IMAP, Exchange, M365 und die DLRG

Die DLRG (Bundesgeschäftsstelle) stellt nach und nach die E-Mails von dlrg.DE auf dlrg.ORG um. Bei der Gelegenheit ist mir aufgefallen, dass ich die neue Adresse nicht mehr per IMAP und K9-Mail bzw. Thunderbird abrufen kann. Das geht jetzt nur noch über den Webclient und 2FA oder über M365-Outlook. Ich habe mein Missfallen über zwangsweise die Nutzung von M365 zum Ausdruck gebracht und folgende Antwort erhalten.

die dlrg.org-Adressen können nur per Exchange-Sync synchronisiert werden. Die Synchronisation per IMAP/SMTP erfüllt nicht die hohen Sicherheitsstandards, die Exchange bietet (z.B: MFA).

Diese Funktion ist daher per Default von Microsoft in unserem Tenant nicht aktiviert und aufgrund der geringeren Sicherheit wird diese auch nicht aktiviert werden.

Für Thunderbird gibt es Plugins, um Exchange-Sync verwenden zu können. Diese kosten allerdings Geld.
Die DLRG stellt jedem Anwender mit der Lizenz Outlook zur Verfügung, welches für die Arbeit mit Mails, Gruppen, Kalender, etc. empfohlen wird. Hier fallen für den Anwender dann keine Mehrkosten an.

Ich bin mir nicht sicher, ob ich in dieser Forenrubrik richtig bin, da aber der Kollege mit „Sicherheit“ argumentiert, versuche ich es mal hier.

Mich stört, dass ich, wenn ich auf meinen mühsam gesäuberten Geräten (Telefon und Laptop) jetzt M365 installieren soll um die DLRG-Mailadresse vernünftig nutzen zu können. Mir fehlt aber das Fachwissen, um zu sehen ob das Sicherheitsargument stichhaltig ist und es wirklich keine brauchbare FOSS-Alternative gibt. Ich vermute, dass die Nutzung von M365 für die Admins einfach nur bequemer ist.

Dazu kommt der Datenschutzaspekt. Soweit ich weiß, ist die Nutzung von M365 nicht DSGVO-konform möglich. Ich weiß außerdem, dass M365 aktuell für Unternehmen scheinbar der heilige Gral ist. Ich bin der Ansicht, dass die Nutzung von M365 und das Ignorieren der DSGVO im Unternehmensumfeld Sache des jeweiligen Arbeitgebers ist. Hauptsächlich, weil die „verlorenen“ Daten fast ausschließlich dienstliche Daten auf dienstlicher Hardware sind und die Nutzer (Angestellten) bezahlt werden.
Die DLRG ist kein Arbeitgeber und die Nutzer arbeiten ehrenamtlich und werden nicht bezahlt. Im Gegenteil, durch die Mitgliedsbeiträge müssen sie sogar für die Mitgliedschaft bezahlen. Darüber hinaus findet alles auf privater Hardware statt.

Ich wüsste jetzt gern,…

• ob ich mit meiner Meinung richtig liege,
• wie ich fachlich und sachlich richtig argumentieren kann.
• ob es eine FOSS-Alternative zur Nutzung Exchange mit MFA gibt. Wenn ja, welche? Vorzugsweise in Thunderbird und K9-Mail.

Fazit:
Ich will kein M365 auf meinen Geräten und trotzdem die DLRG-Adresse ohne Webclient nutzen können. Hilfe!?

Microsoft bietet einen passenden Zettel an auf dem steht „Wir sind ganz doll DSGVO-konform“: https://www.microsoft.com/de-de/microsoft-365/business/data-security-privacy-germany → also kein Problem aus Sicht des Vereins

Kannst du jetzt lange rumdiskutieren - nur ändern wird es vermutlich wenig…

Mir ist schon klar, dass ich wohl nichts ändern werde. Ist das als Grund ausreichend es garnicht mehr zu versuchen?

Edit:
Aber bevor das hier zu einer Grundsatzdiskussion wird. Das war nicht mein Ziel.
Ich suche jemanden, der mir erklären kann, ob das Sicherheitsargument wirklich stichhaltig ist bzw. ob es Alternativen gibt.

steile These; kann sein, dass Microsoft das nicht hinkriegt, andere Anbieter kriegen das hin.

