Martin Steiger 🚀

#SEPPmail wirbt mit 100 % Sicherheit bei der Kommunikation, hat aber viele schwerwiegende Sicherheitslücken … 😬

In den aktuellen «Datenschutz-Plaudereien», übrigens ist das Folge 400! 🎂, sprechen wir über diesen Totalschaden:

https://podcast.datenschutzpartner.ch/400-seppmail-e-mail-sicherheitsluecken

DAT400 SEPPmail mit schwerwiegenden Sicherheitslücken

SEPPmail verspricht seit über 20 Jahren sichere E‑Mail, aktuell unter anderem: «Vollumfängliche E‑Mail-Sicherheit», «Compliant E-Mail-Kommunikation (DSGVO-Konform)» und «100 % sichere Kommunikation». In Wirklichkeit bestehen bei SEPPmail schwerwiegende Sicherheitslücken, wie Forschende der ETH Zürich herausfanden. Andreas Von Gunten und Martin Steiger diskutieren den «Totalschaden» bei SEPPmail.

Datenschutz-Plaudereien
May 11 at 9:10amWeb
Show threadDaniel May 11
@martinsteiger Glaub da bleibt mir nur das Transkript 🇨🇭😁
Show threadMartin Steiger 🚀May 11

@daniel Ja, sorry!

Ich schreibe allenfalls noch einen Blogbeitrag dazu.

Ansonsten hilft vielleicht https://www.cve.org/CVERecord/SearchResults?query=seppmail weiter.

Show threadFabianMay 11
@martinsteiger naja, Software ohne Schwachstellen ist schlicht illusorisch, solange die Schwachstellen zeitnah gefixt werden, ist das auch kein grosses Problem. Aber klar, man muss ja ein Thema für den Podcast haben ;-)
Show threadMartin Steiger 🚀May 12

@mindthegap Hast Du Dir die Sicherheitslücken angeschaut? Hast Du Dir angeschaut, was #SEPPmail alles verspricht?

Nach eigenen Angaben müsstest Du vom Fach sein.

Ich schlage vor, Du nimmst einen neuen Anlauf und versuchst es mit sachlicher Kritik.

Show threadStephan5d ago
@mindthegap @martinsteiger Die ganzen Release Notes sind aber auch voller grober Fehler, es gibt zum Beispiel kein «Sequoia GPG».
https://downloads.seppmail.com/extrelnotes/150/ERN15.0.html
Macht keinen guten Eindruck ...
15.0.4.3 Hotfix Release

Show threadMartin Steiger 🚀4d ago
@erlenmayr Ist Dir sonst noch etwas aufgefallen?
Show threadStephan5d ago
@martinsteiger Neben SEPPmail ist in der Schweiz noch Totemo verbreitet.
Show threadMartin Steiger 🚀5d ago
@erlenmayr Was machen die so bei der Sicherheit?
Show threadStephan5d ago
@martinsteiger PGP und S/MIME als Gateway. Man bekommt allerdings kein komisches HTML, sondern eine Aufforderung, eine signierte Mail zu schicken, falls er keinen Key vom Empfänger hat.
Show threadMartin Steiger 🚀4d ago

@erlenmayr Wie verbreitet sind überhaupt signierte E‑Mails?

Das ist ein Thema, das ich auch mal vertieft anschauen möchte. Im Alltag sehe ich persönlich kaum signierte E-Mails – und ich habe auch Fragezeichen zum Nutzen.

