router 2 -> Webserver

• Paketlaufzeit
• Browsersprache (oder die des MUA im E-Mail Kontext)
• Location im Browser (Anfängerfehler, aber leider oft genug aktiv) https://browserleaks.com/geo (würde mich nicht wundern, wenn hier diverse User eine böse Überraschung erleben)
• Social Media gedönse / Cookies etc
• DNS/IPv4/IPv6/WebRTC leaks, wenn VPN nicht vernünftig konfiguriert
• Brower Fingerprinting (aufwendig hier die Location zuzuordnen aber nicht unmöglich)

Ups ... musste für deinen Leak-Link extra Skript freigeben, um das die Seite bei mir funktioniert. Dann kommt noch eine Geoabfrage, die vielleicht nur für GeoChips interessant wäre. Die habe ich natürlich blockiert und raus kommt:

Permissions API​
Origin Permissions	×"denied" – you don't allow browserleaks.com to request your location
Global Permissions	×Test Error – third-party scripts are blocked.
Geolocation API​
API Status	✔Your browser supports Geolocation API
watchPosition	Watch Position is not active
getCurrentPosition	Get Current Position

01:26:28.920 [1] PERMISSION_DENIED – User denied Geolocation.

Für Anfänger der Materie ist der Stoff sicherlich interessant. Das was du oben aufführst bestreite ich gar nicht, außer die Tatsache, die ich bereits aufgeführt habe.

 

[Falc410]

Welchen Grund gibt es, dem VPN Anbieter mehr zu vertrauen als dem Hotel Wifi?

Wenn du dich in öffentlichen Wifi Netzen befindest, wie es in Hotels oft immer noch der Fall ist, oder du dir den Schlüssel mit allen anderen Teilnehmern teilst, kann jeder im Hotel deinen Datenverkehr mitlesen. Alles was unverschlüsselt ist und auch jede Seite die du aufrufst. Allein schon deswegen macht es Sinn, ein VPN zu verwenden. Es geht ja nicht darum, dass man dem Hotel misstraut, sondern den anderen Teilnehmern im selben WLAN.

Natürlich muss einem klar sein, der, der das Gateway kontrolliert, sieht dann auch wieder alles, aber darum würde es mir gar nicht gehen.

Ergänzung (13. November 2021)

Ein VPN macht weder das eine noch das andere. Aber das wurde hier bereits mehrfach erläutert.

Also wenn ein VPN deiner Meinung nach, nicht die Verbindung verschlüsselt, dann solltest du dir noch einmal die Funktionsweise von VPNs durchlesen. Ebenso ändert sich natürlich die externe IP von der man kommt. Natürlich hat das Auswirkungen auf die Geolocation und die Privacy.

Alle deine aufgeführten Methoden zur Standort-Bestimmung sind ja wohl deutlich ungenauer. Paketlaufzeit oder Browsersprache sagen nicht wirklich viel aus. Ich hab mein OS auf Englisch gestellt und? Das mag vielleicht bei Ransomware etwas bringen wenn ich als OS Sprache Russisch einstelle, aber so im täglichen Gebrauch beim Aufruf von Webseiten? Die verlassen sich schon auf andere Merkmale. Aber niemand hat gesagt, dass es unmöglich ist seine "Herkunft" zu faken, es hieß ja immer "verschleiern".

Btw, jeder Student mit eduroam Account kann kostenlos eduVPN hernehmen. Haben meine Kollegen von Surfnet extra entwickelt um überall Netflix schauen zu können Aber es hat noch andere nützliche Einsatzzwecke natürlich. Wenn ich an meine China-Urlaube denke ohne Google-Dienste, da war ich schon froh über ein VPN.

 

[foo_1337]

Wenn du dich in öffentlichen Wifi Netzen befindest, wie es in Hotels oft immer noch der Fall ist, oder du dir den Schlüssel mit allen anderen Teilnehmern teilst, kann jeder im Hotel deinen Datenverkehr mitlesen.

Ich sagte doch: Sorge dafür, dass der Transportweg ohnehin verschlüsselt ist. Wenn das nicht der Fall ist, bleibt nach wie vor der Weg innerhalb deines VPN Anbieters und der Rest im Internet bis zum Ziel unverschlüsselt. Für mich macht das keinen Unterschied, ob das da geschieht oder im Hotel. Es gilt unverschlüsselte Verbindungen zu unterbinden. Und da hilft dir nunmal kein VPN.
Was bleibt sind die Metadaten. Aber da würde ich erst recht keinem VPN Anbieter vertrauen. Egal was deren Marketingfuzzis versprechen. Ergo: Wenn man keinen Bock hat, dass irgendjemand die Metadaten bekommt, mietet man sich irgendwo ne Kiste oder baut den Tunnel nach Hause auf und geht darüber. Aber auch hier: Es bleiben genug Hops im Internet übrig, die dann die Metadaten nach wie vor sehen. Daher muss endlich mal ECH verbreitung finden!

