Sat, 10 Jan 2009

fetchmail: Mails anonym über Tor abholen

All diejenigen, die schon einen einsatzbereiten Tor-Client eingerichtet haben, können diesen natürlich auch dazu nutzen, um anonymisiert Mails abzurufen. Unter Linux mache ich das im Normalfall per fetchmail. Im Tor Wiki gibt es mehrere Anleitungen, wie man verschiedene Programme dazu bringt Tor zu nutzen - unter anderem auch fetchmail.

Ich habe die Einstellungen einmal durchprobiert und musste feststellen, dass mit meiner Konfiguration nur eine dieser Möglichkeiten funktioniert hat: Diejenige mit dem fetchmail-plugin-Fähigkeiten nämlich:

Zunächst sollte man in der Datei /etc/tor/tor-tsocks.conf nachschauen, ob folgende Einträge enthalten sind:

server = 127.0.0.1
server_port = 9050

Bei mir war das in der unter Debian installierten Version bereits der Fall. Das gleiche gilt für den Eintrag in der Privoxy-Konfiguration unter /etc/privoxy/config:

listen-address 127.0.0.1:8118

Weiter geht es mit den direkten Vorbereitungen für fetchmail: Hat man beispielsweise einen Mailaccount bei gmx.de, sollte man zuerst via

tor-resolve pop.gmx.net

herausbekommen, welche IP-Adresse dieser Server hat, nämlich die 213.165.64.22. Dieser Schritt ist aus dem Grund wichtig, da bei Angabe des Server-Domainnamens ansonsten vor der Mailabholung DNS-Anfragen zur Namensauflösung ungeTORt durchgeführt würden.

Da die Mails ausserdem über eine gesicherte ssl-Verbindung abgeholt werden sollten, besorgt man sich noch das entsprechende Zertifikat via

openssl s_client -connect pop.gmx.net:995 -showcerts

Den im folgenden angezeigten Bereich zwischen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- kopiert man in eine Textdatei, hier im Beispiel cert.pem. Die beiden Zeilen mit den Spiegelstrichen müussen dabei selbstverständlich mit eingefügt werden.

Anschliessend lassen wir uns den Fingerprint des Zertifikats anzeigen:

openssl x509 -in cert.pem -noout -md5 -fingerprint

In diesem Fall wird folgendes ausgeworfen: MD5 Fingerprint=BA:03:AC:50:A9:A0:C7:AF:1E:79:3A:B7:C0:E7:19:5E
Diese Informationen müssen nun in der Datei .fetchmailrc im lokalen Benutzerverzeichnis zusammengetragen werden. Diese sollte anschliessend in etwa so aussehen:

set daemon 300       #Mailabruf alle 300Sekunden
set postmaster "$USER"       #User, der fetchmail startet
set no bouncemail
set logfile /home/$USER/.fetchmaillog       #zur Kontrolle aktivieren wir erstmal eine Logdatei

#Server

poll 213.165.64.22 with       #IP des POP-Servers
       plugin "socat STDIO SOCKS4A:127.0.0.1:%h:%p,socksport=9050"    #tsocks benutzen, über Tor verbinden
       proto pop3
       user 1234567    #Benutzername bei gmx
       pass 89101112    #Passwort bei gmx
       is $USER    #lokaler Benutzername
       ssl     #Verbindung verschlüsseln
       sslcertck    #Zertifikat überprüfen
       sslcommonname pop.gmx.net    #Der im Zertifikat angezeigte Servername
       sslfingerprint "BA:03:AC:50:A9:A0:C7:AF:1E:79:3A:B7:C0:E7:19:5E"    #der Fingerprint des Zertifikats
#     keep    #Falls die Nachricht auch auf dem Server verbleiben soll, die Raute am Beginn der Zeile entfernen

mda '/usr/bin/procmail -f fetchmail'    # Mails an den Mailfilter procmail leiten

Das war's auch schon. Nun kann im Terminal fetchmail eingegeben und gestartet werden. Ab sofort werden alle fünf Minuten die Mails dieses Accounts über das Tor-Netzwerk abgerufen und die eigene Rechner-IP vor gmx verborgen.

Möchte man nun noch schauen, ob wirklich keine DNS-Anfragen an Tor vorbeigeleitet werden, kann in die Datei /etc/tor/torrc noch

SafeSocks 1
TestSocks 1

nachgetragen werden. Danach erscheinen nach einem /etc/init.d/tor --force-reload in der Tor-Logdatei Meldungen, ob diese Anfragen erfolgreich über den Anonymisierungsserver gestellt worden sind.

UPDATE (19.01.09):
Im IRC-Channel des Torprojekts wurde der Hinweis gegeben, dass es gerade im Zuge der Vorratsdatenspeicherung - und bei Mailaccounts welche mit realer Identität angelegt wurden - sogar gefährlich geworden sein könnte, Mails über Tor abzurufen: Es könnten falsche Rückschlüsse gezogen werden, falls die IP-Adresse für den Mailabruf in anderen Zusammenhängen schon einmal aufgetaucht ist.

Über Tor sollten also am besten ausschließlich Postfächer abgerufen werden, die nicht mit einer realen Identität in Zusammenhang gebracht werden können.



posted at: 19:03 | path: /2009 | permanent link to this entry | 3 comments | Tags: , ,
< Privatix: Ein Debian Live-System | MAIN | Dingledine erklärt Tor... >

Posted by lrs at Wed Jan 14 23:23:35 2009

Mit Thunderbird funktioniert bei mir das Mail-Abholen per Tor auch wunderbar. Und die Einrichtung ist auch sehr einfach.

Posted by cpunk at Wed Jan 14 23:38:06 2009

fein :)

Aufpassen muss man im Grunde nur, dass das Ganze auch über eine verschlüsselte Verbindung läuft: Ansonsten können böse Exit-Node-BetreiberInnen mitlesen.

btw: ich habe meiner obigen Konfiguration noch:
sslcertpath /etc/ssl/certs/
beigefügt.

All das per wireshark geprüft: Es wandern alle Daten durch Tor und DNS-Anfragen werden (natürlich) keine gestellt.

Posted by lrs at Thu Jan 15 16:12:40 2009

ja... und auch das ist nur einen mausklick entfernt, na gut zwei. wegen der etwas eigenwilligen server-verwaltung von thunderbird muss daran denken auch auf den postausgangsserver auf ssl o.ä. zu stellen.

Name:


E-mail (optional, wird nicht veröffentlicht):


URL (optional):


Comment:


Kommentare werden moderiert, erscheinen also erst mit zeitlicher Verzögerung auf dieser Seite.