datenritter blog

Der Mailman-ssls-Patch vom 18.07.2009 enthält Fehler. Mails können unverschlüsselt versandt werden, wenn der Schlüssel des Empfängers ungültig ist, obwohl im das Webinterface "Force" (erzwingen) ausgewählt wurde. Außerdem können Administratoren keine Schlüssel austauschen, beim Austragen eines Mitglieds wird der alte Schlüssel nicht gelöscht. Die ersten beiden Fehler sind mit dem folgenden Patch gegen das hier verlinkte Sourcecode-Paket leicht zu beheben:

"Mailman-ssls 2.1.12 kleinere Bugfixes" ... »

In diesem Eintrag zu Mailman-ssls ist der gepatchte Code in Version 2.1.11 verlinkt.
Hier nun die neue Version: mailman-ssls-2.1.12.tar.bz2 herunterladen.

Und noch zwei Ergänzungen:

• Ich würde beim configure-Durchlauf noch --with-mail-gid=nogroup anhängen, um Ausführungsproblemen vorzubeugen.

• Unbedingt beachten: Nur die englischen Templates der Weboberfläche wurden gepatcht. Die deutsche Oberfläche erlaubt es nicht, öffentliche Schlüssel der Listenteilnehmer einzutragen, und Mailman-ssls treibt Admins, die es auf anderen Wegen versuchen, in den Wahnsinn.

Kristian Köhntopp erklärt schön einfach für Einsteiger, wie Procmail funktioniert.

Allerdings wird Procmail zunehmend unbeliebt. Eine einfachere Syntax hat Couriers Maildropfilter.

Ein Filter, der Mails, die nicht eine bestimmte Empfängeradresse tragen, in einen speziellen Ordner sortiert und alle anderen dorthin kopiert, sieht dort z.B. so aus:

if ( /^To:.*@datenritter.*/ || /^To:.*datenritter@mailhost.zuhause.local.*/ )
{
cc $HOME/Maildir/.komisches
to $HOME/Maildir
}
else
{
to $HOME/Maildir/.komisches
}

(Die to-Zeile im ersten Block kann man auch weglassen.)

Einige weit verbreitete Mailprogramme sind nicht mit Komfortfunktionen zum Umgang mit Mailinglisten ausgestattet. Insbesondere wenn ein Button "Antwort an Liste" fehlt, verwirrt das unbedarfte Anwender.

Eine Mail, die über eine Liste kam, hat natürlich eine ganz normalen Absenderadresse — die des Autors eben. Die Empfängeradresse ist die Adresse der Liste. Zusätzlich kann ein "Reply-To" eingetragen sein, d.h. der Absender wünscht, dass man Antworten an eine andere Adresse richtet, zum Beispiel weil er von einem Firmenaccount aus mailt, Antworten aber in seiner privaten Mailbox empfangen möchte.

Eine einfache Antwort wäre an diese Adresse gerichtet. Erst eine "Antwort an alle" veranlasst das Mailprogramm, auch die Listenadresse als Empfängeradresse mit einzutragen. Das wiederum nervt einige Mailinglistenteilnehmer, weil die Mails an die Liste nicht auch noch in Kopie bekommen möchten. Alle Adressen bis auf die der Liste zu entfernen, ist jedoch zeitaufwändig. (Mailman kann deshalb den Versand an bereits eingetragene Empfänger einer Mail unterdrücken.)

Es gibt ein kleines AddOn, dass Thunderbird um einen "Antwort an Liste"-Button erweitert: Reply to Mailing List.

Leider verwendet das fast niemand, es wird erwartet, dass die Technik irgendwie "komfortabel" ist und "so funktioniert wie erwartet". Wobei natürlich die Erwartung des anfragenden Benutzers gemeint ist, und keine andere. Und so wird oft der Wunsch laut, den Reply-To-Eintrag von der Mailinglistensoftware umschreiben zu lassen.


Das zu tun ist falsch!


Diese Seite erklärt ausführlich, warum. Die Zusammenfassung:

• It violates the principle of minimal munging.


• It limits a subscriber's freedom to choose how he or she will direct a response.


• It provides no benefit to the user of a reasonable mailer.


• It actually reduces functionality for the user of a reasonable mailer.


• It removes important information, which can make it impossible to get back to the message sender.


• It penalizes the person with a reasonable mailer in order to coddle those running brain-dead software.


• It violates the principle of least work because complicates the procedure for replying to messages.


• It violates the principle of least surprise because it changes the way a mailer works.


• It violates the principle of least damage, and it encourages a failure mode that can be extremely embarrassing -- or worse.