Also wenn ein VPN deiner Meinung nach, nicht die Verbindung verschlüsselt, dann solltest du dir noch einmal die Funktionsweise von VPNs durchlesen.

Es wird lediglich die Verbindung zwischen Client und dem VPN Endpunkt, also der Tunnel, verschlüsselt. Das habe ich oben erleutert. Da wir hier nicht vom klassischen VPN Use Case sprechen, bei dem der Traffic dann in dem Netz zu dem der Tunnel geht bleibt: Der Rest des Traffics bleibt so wie ihn das Transportprotokoll vorsieht. Das und auch die Geschichte mit der Location habe ich in #25 erläutert. Und du zeigst hier das Problem von den VPN sehr gut auf: Die Nutzer erwarten etwas, was es nicht bietet. Der gewöhnliche Kunde denkt "Genial, jetzt ist alles verschlüsselt". Stimmt halt leider keineswegs.

 

[Allerlei]

ich schalte das VPN ein und verwende Tor. Gibt mir ein gutes Gefühl, aber bringen wird´s scheinbar wenig, wenn ich mir eure Meldungen dazu so ansehe....

Fakt ist es, dass es herkömmlich fast unmöglich ist, mit mehreren Mailinhabern mit unterschiedlichsten Mailprovider zu kommunizieren. Wer dafür eine praktikable Lösung weiß, bitte gerne...!

 

[Allerlei]

OK danke für eure Infos!
Ich weiß jetzt, dass es meist nur "Postkarten" gibt und sich leider keiner darüber Gedanken macht :-(

 

[Maitry]

Die Diskussion ist müßig. Vertrauen muss man auch zum Bäcker, Fleischer, Mail-Server-Betreiber, etc. haben oder auch nicht.

Ein schweres Thema. Ob ein VPN seine User verrät kann man teilweise recherchieren. Hin und wieder gibt es bekannt gewordene Fälle wo der VPN nicht dicht gehalten hat. Dann heist es natürlich: Den nicht...

Ich habe virtuell Kontakt zu Leuten die sich viel damit beschäftigen und bin der Meinung: Ja, es gibt vertrauenswürdige, die ihre Arbeit gut machen. Aber die sind in der Vielzahl der Anbeiter schwer zu finden, bzw werden auch oft durch "Mundpropaganda" "unter der Hand" weitergegeben, weil sie garnicht so dick auftragen wie all Bekannten die einem das Blaue vom Himmel versprechen.

Es gibt z.B: welche in deren AGBs schon rauszulesen ist, das sie keine Limitationen haben in Punkto Verbindungsanzahl oder Traffic. Das spricht schon eher für ein echtges No-Logging.

Ergänzung (20. November 2021)

Ob der VPN-Anbieter seine Position ausnutzt um "mitzulesen" bzw. deine Daten abfängt und ggf. an die Polizei verrät, das ist halt das gewisse Risiko.

Zur Beurteilungs-Orientierung von VPN-Dienstleistern gibt es im Netz genügend Quellen.

Manchmal wird sowas bekannt!

Es gibt doch sicher Leute denen Sicherheit wichtig ist z.B: der CCC macht sonen Eindruck. Haben die nicht bestimmte "Listen" von guten Anbietern?
Also wer mitliest und seine user ausliefert, sollte doch im Netz schnellstens maximal rufgeschädigt werden!
Das Problem ist nur das diese negativen Meldungen sich nicht allzu sehr verbreiten und auch schwer zu finden sind.
Die Werbung die sie alle machen hallt eben leider sehr laut durchs Netz und übertönt alles andere......

 

[Evil E-Lex]

Es gibt doch sicher Leute denen Sicherheit wichtig ist z.B: der CCC macht sonen Eindruck. Haben die nicht bestimmte "Listen" von guten Anbietern?

Meine Meinung: Es gibt keine guten Anbieter. Keine der Firmen ist an Privatsphäre für die Nutzer interessiert. Was sie ausschließlich treibt, ist das Geld, das sie mit dieser Dienstleistung verdienen können. Was gerne übersehen wird: In Gestalt des Tor-Netzwerks gibt es bereits einen Dienst, der technisch sinnvoll umgesetzte Privacy anbieten kann. Und selbst dieser Dienst hat Grenzen.
Und was das "No-Logging" angeht: Das mag pauschal so sein. Kommt aber eine Behördenfrage nach den Verbindungen von Nutzer XY rein, wird jeder Anbieter ab diesem Moment mitloggen. Natürlich ohne Benutzer XY davon in Kenntnis zu setzen. Das Argument "wir speichern grundsätzlich nichts" zieht nicht mehr, siehe Tutanota.