- security
- Claws Mail leakt Klartext von verschlüsselten E-Mails an den IMAP-Server
Wir haben herausgefunden, dass Claws Mail, der E-Mail-Client in Tails, Klartextkopien aller E-Mails auf dem entfernten IMAP-Server speichert, einschließlich derer, die verschlüsselt werden sollen.
- Beim Versenden einer E-Mail kopiert Claws Mail die E-Mail im Klartext in die Versandwarteschlange des IMAP-Servers, bevor die E-Mail verschlüsselt wird. Claws Mail löscht diese Klartextkopie nach dem Versenden der E-Mail.
- Claws Mail speichert Entwürfe im Klartext auf dem Server. Eine E-Mail
kann entweder als Entwurf gespeichert werden:
- Manuell, indem Sie auf die Schaltfläche Entwurf klicken, während Sie eine E-Mail verfassen.
- Automatisch, wenn Sie die Option Nachricht automatisch im Entwurfsordner speichern in den Schreiboptionen ausgewählt haben. Diese Option ist standardmäßig in Tails deaktiviert.
Alle Nutzer von Claws Mail, die IMAP und das OpenPGP-Plugin verwenden, sind betroffen.
Benutzer von Claws Mail, die POP verwenden, sind nicht betroffen.
Leider konnten wir das Problem noch nicht automatisch und für alle beheben. Dies würde entweder eine Modifikation von Claws Mail oder eine Migration zu einer anderen Anwendung erfordern. Siehe den Abschnitt zu Workarounds, um dieses Problem in deiner Konfiguration zu lösen, und bitte warne auch andere in deinem Umfeld.
Abhilfemaßnahmen
Überprüfen Sie den Inhalt Ihres Entwürfe-Ordners
First of all, verify the content of the Drafts folder on the server, either through Claws Mail or through the web interface of your email provider. Delete any plaintext email that might have been stored against your will in this folder until now.
Wenden Sie dann eine der anderen beiden Lösungen an, um zukünftige Lecks zu verhindern.
Verwenden Sie POP anstelle von IMAP
Claws Mail kann sich mit dem E-Mail-Server entweder über das IMAP- oder das POP-Protokoll verbinden.
- Mit IMAP synchronisiert Claws Mail ständig mit dem Server und zeigt die E-Mails und Ordner an, die derzeit auf dem Server gespeichert sind. IMAP ist besser geeignet, wenn Sie von verschiedenen Betriebssystemen auf Ihre E-Mails zugreifen.
- Mit POP lädt Claws Mail die E-Mails herunter, die sich im Posteingang auf dem Server befinden, und entfernt sie möglicherweise vom Server. POP eignet sich besser, wenn Sie E-Mails nur von Tails aus abrufen und sie im beständigen Datenspeicher speichern.
To know more, see also this Yahoo! Help page on comparing the differences between POP and IMAP.
POP is not affected at all by this security problem. When using POP, only encrypted emails are sent to the server. So consider switching to POP if you have an email account dedicated to your activities on Tails. To do so:
Choose File ▸ Add mailbox ▸ MH… to create a local mailbox where to download your emails.
To store the mailbox in the persistent volume, specify
.claws-mail/Mail
as location. Make sure to type the.
beforeclaws-mail/Mail
.Choose Configuration ▸ Edit accounts…, select your IMAP account in the list of accounts, and click Delete to delete it. Doing so does not delete any email stored on the server.
Click New and configure this new account as specified by your email provider.
- In the Basic tab, make sure that the Protocol option is set to POP3.
In the Receive tab, click on the Browse button of the Default Inbox option and select the Inbox folder of the mailbox that you created in step 2.
If you want to keep a copy of the received emails on the server, verify the preferences in the Receive tab. We recommend you to disable the Remove messages on server when received option until you make sure that the emails are stored in the persistent volume.
Close the preferences dialog and the list of accounts to go back to the main window of Claws Mail.
Klicken Sie auf die Schaltfläche E-Mails abrufen, um alle E-Mails aus dem Posteingang auf dem Server herunterzuladen. E-Mails in anderen Ordnern werden nicht heruntergeladen.
Verwenden Sie lokale Entwürfe und Warteschlangen-Ordner
If you want to continue using IMAP, you should configure your IMAP account to use Drafts and Queue folders stored in Tails instead of on the server. To do so:
Wählen Sie Postfach hinzufügen ▸ MH…, um ein lokales Postfach zu erstellen, in dem Sie Ihre Entwürfe und wartenden E-Mails speichern können.
To store the mailbox in the persistent volume, specify
.claws-mail/Mail
as location. Make sure to type the.
beforeclaws-mail/Mail
.Wählen Sie Konfiguration ▸ Konten bearbeiten…, wählen Sie Ihr IMAP-Konto aus der Kontenliste aus und klicken Sie auf Bearbeiten, um die Einstellungen zu ändern.
Wählen Sie Erweitert im linken Bereich aus.
Wählen Sie die Option Warteschlangen-Nachrichten in aus, klicken Sie auf Durchsuchen und wählen Sie den Warteschlangen-Ordner des MH-Postfachs aus.
Wählen Sie die Option Entwurfsmails speichern in, klicken Sie auf Durchsuchen und wählen Sie den Entwürfe-Ordner des MH-Postfachs aus.
Langfristige Lösung
Was die möglichen langfristigen Lösungen für dieses Problem betrifft, ziehen wir in Betracht:
Getting the development team of Claws Mail to fix the problem upstream. We contacted them about this problem already. Please help them provide a technical solution if you can.
Replacing Claws Mail with Icedove (the name of Mozilla Thunderbird in Debian). We have been willing to do so for years and this problem motivates us to move faster.
Technical details
Leak through the sending queue
Beim Versenden einer E-Mail von einem IMAP-Konto führt Claws Mail Folgendes aus:
Es verbindet sich mit dem IMAP-Server und speichert eine Klartextkopie der E-Mail im Warteschlangen-Ordner auf dem Server.
Es verschlüsselt die E-Mail lokal.
It sends the encrypted email through the SMTP server.
It connects to the IMAP server and stores an encrypted copy of the email in the Sent folder on the server.
It connects to the IMAP server and deletes the plaintext email saved in step 1 from the Queue folder.