Email Client "nur lesend" oder sonstige Sicherheitsvorkehrung?

[Serpens66]

Hi

ich nutze unterschiedliche Webmail Anbieter und logge mich für die mails immer mit Passwort und je nach anbieter auch 2FA bei den websites ein (Passwort im Kopf)
Das Problem ist nun leider, dass einige der Anbieter sehr begrenzte Einstellungen (zb Filter,Exportmöglichkeit) haben und ich nun gezwungen bin, auf ein Mailprogramm umzusteigen, damit ich meine Mails exportieren kann und mir auch in Zukunft mithilfe von Filtern das Leben erleichtern kann.

Thunderbird klingt nach einer guten Sache, auch wenn ich den ganzen Zusatzquatsch nicht brauche und wenn möglich auch nicht installieren werde. Ich will nur typische Mail Features, sonst nichts.

Das Problem:

Thunderbird will meine Login Daten speichern, bzw alternativ wohl diese "POP3" Schlüssel oder was das ist.
So oder so hätte Thunderbird dann wohl vollen Zugriff auf meine Mails und auch auf das Verschicken von Mails. Das macht speziell meine Sicherung durch 2FA doch ziemlich nutzlos, oder nicht?
Deswegen der Gedanke, dass Thunderbird nur lesenden Zugriff haben soll und ich mich für alles weitere weiterhin mit 2FA bei den Websiten einlogge.

Oder gibt es eine bessere Lösung, vllt hat thunderbird sogar 2FA integriert oderso? Googeln nach "Thunderbird 2FA" spuckt aus, dass GoogleMail dafür wohl extra "app passwörter" hat, damit Apps wie outlook/thunderbird 2FA umgehen können. Das klingt nach schwachsinn, da kann ich ja gleich auf 2FA verzichten...?!

[weaknesswaran]

Hast du mal posteo ausprobiert? Ich bin damit sehr zufrieden.

[Serpens66]

Hast du mal posteo ausprobiert? Ich bin damit sehr zufrieden.

danke dir für deine Antwort

Allerdings trifft es glaube ich nicht meine Frage, oder?
Soweit ich sehe ist Posteo lediglich ein weiterer Webemail Anbieter.
Ich suche aber einen Weg wie ich Email-clients wie Outlook oder Thunderbird nutzen kann, ohne das 2FA Sicherheitsfeature zu untergraben.

2FA für den Email Login ist sehr wichtig, da ein Hack eines Emailaccounts ja Türen zu allen anderen Diensten öffnet.
Ein App-Passwort ist nicht so sicher wie 2FA, besonders falls mein PC mal infiziert sein sollte.

[Bertrannus]

Hallo,

das sind einige Fragen, daher wird die Antwort auch etwas länger ausfallen. Ich versuche sie soweit wie möglich zu beantworten:

1) Darf ich fragen, wieso du so viele unterschiedliche Anbieter nutzt? Denn theoretsich könntest du eines der folgenden Möglichkeiten nutzen:
   a) Du wählst dir einen Hauptaccount aus und richtest dir bei allen anderen Mailaccounts eine EMail Weiterleitung ein. Dadurhc bekommst du alle EMails auf eine EMail Adresse und kannst dennoch alle Filter / Exportfunktionen des Anbieters nutzen. Beispiel GMail
   b) Wie anfangs a), nur richtest du bei diesem Anbieter eine automatische EMail Abfrage ein. Das bedeutet, dass dieser Anbieter automatisch alle deine anderen E-Mails regelmäßig (z.B. 10 Minuten) abfragt. Wie diese Einrichtung aussieht ist sehr stark von dem Anbieter abhängig. Das must du in deren Hilfeseiten oder beim Support nachfragen. Beispiel GMail

Die Verwendung von 2FA kann natürlich diese Methoden verkomplizieren, aber meistens bieten die Anbieter dafür spezielle Schlüssel an. MEistens ist dieser Zugang mit speziellen Restriktionen verbunden, aber es bleibt ein gewisses Risiko, klar. Aber es macht 2FA definitiv nicht nutzlos, da du dich trotzdem beim Einloggen besser absicherst. Wenn du unterwegs bist, kann ein Angreifer mit einem Passwort bei eingeschaltetem 2FA nicht so viel anfangen. Das gilt natürlich nur, wenn du dich über die Weboberfäche des Anbieters anmeldest. Die Anmeldung von z.B. thunderbird sieht da wieder etwas anders aus. Außerdem sind es auch einfach technische Probleme, denn wie sollten die Abfragen sonst automatisch ablaufen?

2) Thunderbird ist grundsätzlich eine gute Software (OSS, wird immer noch laufend aktualisiert). Ich habe die Software aber schon lange nicht mehr benutzt, aber soweit ich weiß, werden da keine zusätzlichen Sachen installiert und für ein Mailprogramm ist es auch eigentlich übersichtlich. Es gibt auch eine Reihe nützlicher Add-Ons, die dir vielleicht helfen könnten. Filter und Exportmöglichkeiten gibt es auch.