Ich gehe mal eher davon aus, dass ein toller MS-Vertriebler irgendwelchen Entscheidern beim DLRG geilen Scheiß verkauft hat.

MS ist das Unternehmen, welches letztens einen wichtigen Key hat klauen lassen, betraf dann auch Exchange. Die Motivation auf Seiten MS war niedrig, den Vorgang aufzuklären.

Und grad diese Tage dann das: „Microsoft Exchange Server anfällig für Remotecode-Ausführung und Datenklau. Vier Schwachstellen im Exchange-Server machen die Groupware anfällig für Cyberangriffe. Drei Lücken werden bald geschlossen, eine ist bereits abgedichtet.“

Lass dir doch bitte mal die definierten DLRG-Sicherheitsstandards schicken, was genau die besagen.

Das werden die mir nicht schicken.
Ich habe inzwischen geantwortet und als Alternative Mailbox.org vorgeschlagen.
https://mailbox.org/de/sicherheit#verschluesselung

Der DRLG ist doch als Verein organisiert. Bist du Mitglied? Laut Leitlinien: „Wir führen unseren Verband demokratisch und partnerschaftlich und geben allen Mitgliedern die Möglichkeit zur Beteiligung.“

Es gibt einen Arbeitskreis Informationstechnik, die der Geschäftsführung zugeordnet sind.

Ein Konzept zur IT-Sicherheit sollte es geben und eine Entscheidungsmatrix der Geschäftsführung ebenfalls. Jede Organisation lebt von konstruktiven Diskussionen

hinsichtlich technischen:

mailbox.org bietet derzeit keine 2FA für IMAP und SMTP an, die über Clients ja dann abgewickelt werden muss.

Microsoft hat die Sicherheit erhöht, in dem Gast- und vor allem Administrationskonten nur noch mit 2FA möglich sind bzw. sein werden in neueren Exchange-Systemen. Das ist jetzt nicht wirklich eine Leistung …

Wenn die DRLG Geschäftsführung also meint, 2FA/MFA ist absolut zwingend, geht das nur noch über eine proprietäre Lösung oder webbasiert. Dadurch erhöht sich aber nur punktuell die Sicherheit, nicht insgesamt, da man ja mit einem Dienstleister zusammenarbeitet, dem „absolute“ Sicherheit nicht so wichtig ist (siehe Beispiele). Ist für mich also eher eine politische Diskussion der Möglichkeiten, Anforderungen und Abwägungen, um angemessen verschiedene Interessen zu bedienen.

Mmh, der Prozess ist ja schon länger, seit Juli 2022: https://atlas.dlrg.de/confluence/display/AN/DLRG+|+M365

Tja, aus dem tollen Gesamtsystem (und also der Entscheider-Denke) wird man wohl nicht mehr rauskommen …

M365 ist ein vollumfänglicher Tenant, d.h. eine vollständige Installation, die neben den reinen Office-Komponenten die Kollaborationsmöglichkeiten wie MS Teams, ein zentrales Adressbuch usw. zur Verfügung stellt. Darüber hinaus bietet das Gesamtsystem mehrere Vorteile, die das gliederungsübergreifende Arbeiten erlauben. Kurzum: Wir machen die DLRG zukunftsfähig.
https://atlas.dlrg.de/confluence/display/AN/FAQs

Die Sicherheit ist der Glaube, durch ein Gesamtsystem das („Sicherheit“) zu suggerieren. Ja, Rom wurde nicht an einem Tag gebaut (wie die Geschäftsführung schreibt), dafür innerhalb von sieben Tagen abgebrannt …

Ohne Konzept und Entscheidungsmatrix kommt man da nur bedingt weiter.

