Wir haben einige Hinweise für die sichere und unbeobachtete Nutzung von E-Mail mit Thunderbird zusammengestellt. Um die Werte nicht alle per Hand anpassen zu müssen, kann man die Datei
user.js herunter laden und im
Profilverzeichnis von Thunderbird speichern. (Die Werte aus der Datei
"user.js" werden beim Start von Thunderbird eingelesen und überschreiben die gespeicherten Einstellungen.)
Kurze Erläuterung zu einigen Einstellungen:
-
Mit der Verwendung von HTML in E-Mails steht dem Absender ein ganzes Bestiarium von Möglichkeiten zur Beobachtung des Nutzers zur Verfügung: HTML-Wanzen, Java Applets, JavaScript, Cookies usw. Die Firma ReadNotify beispielsweise nutzt diese Möglichkeiten, um E-Mails für die Beobachtung des Empfängers zu präparieren (User-Tracking). Der E-Mail Privacy Test demonstriert viele Trackingmöglichkeiten.
Standardmäßig blockiert Thunderbird alle Trackingelemente und auch Spam Mails in der HTML Ansicht. Trotzdem ist es empfehlenswert, E-Mails als Plain Text zu lesen. Das erleichtert auch die Erkennung von Phishing E-Mails.
Die Option findet man im Menüpunkt "Ansicht -> Nachrichteninhalt".
- Die Option "Anhänge eingebunden anzeigen" sollte man deaktivieren, um gefährliche Anhänge nicht schon beim Lesen einer E-Mail automatisch für die Anzeige zu öffnen und die Infektion mit Viren zu vermeiden.
In der Konfiguration kann man dafür folgenden Parameter setzen:
mail.inline_attachments = false
- Es ist nicht immer möglich, E-Mails als Plain Text zu lesen. Viele Newsletter sind nur als HTML-Mail lesbar, eBay verwendet ausschließlich HTML-Mails für Benachrichtigungen usw. In der Regel enthalten diese HTML-only Mails mehrere Trackingelemente.
- Um diese Mail trotzdem lesen zu können (wenn auch nicht in voller Schönheit), kann man die Darstellung "Vereinfachtes HTML" nutzen.
Außerdem können folgende Features in den "Erweiterten Einstellungen" deaktiviert werden, die nur für die Darstellung von "Original HTML" relevant sind oder für Komponenten, die den HTML-Viewer nutzen.
Parameter | Wert |
javascript.enabled | false |
beacon.enabled | false |
layout.css.visited_links_enabled | false |
media.hardware-video-decoding.enabled | false |
media.video_stats.enabled | false |
gfx.downloadable_fonts.enabled | false |
network.cookie.cookieBehavior | 2 |
network.IDN_show_punycode | true |
network.http.sendRefererHeader | 0 |
network.http.referer.XOriginPolicy | 2 |
network.http.use-cache | false |
security.family_safety.mode | 0 |
Da Javascript generell deaktiviert wird, muss man im Gegensatz zu Firefox die Geolocation, DOMStorage, IndexedDB, AudioContext-API, Timing-APIs, Gamepad-API ... usw. nicht einzeln abschalten.
- Im Kopf einer E-Mail kann man zusätzliche Informationen anzeigen lassen:
- Eine E-Mail kann den Absender im FROM Header und/oder im Header SENDER enthalten. Wenn beide angegeben sind, zeigt Thunderbird nur den FROM Header an. Ein Angreifer könnte das nutzen, um eine E-Mail mit gefakten S/MIME Zertifikaten als signiert erscheinen zu lassen.
Um diesen Angriff zu erkennen, kann man sich immer beide Absenderinformationen anzeigen lassen und man sollte stutzig werden, wenn sie unterschiedlich sind:
mailnews.headers.showSender = true
- Die Anzeige des E-Mail Programms, das der Absender verwendet, ist immer mal wieder interessant. Diese Anzeige kann man mit folgender Option in den "Erweiterten Einstellungen" aktivieren:
mailnews.headers.showUserAgent = true
(Wie und warum man die eigene User-Agent Kennung bei Thunderbird versteckt, ist hier beschrieben.)
-
Die Nutzung der Safebrowsing Funktion deaktiviert man in Thunderbird ab Version 52 genauso wie in Firefox. Gegen Phishing Angriffe schützen keine technische Maßnahmen vollständig sondern in erster Linie das eigene Verhalten. Gegen Malware schützen regelmäßige Updates des Systems besser als Virenscanner und schnell veraltende URL-Listen.
browser.safebrowsing.phishing.enabled | false |
browser.safebrowsing.malware.enabled | false |
browser.safebrowsing.blockedURIs.enabled | false |
browser.safebrowsing.downloads.enabled | false |
browser.safebrowsing.downloads.remote.enabled | false |
browser.safebrowsing.updateURL | (leerer String) |
- Alle Bilder in HTML-Mails, die von einem externen Server geladen werden, können direkt mit der E-Mail Adresse des Empfängers verknüpft sein. Anhand der Logdaten kann der Absender erkennen, wann und wo die E-Mail gelesen wurde. Fast alle Newsletter verwenden ebenfalls HTML Wanzen. In den Newslettern von Paysafecard findet man beispielsweise ganz unten eine kleine 1x1-Pixel Wanze, die offenbar mit einer individuellen, nutzerspezifischen URL von einem Trackingservice geladen wird:
<IMG src="http://links.mkt3907.com/open/log/43.../1/0">
Easyjet.com (ein Billigflieger) kann offenbar die Aufrufe seiner Newsletter selbst zählen und auswerten. In den E-Mails mit Informationen zu gebuchten Flügen findet man folgende kleine Wanze am Ende der Mail:
<IMG src="http://mail.easyjet.com/log/bEAS001/mH9..."
