zur StartseiteWishlist-Startseite

kontaktindividuelle Adressen (cinda) für E-Mail, Chat und Web

Version 1.0, 24.01.2014

Die Privatsphäre der E-Mail-Nutzer wird nicht nur durch den Inhalt von E-Mails berührt – ein Problem, das sich recht simpel durch Verschlüsselung lösen lässt – sondern auch durch den Umstand, wer mit wem kommuniziert. Das ist nicht allein ein Problem von Geheimdiensten und Vorratsdatenspeicherung, sondern oftmals schon dann relevant, wenn Dritte Zugang zu einem der beteiligten Rechner bekommen. Wenn etwa die Lebensgefährtin bei einem flüchtigen Blick auf die Mailübersicht eine Nachricht von / an kontakt@busentraeume-meinestadt, die Eltern eine von / an aktion@antifa oder der Chef / Kollegen eine von / an jobs@wettbewerber entdeckt, kann es schnell ungemütlich werden – Verschlüsselung hin oder her. Außerdem lagern heute die meisten Mails in IMAP-Mailboxen. Kontakte sind also in der Regel (wenn nicht gelöscht wird) jahrelang nachvollziehbar.

Das Problem kann auch umgekehrt sein: Man möchte nicht (nur) den Empfänger verschleiern, sondern den eigenen Absender, aber mit (unverfänglichem) Absender für den Empfänger erreichbar sein. In dem Fall möchte man auch die Sicherheit haben, dass man nicht im Laufe der Kommunikation aus Unachtsamkeit seine echte Adresse (die vielleicht den eigenen Namen enthält oder aus anderen Gründen leicht zuzuordnen ist) offenbart.

Diese Probleme sind nicht auf E-Mail beschränkt, sondern treten zum Teil auch bei Chatsystemen und sogar Websites auf.

Aus der Verwendung nur einer / weniger Adressen resultieren noch weitere Probleme:

Lösung: eine Adresse pro Kontakt

Dass man nur eine oder wenige Adressen hat und allen Kontakten dieselbe Adresse nennt, ist keine technische Limitation, sondern eine Mischung aus anfänglichem Mangel an mehr und Gewöhnung. An Adressen herrscht kein Mangel, und sie in großer Zahl (auf Mailservern) zu verwalten, wäre auch kein Problem. Woran es mangelt sind gute Adressen, aber die sind in vielen Fällen gar nicht gefordert.

Die Mailprovider sollten die Möglichkeit anbieten, in großer Zahl (wenigstens 100 pro Mailbox) nummernartige Alias-Adressen zu definieren. Und damit die gut handhabbar sind (per Mailclient-Addon), sollte es dafür einen standardisierten Verwaltungszugang geben. Zu der Hauptadresse hauke.laging@example.net gäbe es dann zusätzliche Adressen dieser Art:

  1. 0x1df78ba3-47@cinda.example.net

  2. 0x511468d9-a1@cinda.example.net

  3. 0xff8b49a2-97@cinda.example.net

  4. 0x1a18fa74-1b@cinda.example.net

  5. 0xba3016e1-d7@cinda.example.net

Die eigentlichen Adressen würden den Kunden nach dem Zufallsprinzip zugeteilt. So kann niemand wissen, wem welche Adressen gehören (und sich auch keine weiteren ausrechnen). Und wenn man schon einen Standard für das Adressformat vorgibt, dann kann man (wie im obigen Beispiel) auch gleich eine Prüfsumme vorsehen (hier: die ersten beiden Stellen von SHA-1), damit die Mailclients Tipp- oder Verständnisfehler erkennen können. Für "Härtefälle" (wenn es nicht möglich sein darf, den Adressraum einfach durchzuprobieren) nähme man einfach ein Vielfaches der Länge: 0x0146719cd81bc980-fd@cinda.example.net. Es hat natürlich nicht die Qualität einer digitalen Signatur, aber bei solchen Adressen würde das reine Anschreiben schon eine authentifizierung darstellen: Die Tatsache, dass er Absender diese Adresse kennt, gibt ein hohes Maß an Sicherheit, dass es sich um den richtigen Absender handelt.

