Es mag ja keine Neuigkeit sein und vielleicht hatte Enigmail denselben Makel. Ich erinnere mich gar nicht mehr.
Mit dem aktuellen Thunderbird kann man PGP-Schlüssel für jede beliebige E-Mail-Adresse ausstellen. Hätte Mozilla hier die Hürde nicht wenigstens etwas höherstellen können? Es sollte doch möglich sein zu überprüfen, ob der Nutzer des PGP-schlüsselerstellenden Thunderbird-Clients tatsächlich auch der Nutzer der E-Mail-Adresse ist, für die er einen Schlüssel erzeugen will.
Jemand von Heise sollte das mal Mozilla vorschlagen.
Und der nächste Schritt zur Verbesserung sollte dann dieser sein:
https://www.heise.de/forum/heise-Security/Themen-Hilfe/Verschluesselung/Heise-Warum-verschluesseln-E-Mail-Programme-nicht-automatisch/posting-30816377/show/