[linux-l] anonym mailen

Steffen Schulz pepe_ml at gmx.net
Di Feb 20 12:28:45 CET 2007 

On 070218 at 21:40, Ivan F. Villanueva B. wrote:
> Ich habe in
>     http://www.artificialidea.com/author/wiki/doku.php?id=anonymous_email
> eine Zusammenfassung geschrieben, wie man anonym mit den üblichen Verdächtigen
> (tor,gmail,mutt,vim,procmail,fetchmail,msmtp) mailen kann.

So generell muss man ja schon aufpassen, dass man seine Anonymitaet mit
solchen Mail-Accounts oder typischen pseudonymen auf Pseudonymitaet
reduziert. Auch gegenueber schwachen angreifern.

Bei starken Angreifern fuehrt ein Login auf fremden Sites dazu, dass
man die Netzzugriffe von tor-exit-node XY auf anon at gmail.com mit
anderen Anfragen von tor-exit-node XY ins Internet abgleichen und auf
Dauer statistisch ermitteln kann, dass anon at gmail.com der selbe ist wie
activist0815 at indymedia.de.

Die anderen Clients die diesen exit-node nutzen werden im Rauschen
untergehen sofern es bei dir irgendein Nutzungsmuster gibt.

Wenn du keine verschluesselte Verbindung(also fuer pop/smtp) nutzen
wuerdest, waere das noch einfacher, dann brauchst du "nur" einen
grossen(bzw "den richtigen") ISP unter die Fittiche nehmen.


Ich sehe auch mit pop3s/ssmtp noch Moeglichkeiten:

- Es sei mal ganz ganz gross auf die Option --sslcertck von fetchmail
  hingewiesen. your-favorite-smtpd hat sowas bestimmt auch.
- Bei https kann ich sehen was der user anklickt indem ich mir die
  laenge der verschluesselten Requests anschaue und mit dem vergleiche,
  was er an Links auf der aktuellen Page sieht. Sowas koennte auch mit
  pop3 klappen und dich immerhin *etwas* von anderen unterscheiden.
- Aehnlich wie bei Webbugs kann man, wenn der Nutzer keine Links klickt
  und Bilder zieht, "Spam" mit charakteristischer Msg-Length erzeugen
  und damit den aktuellen exit-node identifizieren.
- ..


Wenn man jetzt meint, dass ist alles nicht so schlimm: Gegen wen will
man sich denn schuetzen, wenn man einen gmail-account mit TOR erzeugt?
Das tendiert doch schon in Richtung Staatsgewalt, oder? Auch wenn die
fuer Kavaliersdelikte vllt nicht gleich die grosse Keule rausholen..



mfg
pepe
-- 
(Keyword: sslcertck) Causes fetchmail to strictly check the server
certificate against a set of local trusted certificates (see the
sslcertpath option). If the server certificate is not signed  by one of
the trusted ones (directly or indirectly), the SSL connection will
fail. This checking should prevent man-in-the-middle attacks against
the SSL connection.

Mehr Informationen über die Mailingliste linux-l