Da man das Weiterleitungsziel der Aliase ändern kann und die Aliase natürlich auch löschen kann, wären die meisten der oben genannten Probleme gelöst.

Zusatzfunktionen

Diesen einfachsten Fall kann man durch einige weitere Funktionen erheblich verbessern.

ausgehender Alias

Anstatt eine Weiterleitung auf eine eigene Mailbox zu richten, kann man das natürlich auch mit einer fremden Adresse machen. Das wäre vor allem deshalb hilfreich, weil viele heikle Empfänger diese Technik erst mal nicht anbieten werden. Man kann also selber dafür sorgen, dass in den eigenen gesendeten Nachrichten nicht kontakt@busentraeume-meinestadt auftaucht, sondern 0x511468d9-a1@cinda.example.net. Ob diese Weiterleitung vom Sender oder Empfänger eingerichtet wurde, kann man nicht sehen. Allerdings wäre das nur dann wirklich sinnvoll, wenn das weiterleitende System eine Adressanpassung des Empfängers vornähme (im Mailheader, nicht nur im SMTP-Envelope). Der Empfänger (oder sein Spamfilter) könnte irritiert darauf reagieren, dass die Mail nicht an seine Adresse geschickt wurde (auch wenn man das von Mailinglisten her kennt).

ausgehender Alias mit Absenderanpassung

Wenn man nicht möchte, dass der Empfänger (zufällig) die eigene Adresse erfährt (weil man dann kontakt@busentraeume-meinestadt im Posteingang hat, was auch nicht besser ist als in den gesendeten Nachrichten), nutzt man eine Weiterleitung, die sowohl die Absender- als auch die Empfängeradresse (im Mailheader; den Absender auch im SMTP-Envelope) umschreibt. Dafür braucht man also ein Paar von cinda-Adressen: eine, die man als Empfänger verwendet, und eine andere, mit der der eigene Absender kaschiert wird (die Doppelverwendung einer Adresse brächte Probleme mit sich).

Man kann zwar auch im Mailclient unterschiedliche Absenderadressen verwenden, aber kaum ein Mailprogramm kann das für einen bestimmten Empfänger erzwingen. Außerdem hat man nur in der Mailservervariante die Gewähr, dass dabei nichts schiefgeht.

Diese Funktion sollte außerdem alle nicht unbedingt benötigten Mailheaderzeilen (sowie eine clientgenerierte Message-ID) wegwerfen, um von diesen ermöglichte Rückschlüsse zu unterbinden. Digital signierte Mails sollten nicht weitergeleitet werden (es sei denn, der verwendete Schlüssel wurde dafür freigeschaltet). Da bei verschlüsselten Mails nicht überprüft werden kann, ob sie dummerweise signiert sind, sollte man konfigurieren können, wie in dem Fall verfahren wird.

eingehender Alias mit Absenderanpassung

Wenn man verschleiern will, dass man mit einer bestimmten Adresse in Kontakt steht, sollte man bei dem zugehörigen eingehenden Alias Absender-NAT betreiben. Der Absender kontakt@busentraeume-meinestadt schreibt an 0x1df78ba3-47@cinda.example.net, in der Mailbox taucht aber statt dessen 0x1a18fa74-1b@cinda.example.net auf, vielleicht mit einem Hinweis als Absendername.

Absenderfilter

Da man sowieso eine 1:1-Zuordnung der Aliase zu Absendern hat, kann man auf Wunsch Mails, die als Absender (im Mailheader) nicht die vorgegebene Adresse haben, abweisen.

Dieser Text ist noch nicht fertig.

Versionen dieses Dokuments

[Hier ist die Seite zu Ende.]