Show threadfloyd aka floyd_ch4d ago
@martinsteiger @erlenmayr schwieriges Thema. Wir erforcen erst mal TLS mit richtiger Zertifikatsprüfung von mailserver zu mailserver bei kunden wo das geht.
Eigentlich kriegt man aber auch ende zu ende verschlüsselung mit PGP und co, die frage ist halt wo das ende ist und im fall von seppmail halt aufm seppmailserver. Aber ist halt viel best effort, metadaten schützen (z.B. wer kommuniziert mit wem) kaum möglich, trust in den mailserver (Microsoft und co) der gegenstelle auch schwieriges thema.
Show threadStephan4d ago
@floyd @martinsteiger Da hast du meine volle Zustimmung. Für Org-zu-Org-Verschlüsselung sollte man TLS forcieren. Dann sind auch die Metadaten (Mailheader usw.) geschützt.
PGP und S/MIME sollte man dann zusätzlich von Person zu Person verwenden für besonders schützenswerte Mails, die nicht unverschlüsselt im Postfach herumliegen sollen.
Blöd nur, dass immer mehr Orgs ihre Mails über geteilte Cloudserver empfangen und versenden, und dort auch ihre Postfächer herumliegen lassen ...
Show threadMartin Steiger 🚀4d ago
@erlenmayr @floyd GnuPG würde ich gerade für besonders schützenswerte Inhalte nicht verwenden. Im Rückblick konnten PGP und danach GnuPG nur deshalb eine gewisse Bedeutung erlangen, weil es schlicht nichts anderes gab.
Show threadHiker4d ago
@martinsteiger Warum soll man GnuPG nicht verwenden? Ah ja, die Frage geht ins Leere, er hat mich ja stumm gestellt oder geblockt. @erlenmayr @floyd
Show threadStephan4d ago
@martinsteiger @floyd Ich würde dafür ausschliesslich GnuPG verwenden.
Show threadStephan Neuhaus4d ago
@martinsteiger @erlenmayr Dazu gab es vor Jahrzehnten mal ein Paper mit dem schönen Titel "Why Johnny can't Encrypt" und m.E. gilt vieles davon heute noch. TL; DR: Um das richtig nutzen zu können (insbesondere, um Fehlermeldungen richtig einschätzen zu können), muss man public key crypto einigermassen verstanden haben. Die UX macht das nicht einfacher. Ist dasselbe Problem wie bei Zertifikaten.
Show threadStephan4d ago
@sten @martinsteiger Das ist korrekt. S/MIME in Unternehmen nimmt einem viel dieser Arbeit allerdings ab, vor allem das Management der Schlüssel der anderen. Die Schlüssel holt er automatisch aus dem LDAP und den Trust bekommt man von der PKI, man muss nur noch auf den Knopf Verschlüsseln/Signieren drücken.
Show threadMartin Steiger 🚀4d ago
@erlenmayr @sten Im Alltag begegnet mir S/MIME kaum, jedenfalls nicht sichtbar. GnuPG ist ohnehin längst raus.
Show threadStephan4d ago
@martinsteiger @sten Ausserhalb von solchen IT-Projekten sehe ich es auch nie. GnuPG sehe ich viel öfter, insbesondere bei Open-Source-Projekten.
Show threadStephan Neuhaus4d ago
@erlenmayr @martinsteiger Aber da wahrscheinlich eher zum Signieren der Software und nicht zum Signieren von Emails, oder?
Show threadStephan4d ago

@sten @martinsteiger Auf den Mailinglisten von Debian, OpenWall und IETF sehe ich oft signierte Mails. Debian und Apple signieren auch Security Advisories mit PGP.
https://lists.apple.com/archives/list/[email protected]/thread/YCD4OLBPRX6DGL4D74RG7FPKCMLIKJBP/
https://lists.debian.org/debian-security-announce/2026/msg00179.html

PGP-Schlüssel für die verschlüsselte Meldung von Sicherheitslücken gibt es auch oft, sogar bei Microsoft und Apple.
https://www.microsoft.com/en-us/msrc/pgp-key-msrc
https://support.apple.com/en-us/102148

APPLE-SA-05-13-2026-1 Safari 26.5 - Security-announce - lists.apple.com

Show threadMartin Steiger 🚀4d ago
@erlenmayr @sten Stimmt, man signiert damit – das geht gerne vergessen!
Show threadStephan4d ago
@martinsteiger Also in der IT in Unternehmen (D-A-CH) weiter, als man glaubt. Allerdings mehr S/MIME als PGP. Also wenn man zum Beispiel als Pentester mit der IT-Projektleitung in einer Schweizer Bank kommuniziert, hat man in der Regel S/MIME, oft eben mit diesen Gateways. Wenn man dann aber als Kunde bei derselben Bank sicher mit einem Kundenberater kommunizieren will, scheinen die nichts davon zu wissen, obwohl sie dieselbe Mail-Domäne verwenden ...
Show threadAxel 🚴😷🐧🐪⌨ | #WeAreNatenom4d ago
@martinsteiger: Wenn ich SEPPmail lese, muss ich irgendwie trotz der zweiten Hälfte "mail" immer erst an https://www.sepp.ee.ethz.ch/ denken und frage mich: Hat Tobi bzw. O+P auch ein Mailsystem geschrieben? 🤓