Thunderbird gibt falschem Absender das Echtheits-Siegel

Eigentlich sollen digitale Signaturen sicherstellen, dass man sich auf den Absender einer E-Mail verlassen kann. Allerdings stellt sich Thunderbird im Umgang mit signierten E-Mails so ungeschickt an, dass man falsche Absender vortäuschen kann.

In Pocket speichern vorlesen Druckansicht 118 Kommentare lesen
Lesezeit: 3 Min.
Von

Der versiegelte Brief rechts steht fĂĽr eine gĂĽltige digitale Unterschrift. Trotzdem hat keineswegs Angela Merkel diese Mail signiert.

Auf die Angaben zum Absender einer E-Mail kann man sich nicht verlassen; erst eine digitale Signatur bestätigt deren Echtheit. In Thunderbird soll ein Symbol mit einem Siegel signalisieren, dass man sich auf die Absenderangabe verlassen kann. Allerdings stellt sich Thunderbird im Umgang mit signierten E-Mails so ungeschickt an, dass man ganz einfach digital signierte Mails mit falschem Absender präsentieren kann.

Das Problem ergibt sich aus der Tatsache, dass es in den Verwaltungsinformationen zwei Header-Felder gibt, die als Absender gelten können: From: und Sender:. Der Sender gilt dabei als "technischer Absender"; man kann sich das als eine Art Sekretär vorstellen, der eine Mail "im Auftrag" seines Vorgesetzten verschickt. Dummerweise ist nicht ganz klar geregelt, wie diese Header zu behandeln sind. Selbst der für die Behandlung von S/MIME-Zertifikaten zuständige RFC 5750 lässt da etwas Interpretationsspielraum. Es heißt dort unter Punkt 3 ("Using Distinguished Names for Internet Mail"):

Receiving agents MUST check that the address in the From or Sender header of a mail message matches an Internet mail address in the signer's certificate, if mail addresses are present in the certificate.

Aus dieser etwas unklaren Situation macht Thunderbird das denkbar schlechteste: Er prüft den Sender, zeigt jedoch standardmäßig nur den From-Header an. So kann ein Angreifer relativ einfach eine Mail konstruieren, die den (gefälschten) Absender "Angela Merkel <angie@kanzleramt.de>" aus dem From-Header anzeigt und gleichzeitig eine gültige Signatur signalisiert. Diese ist auf den Sender (etwa micha.borrmann@ssys.de) und dessen gültige Unterschrift zurück zu führen. Der Thunderbird-Benutzer würde dies allerdings nur in den Details der Signatur entdecken, die erst erscheinen, wenn man das Symbol mit dem versiegelten Brief anklickt. Dieses Verhalten zeigt Thunderbird seit geraumer Zeit – auch mit der aktuellen Version 24.1.0.

Gefälschte Absender (5 Bilder)

Apple Mail

Apple Mail zeigt den Signaturgeber deutlich an.

Wenn man sich den Sender anzeigen lässt, hat man zumindest eine Chance, die Fälschung zu erkennen.

Andere Mailer haben das besser gelöst und präsentieren gleich eine passende Fehlermeldung: "Signaturgeber stimmt nicht mit dem Absender überein" erklärt etwa Windows Live Mail 2012. Evolution oder auch Outlook weisen auf die zur Signatur verwendete Adresse hin, wodurch eine derartige Diskrepanz zumindest sichtbar wird. In Thunderbird kann man sich behelfen, indem man sich zusätzlich mit der Option mailnews.headers.showSender auch den Sender anzeigen lässt. Es wurde auch bereits vor einiger Zeit angeregt, dieses Verhalten standardmäßig zu aktivieren. Umsicht ist trotzdem geboten, denn einen Hinweis auf eine Abweichung erscheint immer noch nicht, aber man kann zumindest aufgrund unterschiedlicher E-Mail-Adressen stutzig werden. Ob sich daran noch etwas ändern wird, ist zweifelhaft, nachdem Mozilla die Weiterentwicklung des E-Mail-Programms letztes Jahr eingestellt hat. (ju)