E-Mail

Lange Zeit war es still um “.DE Deutsche Domain” bzw. den Absender deutschedomain.com. Die letzten dokumentierten Fälle stammen aus Oktober und November 2015. Heute jedoch flatterte wieder einer dieser Abzockversuche ins digitale Postfach:

Sehr geehrte Frau / Herr,

Nachfolgend die Einzelheiten zu der Domainregistrierung für 2016 / 2017.

Wir hoffen, Sie ausreichend informiert zu haben.

Mit freundlichen Grüssen

Anna Müller

Kundendienst
DE Deutsche Domain
info@deutschedomain.com

Schon dass hier keine korrekte Anrede verwendet wurde sollte aufhorchen lassen. Im Anhang befindet sich dann ein bemerkenswertes PDF mit Namen “Rechnung 232366.pdf”:

Finn hat mehrere gute Anleitungen geschrieben, wie man dem lokalen Postfix

• DKIM womit der Empfänger feststellen kann, ob die Mail wirklich vom zuständigen Mailserver des Absenders stammt
• SPF um zu verhindern, dass andere Mailserver die eigenen Domain als Absender verenden
• DMARC um festzulegen, was der Mailserver des Empfängers bei fehlgeschlagener Prüfung nach DKIM und SPF mit der Mail tun soll

beibringt. Ich bin noch mittendrin in der Konfiguration. DKIM funktioniert nun schon hervorragend.

Wer K-9 Mail benutzt (nebenbei das beliebtestet OpenSoure-Programm für E-Mails unter Android) und zur Verschlüsselung der E-Mails mit PGP OpenKeychain verwendet, wird über kurz oder lang vor folgendem Problem stehen: dem Verschlüsseln von Anhängen.

Leider unterstützt K-9 Mail bisher den Standard PGP-MIME nicht, sondern kann verschlüsselte Nachrichten nur im Format PGP-Inline verschicken. Daraus ergeben sich gleich zwei Probleme:

1. Beim Versenden von verschlüsselten Nachrichten wird nur der Nachrichtentext verschlüsselt. Etwaige Anhänge werden unverschlüsselt verschickt.Dieses Problem kann umgangen werden, indem die Anhänge zuerst mit OpenKeychain verschlüsselt werden und diese verschlüsselten Dateien dann der E-Mail angehängt werden. Sehr unhandlich.
2. Beim Empfang von PGP-verschlüsselten Nachrichten können nur per PGP-Inline-kodierte Nachrichten sofort in K-9 Mail angezeigt werden.PGP-MIME-kodierte Nachrichten müssen erst abgespeichert werden und können anschließend in OpenKeychain entschlüsselt werden. Ebenfalls sehr unhandlich.

Wie man in folgenden Thread nachlesen kann, sind für die Implementierung von PGP-MIME in K-9 Mail umfassende Arbeiten an der Storage-Engine notwendig. Leider hat bis heute noch niemand entsprechend Zeit für eine Implementierung gefunden, obwohl es anscheinend zu den am meisten von den Benutzern gewünschten Erweiterungen zählt (inklusive mir). Wer mag, kann einen Anreiz für die Entwickler schaffen, indem er sie finanziell unterstützt. Ein entsprechende Seite bei Bountysource ist eingerichtet und steht aktuell bei US$ 1.015.

Ab und zu findet man im weiten Netz auch Konfigurationen, in denen für den MX-Record einer Domain ein CNAME geliefert wird. RFC2181 verbietet ausdrücklich, für den MX-Record einen CNAME zu verwenden:

10.3. MX and NS records

   The domain name used as the value of a NS resource record, or part of
   the value of a MX resource record must not be an alias.  Not only is
   the specification clear on this point, but using an alias in either
   of these positions neither works as well as might be hoped, nor well
   fulfills the ambition that may have led to this approach.  This
   domain name must have as its value one or more address records.
   Currently those will be A records, however in the future other record
   types giving addressing information may be acceptable.  It can also
   have other RRs, but never a CNAME RR.

Es ist also ausdrücklich verboten, auf eine MX-Anfrage einen CNAME-Record zu liefern. Ganz praktisch: der PHP-Mailer von 1&1 verschickt an CNAME-Records bei einer MX-Anfrage keine E-Mails, sondern deren Mailsystem lehnt dann den Versand der E-Mail ab.