Ergänzung: ich sehe gerade, dass der DRLG ein Confluence nutzt, in Version 7.20.3; die wird aber nicht mehr aktualisiert, da keine Long Term Version! Da gibt es aber aktuell (und immer wieder) krasse Einbruchsmöglichkeiten: https://confluence.atlassian.com/kb/faq-for-cve-2023-22518-1311474094.html
Und nun kann man schön sehen, wie man abhängig von Kosten ist, die man aber nicht eingeht und liegen bleibt auf der Strecke der Sicherheit … (Ich habe bei Kunden darauf hingewirkt, dass man Concluence nur im Intranet stehen hat und von außen als nur per VPN zugänglich sein darf, warum? Deswegen: „Wer nicht patchen kann, der möge unverzüglich ein Backup seiner Confluence-Instanz erstellen und sie vom Internet abkoppeln, empfiehlt der Hersteller.“)
Das wird bei MS365 auch nicht anders sein im Falle X, nur kann man es meistens nicht selbst abschalten …

Ja. Und leider bin ich auf eine offizielle DLRG-Adresse angewiesen.

Hab ich jetzt angefragt. Sie werden mich hassen.

Hab ich inzwischen auch gesehen. Habs leider erst jetzt bemerkt. Bisher läuft das Ganze nur verpflichtend auf Bundesebene. Es ist aber geplant bald deutschlandweit zwangszubeglücken.

Wenn ich mal dazwischen fragen darf, wie geht IMAP mit 2FA? Was ist da der 2. Faktor? Wie kriegt man das benutzerfreundlich (=„unattended“) hin?

Wie hilfreich Google doch ist…

https://kb.mailbox.org/de/privat/sicherheit-privatsphaere-artikel/die-zwei-faktor-authentifizierung-einrichten

Google?

Dein Link behandelt zwar 2FA, betrifft aber nicht IMAP sondern den webbasierten Zugang; steht auch gleich am Anfang:

Sie möchten sich an unsicheren Geräten einloggen.

Es gibt zu IMAP eine neuere RFC 9051, veröffentlicht 2021, die das Thema 2FA behandelt:

(Beachten Sie, dass das SASL-Framework die Erstellung von SASL-Mechanismen ermöglicht, die eine 2-Faktor-Authentifizierung (2FA) unterstützen; allerdings ist keiner dieser Mechanismen so ausgereift, dass er von diesem Dokument empfohlen werden könnte).

Dein Post und das Thema ist ansonsten besser in IMAP - Sicherheit und mailbox.org aufgehoben.

Hallo,
da an unserer Hochschule grade M365 eingeführt wurde:
unter Windows funktioniert der Mailabruf auch mit Thunderbird. Da geht dann ein Fenster auf (Webbrowser?), bei dem man einmalig die MS-Mailadresse und das MS-Passwort eingeben muss. Thunderbird (ab Version 115) holt sich damit ein Token, genau wie Outlook. Später soll das mit irgendeinem kostenpflichtigen Addon passieren, was dann anders ist und wozu man das braucht weiß ich nicht. Im Exchange muss dazu aber Thunderbird als Mailclient freigeschaltet sein.
Bei einem Arbietskollegen, der einen eigenen Linux-Mailserver zu Hause betreibt, funktioniert die Abholung mit Fetchmail - wie genau müsste ich nachfragen. Hat einige Mühe gekostet, das auf einem Raspberry zum Laufen zu bringen.
Unter Android hat es bis vor ein paar Tagen auch mit k9-Mail (Playstore) funktioniert. Das war aber nur über ein google-Konto möglich. Anhand älterer Erfahrungen mit Exchange-Konten und Kalender-/ Mailsynchronisation vermute ich, dass nur google den Zugriff ermöglicht hat, nicht k9 selber. Seit ein paar Tagen ist der Zugang im Exchangeserver gesperrt worden - angeblich aus Sicherheitsgründen ist nur noch der Zugriff mit Outlook oder Thunderbird freigeschaltet. Thunderbird für Android gibt es aber gar nicht, sondern es wird erst als Nachfolger von k9 von den k9-Entwicklern entwickelt. Verstehe das wer will. Momentan ist deshalb der Zugriff bei uns mittels Android ausschließlich per Outlook-for-Android gestattet. Was ich mir auf einem privaten Handy verkneife. Dann eben nicht.

Fazit: es ist Sache der Netadmins, ob man mit K9 (ggf. über google?) von Android aus zugreifen kann. Es ist auch Sache der Netadmins, ob sie das unter Windows für Thunderbird zulassen. Funktionieren tut es beide Male auch mit 2FA ohne Imap.

Gruß
loderunner