Ich wärme mal hier das Thema der Sicherheit von "Push-Mails" erneut auf - ich kann in dieser Hinsicht keine nennenswerten Verbesserungen in der 07.19 finden.
Erstens wäre es nicht verkehrt, wenn man optional einen öffentlichen Schlüssel für die Verschlüsselung des Nachrichteninhalts in der FRITZ!Box hinterlegen könnte - da reicht mir dann auch ein einzelner, selbst wenn unterschiedliche Adressen für die verschiedenen Mail-Typen verwendet werden sollten.
Meinetwegen könnte man das auch einfach per S/MIME mittels des ohnehin vorhandenen RSA-Keys der Box machen, den öffentlichen Teil zum Entschlüsseln solcher Mails kann man sich ja jetzt schon (als Bestandteil des Zertifikats) von der Box laden (EDIT: das wäre dann aber so eine Art "reverse encryption", weil in den Standards natürlich immer FÜR den Empfänger (und dessen privaten Key) verschlüsselt wird).
Dabei wäre es mir aber auch egal, ob man sich für S/MIME oder für OpenPGP entscheidet (oder gar beides anbietet), weil JEDE (halbwegs sicher implementierte) Verschlüsselung besser ist als gar keine. Ich möchte jedenfalls nicht wissen, in wievielen IMAP-Postfächern bei irgendwelchen FreeMail-Providern noch solche Nachrichten herumfliegen (ich kenne selbst genug Beispiele dafür) und auch wenn z.B. Credentials in angehangenen Sicherungsdateien noch einmal verschlüsselt sind, enthalten Anrufliste oder auch die lesbaren Daten in so einer Sicherungsdatei genug weitere Informationen, die einem Angreifer nicht unbedingt in die Hände fallen sollten - selbst wenn die "Themen", zu denen die Daten verschickt werden sollen, grob ausgewählt werden können.
Und daraus leitet sich auch mein zweiter "Wunsch" ab, der beim Erfüllen des ersten vielleicht auch nicht unbedingt obsolet, aber doch weniger wichtig würde ... und das wäre eine Option, den Inhalt der Nachrichten von allerlei "kritischen Informationen" (gerne auch nur optional, für den sicherheitsbewußten Kunden) zu befreien. Der komplette Verzicht auf den Versand ist da nicht unbedingt die gewünschte Alternative, auch wenn das natürlich ebenfalls das "Verbreiten" dieser Infos unterdrücken würde.
So bequem es auch für den einen oder anderen sein mag, wenn in der "Info-Mail" (oder auch in anderen Vorlagen) gleich ein HTTP(S)-Link auf die MyFRITZ!-Adresse hinterlegt ist, so unsicher ist das am Ende auch (das gilt auch für die Angaben dazu in "reinem Text").
Noch einfacher kann man es einem erfolgreichen Angreifer auf das Postfach (das geht von potentiellen XSS-Lücken im Web-Interface so eines Freemailers bis zum "richtigen" Angriff auf das verwendete Backend bei der Speicherung) gar nicht machen, den passenden Internet-Anschluß zu finden.
Bei den Nachrichten aus dem Eventlog hinsichtlich der IP-Adressen kann man wenigstens noch hoffen, daß diese tatsächlich dynamisch sind und sich irgendwann auch mal ändern. Aber anstelle von ~65.000 Portnummern, die ein Angreifer ansonsten (auch bei Kenntnis der IP-Adresse) noch abscannen müßte, um den zufällig gewählten Port für den externen Zugriff auf das GUI zu finden, bietet so eine Mail dann die genaue Kenntnis des verwendeten Ports (zumindest zum Zeitpunkt des Mailversands, wobei sich das i.d.R. ja dann nicht ändert, weil auch Apps, etc. davon betroffen wären).
Auch vom Vorteil, daß man mit Kenntnis des MyFRITZ!-Namens die Box dann immer wieder in den Weiten des Internets finden kann, profitiert bei so einem Link eben nicht nur der Besitzer der Box, sondern auch ein Angreifer ... das ist ähnlich zu den "Verzeichnissen" von LE-Zertifikaten, die an FRITZ!Boxen ausgegeben wurden (solange diese die MyFRITZ!-Domain von AVM benutzen).
