Ihr Standort: Ihre IP: Ihr Status:GeschütztUngeschützt · Zu den Tests »

Enigmail leakt IP-Adressen

Enigmail leakt IP-Adressen

Wer im E-Mail-Programm Thunderbird GnuPG-verschlüsselte E-Mails versenden und empfangen möchte, der kommt an dem Verschlüsselungs-Plugin Enigmail nicht vorbei. Wir sind kürzlich auf ein potenzielles Problem in Enigmail aufmerksam geworden, wodurch die IP-Adresse des Nutzers dem Empfänger einer E-Mail preisgegeben wird. Es betrifft Enigmail 2.0 und später.

Enigmail-Leak

Sobald man eine neue E-Mail verfasst und eine gültige E-Mail-Adresse ins Absenderfeld einträgt, sendet Enigmail automatisch unaufgefordert einen HTTPS-Request an die E-Mail-Domain des Empfängers, um zu prüfen, ob dort der öffentliche PGP-Schlüssel bereitsteht. Das gleiche passiert, wenn man in einer bestehenden Mail auf "Antworten" klickt — man verschickt also effektiv eine Empfangsbestätigung, denn die verfasste E-Mail beziehungsweise Antwort braucht nicht gesendet werden. Der HTTP-Request passiert, sobald eine gültige Adresse im Absenderfeld zu finden ist.

Die aufgerufene URL bildet sich nach einem per IETF-Draft standardisierten Schema [1]. Für die E-Mail-Adresse john.doe@example.com beispielsweise sähe die URL wie folgt aus:<(p>) https://www.example.com/.well-known/openpgpkey/hu/<HASHWERT>

Für den Enigmail-Entwickler stellt dies allerdings kein Problem dar, sondern ist ein gewünschtes Feature: GnuPG hat in Version 2.1.16 "Web Key service für Enigmail" [2], [3] eingeführt, was genau diese Funktion bereitstellt.

Workaround

Der Enigmail-Entwickler weist allerdings auf die Möglichkeit hin, dieses Verhalten abzuschalten. Gehen Sie dazu in die Thunderbird-Einstellungen und navigieren Sie über "Advanced" zu "Config Editor" und suchen Sie nach "extensions.enigmail.autoWkdLookup". Stellen Sie dort den Wert auf 0.

Perfect-Privacy-Nutzer vor IP-Leak geschützt

Wer ein VPN wie Perfect Privacy benutzt ist zumindest vor dem IP-Leak geschützt, da nicht die eigene IP sondern die des VPN-Servers übertragen wird.

Das Problem der Empfangsbestätigung bleibt allerdings bestehen. Wer grundsätzlich nicht möchte, dass unaufgefordert Pakete an die Empfänger-Domain gesendet werden, sollte den oben aufgeführten Workaround anwenden.

[1] https://datatracker.ietf.org/doc/draft-koch-openpgp-webkey-service/ [2] https://gnupg.org/blog/20170803-web-key-in-enigmail.html [3] https://sourceforge.net/p/enigmail/bugs/889/
Diese Webseite verwendet Cookies zur Analyse der Zugriffe und zur Steuerung unserer Werbung. Wenn Sie diese Seite nutzen, stimmen Sie der Cookie-Nutzung zu. Mehr Informationen finden Sie in unserer Datenschutzerklärung.