• Your subscribers don't want you to do it. Or, at least the ones who have bothered to read the docs for their mailer don't want you to do it.

Freie Übersetzung:

• Man verstößt gegen das Prinzip so wenig wie möglich zu manipulieren.


• Man verschafft Benutzern eines vernünftigen Mailprogrammes keinen Vorteil. (Als vernünftig nehmen wir mal solche Programme an, die besagten "Antwort an Liste"-Button haben.


• Man nimmt den Abonnenten die Freiheit zu entscheiden, an wen sie antworten möchten. (Eine "private" Antwort, die nicht über die Liste gehen soll, kommt schließlich oft genug vor.)


• Man nimmt den Benutzern vernünftiger Mailprogramme einen Teil der Funktionalität.


• Wichtige Informationen werden aus der Mail entfernt, so dass es unmöglich sein kann, den Absender zu kontaktieren.


• Man bestraft die Benutzer vernünftiger Mailprogramme, nur um die Nutzer dämlicher Software zu verhätscheln.


• Man verkompliziert die Antwortprozedur und verursacht Arbeit.


• Es ist unintuitiv, weil man die Art und Weise, wie das Mailprogramm arbeitet, manipuliert.


• Man ermutigt zu falschem Verhalten, was entlarvend und peinlich sein kann. Oder schlimmer. (Weil eine private Mail an die Liste ging.)


• Die Benutzer, die ihr E-Mail-Prgramm verstanden haben, wollen nicht, dass man es tut.

Punkt.

Für verschlüsselte Mailinglisten gibt es verschiedene Ansätze. Leicht ist das Leben, wenn man Mailman-ssls einsetzt. Die erweiterte Version kann all das, was die verbreitete Mailingslistensoftware Mailman auch kann, beherrscht zusätzlich aber diverse Verschlüsselungsfeatures.

Mails an die Liste werden nur noch mit dem Listenschlüssel verschlüsselt, Mailman-ssls entschlüsselt die Mails und verschlüsselt sie dann wieder für jeden Abonnenten einzeln. Nicht verschlüsselte Mails können abgelehnt werden, Empfänger ohne Schlüssel bekommen keine Kopie. Natürlich müssen die öffentlichen Schlüssel der Empfänger dem Server zur Verfügung stehen. Mailman-ssls hat dafür eine Verwaltungsfunktion.

Der große Vorteil von Mailman-ssls ist, dass die Listenteilnehmer nicht die Schlüssel aller anderen haben müssen oder gar selbst in ihren Mailprogrammen Listen pflegen. Den Komfortgewinn bezahlt man mit ein wenig Zentralismus, was auch ein Nachteil ist, denn der Server muss unbedingt absolut sicher sein, sonst könnten alle Listenmails offengelegt werden. Das heißt, er muss vor Hackerangriffen, aber auch vor physikalischem Zugriff sicher sein. Wie so oft läuft das schnell auf die Frage hinaus, ob man seinem Hoster vertraut, doch dies soll hier nicht diskutiert werden.

Erhalten bleibt auf jeden Fall der Vorteil, dass Mails auf der eigenen Festplatte verschlüsselt abgelegt bleiben, Angriffe gegen einzelne Teilnehmer einer Cryptoliste sind also nicht erfolgversprechender als sonst auch. Mailman-ssls führt aus Sicherheitsgründen standardmäßig kein Archiv und beherrscht OpenPGP-Schlüssel genauso wie X.509-Zertifikate.

Leider hat sich die Einrichtung auf einem Debian-System als etwas schwierig erwiesen, den weiten Weg zum Ziel fasse ich in diesem HowTo zusammen. "verschlüsselte Mailinglisten mit ... »

Im Chaosradio Express 104 (Blog) wurde ein AddOn erwähnt, welches ein leidiges Problem von Thunderbird (bzw. Icedove bei Debian) behebt.

In der Thread-Ansicht bestimmt das Mailprogramm die angezeigte Reihenfolge nach der ältesten Nachricht in einem Thread statt nach der jüngsten. Antwortet jemand auf einen lange zurückliegenden Mailwechsel, so wird die Nachricht dort — und damit möglicherweise außerhalb des Blickfelds — einsortiert.

Das AddOn ThreadBubble rückt den gesamten Thread dorthin, wo eine einzelne neue Mail einsortiert würde, also gegebenenfalls ganz nach unten oder ganz nach oben.

Viele glauben, das AddOn würde nicht funktionieren, haben aber die Anleitung auf der Homepage nicht gelesen. Man muss nach dem Aktivieren der Thread-Ansicht die Sortierung noch über Ansicht -> Sortieren nach -> Datum umstellen:



Ab Thunderbird 3.1 wird das AddOn nicht mehr benötigt.