Grundsätzlich ist es möglich, ein sogennantes Masterpasswort in Thunderbird zu setzen. Mit diesem werden alle anderen Passwörter & Zugangsdaten verschlüsselt abgespeichert. Dieses Masterpasswort müsstest du bei jedem Start eingeben. Das sollte das Sicherheitsniveau erhöhen.

Eine Alternative zu Thunderbord wäre z.B. Postbox

3) POP3 vs IMAP: Eine ausführlichere Erklärung kannst du hier lesen, der wesentliche Punkt ist jedoch der: POP3 bedeutet für sich, dass die EMails vom Server abgerufen werden und anschließend vom Server gelöscht werden (landen dann z.B. im Papierkorb). Somit können EMails nur einmal abgerufen werden. IMAP ist als Verbesserung von POP3 zu verstehen. Dabei werden die EMails nicht gelöscht, sondern die Postfächer werden im Prinzip synchronisiert.

4) Lesender Zugriff wäre somit theoretisch nur durch IMAP möglich, jedoch kenne ich keinen Anbieter, welcher sowas anbietet. (Weil es auch in 99,9% der Fälle auch nicht logisch ist) Für Unternehmen sieht es schon wieder etwas anders aus, aber das ist wohl außerhalb der Reichweite.

5) Es scheint allerdings Anbieter zu geben, welche einen nur Lese Zugriff über ihre Weboberfläche zulassen. Ein Beispiel wäre Fastmail. Dieser ist jedoch kostenpflichtig. Ein ähnliches Konzept bietet auch GMail an, aber es ist strenggenommen kein read-only access.

6) Und noch eine weitere Frage: Was genau möchtest du mit einem read-only Zugriff erreichen? Dir sollte bekannt sein, dass sich EMail Absender relativ einfach fälschen lassen? Damit würdest du somit nur verhindern, dass ein Angreifer Nachrichten löscht oder dass er SPAM versendet und so dein Konto deaktivieren lässt.

Damit sähen die Lösungsansätze so aus:

1) Eine EMail Weiterleitung einrichten. Das entspräche noch am ehesten deinem Anspruch. Dadurch sind die Konten der weitergeleiteten EMails komplett eigenständig und daher read only. Erfordert ein weiteres Konto. Die Frage ist, wie du mit einer möglichen Kompromittierung dieses Kontos umgehst.

2) Du belässt es bei Thunderbird oder einer ähnlichen Software. Es gibt ja auch selbst gehostete Lösungen, wie z.B. Roundcube, Mailpile, welche es dir dann ermöglichen, von überall auf die EMails zuzugreifen.

3) Du richtest dir ein speziellen EMail Account ein, welcher es dir ermöglicht, read-only Postfächer einzurichten.


Während des Schreibens hast du noch was geschrieben, daher der Zusatz:

Ich suche aber einen Weg wie ich Email-clients wie Outlook oder Thunderbird nutzen kann, ohne das 2FA Sicherheitsfeature zu untergraben.

Da jeder Anbieter meistens eigene Wege gehen, was 2FA angeht, und da Thunderbird eh nur am Leben gehalten wird, ohne dass da viel Arbeit reingesteckt wird, und da ein Free Mail Anbieter großes Interesse daran hat, dass sich die Kunden üder das Web anmelden und nicht über externe Software, ist deine Anforderung ohnehin schon schwierig genug umzusetzen.

Aufgrund des Designs der E-Mail ist das einfach schwierig. Es sollte wohl aber erwähnt werden, dass das App Password nicht mit dem Kontopasswort gleichzusetzen ist. Die Software hat damit nur begrenzten Zugang und kann z.B. dein Hauptpasswort nicht ändern.

Ich würde das vielleicht nochmal etwas relativieren: Die Verwendung dieser App Passwörter ist sicherer als du denkst. Der Angreifer kann nicht einfac das Passwort verwenden, er muss auch noch dafür sorgen, dass sich seine Thunderbird Installation genauso verhält, wie deine Installation. Ändert aber natürlich nichts an dem fehlenden zweiten Faktor.

[Serpens66]

Vielen Dank für die ausführliche Antwort !

sooviele mailanbieter sinds garnicht, eigentlich nur 4.
Den ersten nutze ich quasi mein Leben lang, war meine erste Mailadresse (hauptsächlich private Adresse)
Der zweite stammt vom Internet-Vertrag, bei dem man sich kostenlos beliebig viele Emailadresse generieren konnte (eine Spam-mail und eine Bitcoin-mailadresse)
Der dritte ist einer mit 2FA Yubikey (bisher nur genutzt für sehr wenige Dienste, die besonderen schutz brauchen)
Der vierte ist GMail der mir aufgezwungen wurde (garnicht genutzt, ich mag gmail nicht, nur der vollständigkeithalber aufgezählt)

Problem:
Der Internetvertrag wird nun gekündigt, weshalb auch die Emailadressen wegfallen. Und da ich bei sehr sehr vielen Diensten damit registriert bin, ists ein unverhältnismäßiger Aufwand, die überall zu ändern -> Meine Mutter übernimmt die Adresse in ihren Internetvertrag, doch dabei werden alle gespeicherten Emails gelöscht -> da diese aber wichtig sind, muss ich sie vorher exportieren, doch der Anbieter unterstützt das nicht -> ein externes Tool wie Thunderbird ist notwendig (habe sie auch bereits erfolgreich exportiert, also in lokale Ordner kopiert)

Dabei ist mir aufgefallen, dass sowas wie Thunderbird allgemein deutlich praktischer wäre, zb wegen den Filterregeln (welche es bei den ersten beiden Mailanbietern nicht gibt) und ich mich nicht mehr bei 3-4 Seiten einloggen muss.