height=0 width=0 border=0>
Standardmäßig blockiert Thunderbird das Laden externer Bilder Um das Tracking mit Bildern und HTML-Wanzen zu verhindern, kann man zusätzlich in den "Erweiterten Einstellungen" das Laden externer Bilder komplett blockieren:
permissions.default.image = 2
- Die Links in HTML-Mails führen oft nicht direkt zum Ziel sondern werden ebenfalls über einen Trackingservice geleitet, der jeden Aufruf des Link individuell für jede Empfängeradresse protokollieren kann. Als Bespiel soll ein Link aus dem Paysafecard Newsletter dienen, der zu einem Gewinnspiel bei Paysafecard führen soll:
<a href="http://links.mkt3907.com/ctt?kn=28&ms=3N..."> Gewinne Preise im Wert von 10.000 Euro</a>
Diesem Tracking kann man nur entgehen, wenn man diese Links in HTML-Mails nicht aufzuruft! Der Trackingservice hat die Möglichkeit, Logdaten von verschiedenen E-Mails zu verknüpfen und evtl. auch das Surfverhalten einzubeziehen. Wichtige Informationen findet man auch auf der Webseite des Absenders.
- Im SMTP-Dialog mit dem Mailserver beim Versenden einer E-Mail sendet Thunderbird im EHLO Kommando standardmäßig die lokale IP-Adresse aus dem internen Netzwerk:
SSL/TLS Handshake zwischen Client und Server
Client: EHLO 192.168.23.44
Server: ....
Viele Mailserver vermerken diese lokale IP-Adresse aus dem EHLO Kommando im ersten Received Header der E-Mail zusammen mit der externen IP-Adresse, die der Mailserver sieht, und teilen sie damit auch Dritten mit.
Received: from cefige3264.dynamic.kabel-deutschland.de ([188.192.92.109] helo=[192.168.23.44]) by smtp.server.tld
Um zu vermeiden, dass diese Information veröffentlicht wird, kann in den "Erweiterten Einstellungen" folgenden Wert als String Variable neu anlegen und einen Fake definieren:
mail.smtpserver.default.hello_argument = [127.0.0.1]
Anmerkung: Privacy-freundliche E-Mail Provider entfernen den ersten Received Header vollständig, da er nicht nur die lokale IP-Adresse aus dem internen Netzwerk enthält, sondern auch die externe IP-Adresse, die Hinweise auf den Aufenthaltsort des Absenders liefert und von Datensammlern mit dem Surfprofil verknüpft werden kann.
- In dem Adressbuch "Gesammelte Adressen" werden die E-Mail Adressen der Empfänger aus den versendeten E-Mails gesammelt. Diese E-Mail Adressen stehen dann für die Autocomplete Funktion zur Verfügung, wenn man beim Schreiben einer E-Mail die Empfänger Adressen eingibt.
Wenn man die E-Mail Adressen der Empfänger nicht automatisiert speichern möchte, dann kann man das kann man das Feature in den Einstellungen in der Sektion "Verfassen" auf dem Reiter "Adressieren" abschalten.
In den "Erweiterten Einstellungen" kann man folgenden Wert setzen:
mail.collect_email_address_outgoing = false
Dann muss man sich aber selbst um die Pflege des Adressbuches kümmern.
- Die extension blocklist kann Mozilla nutzen, um einzelne Add-ons in Thunderbird zu deaktivieren. Es ist praktisch ein kill switch für Thunderbird Add-ons. Beim Aktualisieren der Blockliste werden außerdem detaillierte Informationen an Mozilla übertragen.
Ich mag es nicht, wenn ein Fremder etwas auf meinem Rechner deaktiviert oder deaktivieren könnte. In den "Erweiterten Einstellungen" kann man das Feature abschalten:
extensions.blocklist.enabled = false
Thunderbird kontaktiert täglich den AMO-Server von Mozilla und sendet eine genaue Liste der installierten Add-ons. Als Antwort sendet der Server Statusupdates für die installierten Add-ons. Diese Funktion ist unabhägig vom Update Check für Add-ons, es ist nur eine zusätzliche Datensammlung von Mozilla. In den "Erweiterten Einstellungen" kann man dieses Feature abschalten:
extensions.getAddons.cache.enabled = false
Alle Übertragungen von Telemetriedaten, Healthreport usw. an Mozilla unterbindet man ab Thunderbird 45 mit folgendem globalen Kill-Switch:
datareporting.policy.dataSubmissionEnabled = false
- Gespeicherte Passwörter für den Zugriff auf SMTP- oder POP3-Server sollten mit einem Masterpasswort vor Unbefugten geschützt werden.