Daten- und Informantenschutz

Emails dauerhaft entschlüsselt speichern (mit den Enigmail-Filtern)

Wer regelmäßig und im Alltag mit verschlüsselten Emails kommuniziert (so wie ich), bemerkt irgendwann drei lästige Begleiterscheinungen:

  1. Man kann verschlüsselte Emails nicht durchsuchen
  2. Man muss beim Browsen der Emails ständig das Passwort eingeben
  3. Große Anhänge frieren das Emailprogramm für Sekunden oder Minuten ein

Dafür gibt es seit einigen Jahren in Thunderbird eine Lösung: 2014 hatte ich die Idee, dieses Problem mit Filtern zu lösen. Mit einem Crowdfunding und der Unterstützung von einigen Experten habe ich 2015 eine Implementierung in Enigmail organisiert. Mittlerweile werde ich in meinen Informantenschutz-Kursen öfters gefragt, wie man den Filter genau nutzt, deswegen hier ein Tutorial zu der eher unbekannten Option.

Sicherheitshinweis

Am Anfang ein wichtiger Hinweis: Das dauerhafte Entschlüsseln von Emails verringert auf hohem Niveau die Sicherheit. Es ist für externe Angreifer je nach genutzter Sicherheitslücke möglicherweise leichter, die unverschlüsselten Emails auf dem Computer direkt auszulesen als die Entschlüsselung über Kommandozeilenzugriff und Abfangen des Entschlüsselungs-Passworts durchzuführen. Da sollte jeder seinen Sicherheitsanspruch gegen die Bequemlichkeit abwägen. Die Entschlüsselungs-Filter sind vor allem für die Leute gedacht, die ihre Emails vorwiegend auf dem Transportweg sichern wollen. In Einzelfällen sollte man bei Emails mit besonders sensiblem Inhalt die entschlüsselte Kopie löschen – es bleibt ja die automatische Kopie im Backup.

Was sind Filter

Filter gibt es in den meisten Emailprogrammen. Das sind einfache Regeln, die normalerweise zur automatischen Organisation der Emails dienen. Bei der Installation von Enigmail (Version 1.8 oder höher) gibt es im Menü von Thunderbird unter Manage message filters je nach Version zwei bis drei neue Aktionen:

In Verbindung mit den übrigen Filterfunktionen kann man daraus natürlich beliebige Konstruktionen bauen, z.B. auch derart, dass nur bestimmte Emails dauerhaft entschlüsselt werden. Die erste Funktion würde ich gar nicht verwenden, da es immer besser ist, ein verschlüsseltes Original zu behalten. Ich habe folgende Filter eingerichtet:

  1. Alle verschlüsselten Emails taggen (damit sie auch im entschlüsselten Zustand noch farblich erkennbar sind)
  2. Eine entschlüsselte Kopie in einem neuen, künstlichen Eingangsordner anlegen (ich nenne ihn „Gefiltert“)
  3. Das verschlüsselte Original in einen Backup-Ordner verschieben (ich nenne ihn „PGP Backup“)
  4. Alle unverschlüsselten Emails in den neuen Eingangsordner verschieben (damit man dort alle Emails bequem lesen kann)

Der Filter wird immer ausgeführt, wenn neue Emails eintreffen. In unserer Inbox wird dann also keine Email mehr zu finden sein – der neue Posteingang, in dem ich die Emails lese ist also der Ordner „Gefiltert“.

Schritt für Schritt

Vorbereitungen

Zuerst legen wir einen neuen Tag mit dem Namen „PGP“ und einer schönen Farbe an.

Dann mit der rechten Taste auf das Email-Konto und einen neuen Ordner „Gefiltert“ unterhalb der Inbox anlegen. Außerdem einen Ordner „PGP Backup“ anlegen.

Der erste Filter

Dann mit der linken Taste auf das Konto und Manage message filters/New …. Dort legen wir folgende Felder an und speichern den ersten Filter:

Hinweis: Linux-Nutzer, die noch das ältere Enigmail 1.9.9 aus den Repositories beziehen, haben noch nicht die vorgegebene Matching-Option „OpenPGP is“. Sie müssen das matching manuell erstellen (Screenshot). Dabei beachten, dass man „Match any of the following“ wählt. Diese Details müssen manuell eingegeben werden:
-----BEGIN PGP MESSAGE-----
application/pgp-encrypted
Auch das Feld „Content-Type“ muss unter „Customize…“ manuell erstellt werden.