Aus einer E-Mail:

Gerade schickte ich denen eine Mail (doppelt, damit die nicht sagen können, es sei nichts angekommen) [...]

Eine todsichere Lösung. Wer am todsichersten sein will, schickt die Mail gleich hundertfach.

Wie die iX Mitte September berichtete und Strafverteidiger Udo Vetter vom law blog heute kritisierte plant die Bundesregierung einen neuen, vermeintlich sicheren und noch vermeintlicher vertrauenswürdigen E-Mail-Dienst. Der "De-Mail" genannte Bundesmaildienst solle sogar digitale Einschreiben ermöglichen, berichtet onlinekosten.de. (Ich bin gespannt, wie das funktionieren soll, wenn der Empfänger z.B. gerade PC-Probleme hat.)

Um den Dienst gibt es bereits Streit, der Provider Strato ist aus dem Projekt ausgestiegen. Grund: die "informationstechnologische Monostruktur" und eine vom BSI verweigerte Zertifizierung.

Hier einige Gründe, warum dieser Dienst grober Unfug ist und scheitern wird:

• Der Dienst ist zentralistisch. Das ist schlecht für die Verfügbarkeit und extrem schlecht für die Sicherheit.
• Der Bundestrojaner.
• Eigentümliche Vorstellungen von Sicherheit der Regierung und bei manchem Mitarbeiter des BSI.
• Juristen werden viel zu sagen haben.
• Wenn Daten verloren gehen, ist der Schaden gigantisch.
• Der Dienst wird zentrales Ziel für Industriespione jeder Nationalität.
• Der Dienst ist ein weiteres Prestigeprojekt der Bundesrepublik. Und wie immer wird er uns Prestige kosten. Und Geld. Und Sicherheit.
• Die Deutschen vertrauen ob zahlreicher Datenskandale der Telekom nicht mehr und werden den Dienst nicht nutzen.
• Die Deutschen vertrauen ihrem Staat nicht mehr und werden den Dienst nicht nutzen.

Letzteres ist das Hauptproblem und Killerargument schlechthin. Denn die Entscheidung darüber, was privat und vertraulich ist, obliegt durch diesen Dienst dem Staat.

Unabhängig von der politischen Meinung muss jedermann klar sein, dass staatliche Organe vollen Zugriff auf die Postfächer haben werden. Man wird "im Vorfeld tätig" werden wollen, um Verbrechen zu verhindern, und vielleicht sogar Urheberrechtsverletzungen und Sozialbetrug verfolgen. (Vielleicht verraten die vielen Liebesbriefchen ja, ob jemand doch nicht allein lebt...?)

Man bedenke: Selbst das heilige Bankgeheimnis deutscher Nationen wurde abgeschafft.

Das bedeutet konkret: Im Gegensatz zu einem privatwirtschaftlichen Provider, der kein solches Interesse hat, wird der Staat freimütig zugreifen und entscheiden, welche Daten er für privat und sensibel hält. Und damit wird er auch entscheiden, ob der Bürger etwas zu verbergen hat. Und an wilden Fantasien und Paranoia mangelt es offensichtlich nicht.

Dadurch ist der Dienst sowohl für geschäftliche, private und Behördenkommunikation unbrauchbar und man kann aus sicherheitstechnischer Sicht nur dringend davon abraten, ihn zu nutzen.

Aber vielleicht kann man damit ja endlich mal große Dateianhänge verschicken...

Die Pfeil-Taste klemmt ein wenig, statt einer Mail werden fünf ausgewählt, das endgültige Löschen mit Shift-Entf ist von der Routine zum Reflex geworden. Zu spät, die Mails sind endgültig gelöscht, und welche es sind, weiß ich auch nicht mehr.

Doch der Server speichert jede Nacht eine Kopie meiner Mailbox und meines Home-Verzeichnisses. Ausgerechnet mit mutt kann ich das gesicherte mbox-File öffnen, darin navigieren, und die verschwundenen Mails in das aktuelle File kopieren.

Noch einfacher wäre es gewesen, wenn ich die eingebaute "Backup"-Funktion des Mailprogrammes genutzt hätte, also den Papierkorb. Die schützt auch, wenn die Mails nicht schon "von gestern" sind.

Ich benutze Courier als IMAP-Server und Thunderbird als Client. Gute Software, doch schon häufiger fiel mir eine mysteriöse Verdoppelung von Mails auf im Papierkorb auf. Außerdem nützt die beste Software nichts, wenn sie mit zu vielen Daten zu kämpfen hat. Zeit zu handeln... "Backups! 4" vollständig lesen »