die raven homepage
Quicksilver mit Google Mail

Eine Kurzanleitung, wie man eigene Google Mail (Gmail) Konten mit Quicksilver, stunnel, Tor und SocksCap ausschließlich zum anonymen und verschlüsselten Versand anonymer Mixmasternachrichten verwendet.

Anlass

Gmail ist so ausgelegt, dass über Gmail versendete E-Mails im Ordner "Gesendet" abgelegt, aber daraus nicht automatisch gelöscht werden können. Stattdessen muss zuerst die Mail markiert und in den Papierkorb verschoben werden. Aber auch das löscht die Mail nicht, jedenfalls nicht innerhalb von 30 Tagen. Wenn man versendete E-Mails also sofort gelöscht haben möchte, folgt ein Öffnen des "Papierkorbs", das Markieren aller Mails und die Aktion "endgültig löschen". Ob die E-Mails damit wirklich vollständig entfernt sind, ist bei Google fraglich und nicht zu kontrollieren. Damit besitzt Gmail quasi eine eingebaute Datenvorratsspeicherung, denn welcher Gmail Benutzer macht sich bei Gigabytes an Speicherplatz die Mühe, permanent und manuell für die Entfernung gesendeter E-Mails zu sorgen.

Weil Google Mail aus Datenschutzgründen nicht zu gebrauchen ist, wurde die Verwendung des Google Mail "Gesendet" Ordners als "Ausgangskorb" für Mixmasternachrichten gewählt. Im Gegensatz zum Mixminionsystem und den Mixminionremailern, bei denen anonyme E-Mails über einen Mixminionclient direkt an den ersten Remailer der Remailerkette gesendet werden, folgt bei Mixmaster immer zuerst der Versand an den eigenen Mailserver oder den Mailserver des Providers, über den die Mail weiter an den ersten Mixmasterremailer verschickt wird.

Da E-Mail an Bedeutung verloren hat, wird man eine vollständige Ausnutzung der Gmail Kapazitäten wahrscheinlich nie erreichen. Nebenbei kann so Gmail als Testkorb benutzt werden. Denn wenn eines Tages – was jedoch unwahrscheinlich ist – eine Mixmasternachricht doch der eigenen, realen Identität zuzuordnen wäre, könnte davon auszugehen sein, dass entweder die Mixmasterverschlüsselung gebrochen ist, das Mixmasternetz kompromittiert ist und Gmail Informationen an Angreifer weitergibt.

Vorbemerkung

Das Gmail Konto sollte mit einfachem und nicht eindeutigem Usernamen angelegt werden. Im Gmail Konto sollten keine weiteren Gmail Kontakte gespeichert sein. Ebenso sollte die eigene Gmail Adresse nicht von anderen Gmail Benutzern als Kontakt in deren Gmail Konten gespeichert sein.

Umsetzung

Für Quicksilver nehme man die E-Mail Vorlage:

Quicksilvervorlage

Kurze Erklärung: Der zweite From Header dient zur Übermittlung einer gefälschten Absenderadresse (wer das will oder braucht). Dem dienen auch die vier letzten Mixmasterremailer in der Chainzeile, die eigene Fromheader zulassen. Vor dem Versand werden bis auf einen Namen die anderen Remailer gelöscht. Wer mehr als drei Remailer "aneinanderketten" will, setzt noch ein * dazu. Der localhost mit Port 1465 hat etwas mit stunnel zu tun.

Dann werden die Angaben zur Authentifizierung bei Gmail benötigt. Dazu ruft man unter Tools "SMTP Authentication" auf, legt einen neuen Host an und trägt die Informationen ein:

Gmail Authentifizierung

So, nun zu einem Problem von Quicksilver: Quicksilver kann keine SSL/TLS Verbindungen zu Mailservern aufbauen, höchstens SMTP auth. Deshalb OpenSSL und stunnel installieren.