Nach diesem Aufbau könnte ich nun also einfach die Anbieter mit 2FA in Thunderbird weglassen und mich dort weiterhin auf der Website einloggen.. aber falls es dennoch sicher gehen würde, würde ich natürlich vorziehen auch diese mit thunderbird zu nutzen.


So, nun zu deinen Vorschlägen:
1) Ja interessant... ich könnte also zb alles zu meinem 2FA Anbieter weiterleiten. Dieser hat ebenfalls Filter und sonstige Funktionen. Werde ich drüber nachdenken.
2)
 - Zumindest ein Kalender wurde noch installiert (der deaktiviert werden kann), aber der Rest ist wohl tatsächlch optional über AddOns zu installieren.
 - Masterpasswort werde ich aufjedenfall einrichten, falls ich es weiternutze, danke.

Ich will mich halt für den schlimmsten Fall mit 2FA absichern. Selbst wenn mein System gehackt würde, darf der Angreifer nicht in der Lage sein, auf meine Accounts zuzugreifen (ich befürchte halt, dass er dann auch Zugriff auf die in thunderbird gespeicherten Passwörter und auch App-Passwörter hat). Mit echter 2FA hätte er keine Chance. Und wie sehr dann ein Masterpasswort hilft, was er möglicherweise brutforcen könnte?!

3-6) Ich dachte beim lesenden Zugriff wäre es etwas schwieriger bei Diensten das Passwort zurückzusetzen...aber vermutlich hilft das doch nicht wirklich, weshalb sich das erledigt hat. Dennoch danke für deine Erklärungen


Thunderbird gefällt mir bisher schon ganz gut. Also wenn es trotz einer Infizierung meines PCs sicher wäre, würde ich es weiternutzen. Oder geht das nur mit echter 2FA und ich muss somit die Weiterleitungslösung nehmen?

[Bertrannus]

Wenn ein System bereits kompromittiert ist, ist alles prinzipiell unsicher. Auch mit 2FA. Aber so ein Angriff ist nicht trivial. Daher sollten Systeme immer sicher gehalten werden. Es ist im Endeffekt immer die Abwägung zwischen Sicherheit und Benutzerfreundlichkeit.

Thunderbird nutzt für z.B. GMail bei aktivierter 2FA zur Authentifizierung das OAuth 2.0 Protokoll und zur Kommunikation das GMail Api. Damit weißt du genau, was Thunderbird bzw. ein Angreifer mit diesem App Password / OAuth Token anfangen kann.
Es ist einiges, aber es ist über die API nicht möglich, das Accountpasswort zu setzen (ohne Garantie). Du musst beurteilen, ob das vertretbar ist oder nicht. Ich vermute mal nicht, denn bei anderen Diensten können theoretisch die Passwörter zurückgesetzt werden, die Passwortresetlinks abgerufen und auch wieder gelöscht werden, damit du nichts mitbekommst.

Klar, das Masterpasswort kan gebruteforced werden und dann sind alle deine Zugangsdaten zugänglich. Oder es wird durch einen Keylogger abgegriffen.

Ich habe mich jetzt nochmal mit der GMail Api beschäftigt. Es ist definitv möglich, einen Zugriff einzurichten, mit dem die EMails nur lesend abzufragen sind. Ich habe das auch praktisch mit meinem Konto getestet. Jetzt müsste man das nur noch in Thunderbird einbinden. Das Problem ist, dass Thunderbird den Scope vorgibt. Könnte man den ändern oder einfach die OAuth Credentials direkt eingeben, wäre ein read-only Zugriff ziemlich gut gelöst. Nur müsste Thunderbird auch mit diesem eingeschränkten Zugriff auch umgehen können. Ein Angreifer könnte jedoch trotzdem andere Konten zurücksetzen und übernehmen...

Es gibt auch das Gmail Inbox Feed, also ein RSS Feed für deine EMails, aber das habe ich mir noch nicht genauer angeschaut.


Ich nutze übrigens die GSuite in Verbindung mit einer eigenen Domain. Ich besitze / besaß noch einige andere Konten, aber die werden der Reihe nach gelöscht.
Thunderbird nutze ich nicht, da damit eine Synchronisierung über mehrere Geräte schwierig ist. Außerdem bietet mir die Software keinen Vorteil im Vergleich zur Weboberfläche.