Zwar könnte eine angebotene Verschlüsselung des Nachrichteninhalts das "Ausmisten" von kritischen Infos überflüssig machen, aber die Hürde für den Einsatz einer Verschlüsselung liegt bei den meisten wohl immer noch deutlich höher, als eine (obendrein möglichst noch voreingestellte) "Filterung" von kritischen Infos. Wenn es wirklich Kunden geben sollte, die auf die "ausführlichen Infos" in den Nachrichten gesteigerten Wert legen, könnte man ja ebenso hingehen und die aktivierte Verschlüsselung zur Voraussetzung für die Aufnahme solcher kritischen Infos in die E-Mails erklären.
Im Moment ist da jedenfalls AVM (nach meinem Dafürhalten) etwas über das Ziel hinausgeschossen, was den Umfang der Informationen in diesen Nachrichten angeht ... so lobenswert eine ausführliche Protokollierung auch ist (das möchte ich noch einmal ausdrücklich festhalten, daß praktisch kein Consumer-Router den Besitzer so umfassend über solche Ereignisse informiert, wie eine FRITZ!Box). Nur ermüdet es eben den (durchschnittlichen) Benutzer auch etwas (und stumpft ihn damit dann wieder für wirklich kritische Benachrichtigungen ab), wenn direkt nach dem Konfigurieren des Push-Mail-Absenders schon fast alles aktiviert ist, was man sich so denken kann und was ohne zusätzliche Infos (wie das Kennwort für die gesicherten Einstellungen) auskommt.
Ich verstehe zwar auch den Gedanken dahinter (ansonsten würden viele Benutzer sich z.B. die "Änderungsnotizen" vermutlich gar nicht erst zuschicken lassen und man hätte das "umsonst" eingebaut), aber ebenso dürfte es im "real life" häufiger so sein, daß die Leute gar nicht wirklich wissen, wo und wie fein sie diese Nachrichteninhalte selektieren können (und wir reden hier schon von den "runaways", die es bis zur Konfiguration des Absenders geschafft haben) und daß sie dann eher damit leben, wenn diese Mails immer kommen.
Das ist zwar für die "Forensik", wenn mal etwas passiert ist, dann durchaus von Vorteil (wenn die Nachrichten auch aufbewahrt und nicht gelöscht werden), führt aber auch zu der "Erfahrung" beim Besitzer, daß es vollkommen normal ist, wenn eine FRITZ!Box mit solchen E-Mails "nervt" und damit gehen die wirklich wichtigen Nachrichten (bei echten Security-Problemen) ganz schnell wieder im Rauschen unter. Das ist wie bei Äsop in "Der Hirtenjunge und der Wolf" ... schreit man zu oft, ignorieren es die Leute irgendwann.
Hier wäre meines Erachtens eine kleinere Dosis von Informationen (als Standardeinstellung, ansonsten kann es für meinen Geschmack gar nicht genau genug sein, solange die Infos nicht Gefahr laufen, unberechtigten Dritten in die Hände zu fallen) am Ende auch die sicherere Wahl ... eben weil dann manche Nachrichten ihren "Signalcharakter" behalten.
Das mit dem Verschlüsseln der Mail-Inhalte sollte gar nicht sooo aufwändig sein, wie das auf den ersten Blick aussieht (solange man es alleine betrachtet) ... wenn man einfach bei aktivierter Verschlüsselung die Nachricht an einen SMTP-Proxy auf der FRITZ!Box übergibt, der dann seinerseits erst mit dem Ziel-Server Kontakt aufnimmt und den Mail-Body (als "store, encrypt, forward") zuvor noch verschlüsselt, dann wäre der restliche Teil der Verarbeitung (von den Templates bis zum "mailer") davon erst einmal gar nicht betroffen ... jedenfalls solange man die vorgeschlagene "Filterung" nicht ebenfalls umsetzt, denn die hat natürlich Auswirkungen auf den "mailbuilder".
