Der beliebte E-Mail-Client Thunderbird hat ein schweres Sicherheitsproblem mit S/MIME-Zertifikaten signierten E-Mails. Ein Absender könnte eine geklaute Identität vortäuschen.
Bei der E-Mail handelt es sich um ein spezifiziertes Urgestein des Internets. Falsche Absender anzugeben ist mit einem eigenen E-Mail-Server kein Problem. Die üblichen E-Mail-Anbieter überprüfen seit geraumer Zeit ob dies jemand beim Verschicken einer Mail versucht und verweigert gegebenenfalls den Versandt der Mail. So ist es einfacher geworden Spam über E-Mail-Dienste Einhalt zu gewähren. Dabei werden die Header-Felder „From:“ und „Sender:“ ausgewertet. Die meisten freien Mailserver überprüfen nicht, ob der technische Absender mit dem ausgegebenen übereinstimmt. Es handelt sich dabei keineswegs um eine Sicherheitslücke, sondern eine Funktionalität, die es Sekretären ermöglicht E-Mails im Namen des Chefs zu versenden.
Ähnlich verhält es sich bei der Definition zum korrekten Umgang mit S/MIME-Zertifikaten, so heißt es in der RFC5750 unter Punkt 3: „Receiving agents MUST check that the address in the From or Sender header of a mail message matches an Internet mail address in the signer’s certificate, if mail addresses are present in the certificate.“
Thunderbird verhält sich bei dieser eingeräumten Freiheit allerdings sehr zum Nachteil des Nutzers. Der Sender wird mittels des „From:“-Headers überprüft und damit ein Icon angezeigt, dass die Validität dieser E-Mail-Adresse angibt, ohne dass diese mit der im Zertifikat vermerkten verglichen wird. So kann ein Angreifer eine beliebige Absender-Adresse setzen, ein beliebiges, auch von der E-Mail-Adresse abweichendes, Zertifikat nutzen, um eine gültige Zertifizierungsanzeige zu erhalten.
Andere E-Mail-Programme wie Apple Mail, Outlook, Evolution und Windows Live Mail zeigen die aus dem Zertifikat gewonnen Informationen korrekt an. Manche weisen sogar noch auf den Konflikt der Signatur- und der Absender-Aderesse hin.
Es ist möglich, sich zusätzlich das Sender-Feld anzeigen zu lassen. Dazu muss folgende Option gesetzt werden: mailnews.headers.showSender
Allerdings löst dies nicht das Problem, hier muss die Community nun aktiv werden und das Verhalten von Thunderbird entsprechend anpassen.