Spam und Viren liegen heutzutage massenweise im (ungefilterten) Postfach. Neu ist jedoch, dass diese digital signiert versendet werden. Vor Kurzem traf hier eine E-Mail ein, die angeblich eine Information für den Empfänger einer Überweisung über Western Union sein sollte. In einem Anhang befand sich natürlich ein Virus.

Erstaunlich ist allerdings, mit was für einem Zertifikat die E-Mail unterschrieben wurde. Es handelt sich hier um ein gültiges Zertifikat der Firma Actalis S.p.A.:

Leider ist die Version 1.x von GPG nicht mehr auf der Webseite des GnuPG-Projekts verlinkt. Für Windows werden dort nur noch die Downloadlinks für GPG 2.x angeboten. Das für Windows vorkompilierte Paket GPG4WIN verwende ich jedoch nicht, da es von Firmen erstellt wurde, die nicht mein Vertrauen genießen. Die aktuellen Binaries der Version 1.x für Windows sind auf dem FTP-Server von GnuPG unter der Adresse ftp://ftp.gnupg.org/gcrypt/binary/ zu finden.

Die Version 1.4.12 von GnuPG arbeitet anstandslos mit dem Thunderbird-Plugin Enigmail 1.4 zusammen.

Thunderbird lässt sich mit ein paar Einstellungen für eine bessere Tastaturnavigation konfigurieren. Mit der Taste N kann man schnell zur nächsten ungelesenen Nachricht weiterschalten. Falls die Nachrichten evtl. direkt vom Server aber schon in unterschiedliche Ordner einsortiert worden sind, erscheint beim Wechseln des Ordners eine Frage, ob auch wirklich in den neuen Ordner gewechselt werden soll. Diese Frage finde ich unnötig - sie lässt sich abstellen. Unter Einstellungen -> Erweitert -> Konfiguration bearbeiten gelangt man zu den Einstellungen, die nicht direkt in der Oberfläche bearbeitet werden können. Die Einstellung

Für die Verwaltung der E-Mail-Flut wird oft Thunderbird von Mozilla eingesetzt. Der Standardfunktionsumfang lässt sich (wie auch der Browser Firefox) durch Plugins erweitern. Meine bevorzugten Plugins möchte ich im Folgenden kurz vorstellen:

Deutsches Wörterbuch

Das Plugin wird bei der Installation standardmäßig mitinstalliert und macht schon beim Schreiben auf eventuelle Orthographiefehler aufmerksam.

Enigmail

Eigentlich ein Muss für jeden, der E-Mails nicht ungeschützt wie beispielsweise eine Postkarte versenden will. Enigmail bedient sich für die Verschlüsselung des Programms GPG. Allgemeine Informationen über das Verfahren erhält man im Wikipedia-Artikel. GPG muss vor der Installation bereits installiert worden sein. Eine Anleitung zum Theme Verschlüsselung mit GPG unter Windows hat Brendan Kidwell verfasst.

Nachdem nun mein eigener Mailserver online ist, er nicht in einem Dialin-IP-Block liegt und (ich hoffe) anständig mit TLS und saslauthd abgesichert ist, kann ich getrost Adieu zum E-Mail-Paket sagen, da ich nun alle Funktionen, insbesondere das Verwenden der unterschiedlichen eigenen E-Mail-Adressen selber erledigen kann.

Ich zähle zu den Verückten, die das T-Online E-Mail-Paket nutzen. Ausschlaggebend für die Nutzung war, dass beim Versand eine X-beliebige Abenderadresse eingestellt werden kann. “Normale” Kunden können das auch, aber die Absenderadresse wird von T-Online beim Versand mit der T-Online E-Mail-Adresse des Kunden ersetzt. Nicht so beim E-Mail-Paket, da bleibt die vom Versender vorgegebene Absenderadresse erhalten. Soweit, so gut.

Seit kurzem fiel mir auf, dass ich E-Mails erhalte, die an meine T-Online-Adresse gerichtet waren. Wie, was, wo? Die habe ich doch niemandem herausgegeben. Ich versende immer mit einer Absenderadresse einer auf mich registrierten Domain. Und habe das E-Mail-Paket. Ein kurzer Check in den eingegangenen E-Mails brachte die Katastrophe dann ans Tageslicht. Das ging seit ca. einem Jahr schon so…