Nach der Installation von stunnel wird die Konfiguration stunnel.conf angepasst:

RNDbytes = 2048
RNDfile = random.bin
RNDoverwrite = yes
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
CAfile = certs.pem
debug = 6
client = yes

[Google]
options = all
accept = 127.0.0.1:1465
connect = smtp.gmail.com:465

Damit stunnel funktioniert, werden zwei Dateien benötigt: Die Datei random.bin für Zufallsdaten und die certs.pem Datei, die das Zertifikat von Google aufnehmen wird (Das Prüfen mit dem CA Zertifikat unterbleibt diesmal).

Die random.bin Datei im stunnel Verzeichnis als Administrator in der Konsole erzeugen und sich anzeigen lassen:

LW:\pfad\stunnel>openssl rand -out random.bin 2048
LW:\pfad\stunnel>type random.bin
Das Google Zertifikat holen und in der certs.pem Datei speichern:
LW:\pfad\stunnel>openssl s_client -connect smtp.gmail.com:465 -showcerts -prexit > certs.pem
Mit einem Texteditor die certs.pem öffnen und alles bis auf folgenden Block löschen:
-----BEGIN CERTIFICATE-----
Daten
-----END CERTIFICATE-----

Jetzt kommt noch die Einbettung von stunnel in SocksCap (FreeCap bei dem es mit stunnel funktioniert), um den SSL Verbindungstunnel über einen Tortunnel zu Gmail aufzubauen. Neben den Socksapplikationen braucht man also außerdem Tor, das man eh installiert haben sollte.

Das Ganze dient dem Zweck, gegenüber Gmail anonymisiert über Tor aufzutauchen. So könnte man später immer noch abstreiten, dass über den eigenen Rechner mit der IP usw. die E-Mails verschickt wurden, da wohl – da man ja Windows nutzt – die Gmailzugangsdaten vom Rechner entwendet und von einer anderen Person missbraucht wurden :)

Also SocksCap bzw. FreeCap und Tor 0.1.1.X installieren.

Nach der Installation und dem Aufruf von SocksCap (das mit Nagscreens nervt) wird unter File / Settings Tor als Socks Server eingetragen und die Namensauflösung geregelt. Anschließend stunnel über den Button New einbinden und den stunnel Eintrag im SocksCap Fenster als Verknüpfung auf den Desktop oder die Schnellstartleiste ziehen. Wird darüber SocksCap+stunnel gestartet entfällt der Nagscreen:

SocksCap

stunnel in Scokscap

stunnel in SocksCap

Damit sind die Vorbereitungen abgeschlossen und man kann mit dem Googlemailen beginnen:

  1. Tor starten
  2. SocksCap+stunnel starten
  3. Quicksilver starten, Template auswählen, Mail schreiben und absenden

Das Ganze grafisch vom Gmail "Gesendet" Ordner bis zur heimischen Inbox:

Gmail Gesendet
Gmail "Gesendet" Ordner

Gmail Gesendet
Eine der gesendeten Mixmasternachrichten

Mixmaster Message
Ping, die Mixmasternachricht.
Zur Erhöhung des Schutzniveaus wird die Nachricht nicht im Klartext verschickt bzw. an den Empfänger ausgeliefert, sondern vor dem Versand über Quicksilver mit OpenPGP verschlüsselt.

Natürlich kann man statt Gmail auch jeden anderen Mailprovider benutzen oder statt des eigenen Mailproviders direkt einen der Mixmasterremailer, bei denen man Mails per SSL/TLS verschlüsselt einliefern kann. Im Unterschied zur normalen bzw. direkten Verwendung von Quicksilver und den Mixmasteremailern wird eine E-Mail nicht nur mit der Mixmaster eigenen Verschlüsselung über eine Kette von Mixmasteremailern versendet, sondern der ganze Transport zusätzlich verschlüsselt über die SSL Verbindung zum Mailserver / Remailer und anonymisiert über den Tortunnel.
Weitere Informationen und Anregungen findet man im Wiki des Panta Rhei Remailers.

[ Inhalt | Top ]