Der zweite Filter

Der zweite Filter wählt alle gerade getaggten Emails und entschlüsselt eine Kopie in den manuell angelegten Ordner „Gefiltert“:

Der dritte Filter

Der dritte Filter verschiebt das verschlüsselte Original in den Backup-Ordner:

Der vierte Filter

Und der vierte Filter verschiebt alle unverschlüsselten Nachrichten in den Ordner „Gefiltert“.

Reihenfolge ändern

Zum Abschluss müssen wir nur noch die Filter in die richtige Reihenfolge bringen.

Dann für den ersten Testlauf einfach mal eine Mail an sich selbst schreiben, danach kann man den Filter von der Filterverwaltung aus auch für den ganzen Posteingang durchführen lassen.

7 Comments

  1. anonym Reply
    14. November 2018 at 18:23

    Danke für diese seeeehr brauchbaren Tipp 🙂
    Gibt es eine solch unverschlüsselte Ablage auch für den Ordner ‚Gesendet‘?

    Das wäre die Krönung…

    Danke + Gruß, Chris

    • Avatar-Foto Matthias Eberl Reply
      20. November 2018 at 13:33

      Ja, das geht ganz einfach über die Enigmail-Einstellung „Store Messages Encrypted“. Die bezieht sich nämlich nur auf die gesendeten Email. Wenn dort kein Haken ist, wird die Email nach dem versenden entschlüsselt.
      (Ansonsten könnte man das aber mit dem Filter genauso nachbauen)

      • Norbert Reply
        10. Dezember 2018 at 14:25

        Hallo,
        erstmal vielen Dank für die Anleitung.
        Das mit den gesendeten Emails funktioniert allerdings nicht.
        Die Enigmail-Einstellung „Store Messages Encrypted“ gibt es so nicht mehr, sondern sie bezieht sich nur auf Entwürfe.
        Daher habe ich einen zusätzlichen Filter eingebaut, der bei ausgehenden Emails eine unverschlüsselte Kopie in den Ordner „Gesendet“ schieben soll.
        Die Kopie landet auch dort, aber wenn ich diese dann anklicke erscheint oben die Enigmail-Fehlermeldung „Entschlüsselung unvollständig; Für weitere Informationen klicken Sie auf die Schaltfläche ‚Details‘.“
        Da steht aber dann auch nur „Entschlüsselung unvollständig“.

        • Avatar-Foto Matthias Eberl Reply
          10. Dezember 2018 at 14:40

          Richtig wäre übrigens … „Store Messages Securely“ gewesen, sehe ich gerade. Bei mir gibts diese Einstellung, evtl. weil ich im pEp-Modus bin? Meine Emails werden im Sent-Ordner entschlüsselt gespeichert.
          Das mit dem Filter scheint aber in jedem Fall ein Bug zu sein. Melde dich damit am besten mit genauen Angaben (zum Reproduzieren des Fehlers) im Enigmail-Support-Forum, dort ist man recht flott: https://sourceforge.net/p/enigmail/forum/support/

  2. ToKu Reply
    21. März 2023 at 11:49

    Hallo Matthias,

    wie regelst du das heute im Jahr 2023?
    Das Enigmail Addon ist zu Thunderbird inkompatibel und die in Thunderbird integrierte PGP Funktion bietet kein „Entschlüsselt kopieren nach“ in den Filtereinstellungen mehr.

    Viele Grüße
    ToKu

    • Avatar-Foto Matthias Eberl Reply
      21. März 2023 at 13:22

      Ja, das Ende diese Funktion war sehr ärgerlich. Ich habe es abgehakt und denke, es kann mal wer anderes das Problem lösen. Ich verfolge es im Bugtracker, aber viel Bewegung gibt es nicht. Ich habe Thunderbird noch eine Weile in der alten Version genutzt, aber das ist natürlich langfristig problematisch. Jetzt einfach die Standardversion ohne die Filterfunktion.

  3. ToKu Reply
    21. März 2023 at 16:28

    Vielen Dank für den Link zum Bugtracker. Ich habe dort eben mal einen Kommentar abgegeben, dass es zumindest die Rechtsklick Option zum Entschlüsseln wieder gibt.

Leave a Reply