Kann man eine Blindcopy im Header auslesen?

Hallo,

ich bin irritiert. Mir wurde von einer Firma unaufgefordert ein Newsletter geschickt.
Mit dieser Firma habe ich z. B. immer mit Mailadresse abc@posteo.de kommuniziert.

Da mein Mailprogramm irgendwie beim Empfang nicht mit Mailalias umgehen kann, schicke ich die Mail immer per BCC an meine geschäftliche Mailadresse.

Nun kommt der Newsletter plötzlich auch an geschäftliche Mailadresse. Das kann ich mir nicht erklären. Außer eben über die Header.
Aber eigentlich dürfte das nicht sein, sonst ergibt BCC ja keinen Sinn.

Viele nehmen ja diese leidlichen Mail- und Newsletter-Dienstleiter wie Zendesk und medailla. Was mich unheimlich nervt, weil ich da vorher gar nicht gefragt werde und das auch nicht in den Datenschutzhinweisen steht.

Ich habe herausgefunden, dass der Newsletter von i=@Firmenname.onmicrosoft.com kommt.

Kann es sein, dass die in der Lage sind in den Headern auch BCC Adressen auszulesen? Ich habe keine Ahnung, was heute zu Tage alles technisch möglich ist und kenne mich da nicht aus.

Daher diese vielleicht dumme Frage.

Grundsätzlich sind die BCC-Header serverseitig sichtbar. Wenn BCC nicht vorhanden ist, kann er nicht gehandelt werden. Ob er berücksichtigt bzw. ausgeblendet wird, hängt vom zustellenden Server ab.

Das nur zur ersten Orientierung, da mir der Kommunikationsweg nicht ganz schlüssig ist.

Wenn mit der Firma bislang über die Posteo-Adresse kommuniziert wurde und dabei die eigene Firmenadresse in BCC gesetzt war, so sollte Posteo eine E-Mail an die Empfängerfirma senden und ich würde erwarten, das hierbei die BCC nicht dorthin weitergereicht wird.
Eine zweite Kopie ginge dann an die eigene Firmenadresse und auch dort könnte man die Header prüfen wenn noch welche vorhanden sind.

Eine weitere Möglichkeit eines Leaks bzw. Verknüpfung der Adressen besteht theoretisch, wenn die Firmenadresse ebenfalls bei MS gehostet wird. Ist aber auch eher unwahrscheinlich.

Evtl. glaubt man auch nur, dass man das immer so gemacht hat und in der Realität hat man mind. einmal auf eine Antwortmail der Firma hin aus der Kopie bzw. Firmenaccount geantwortet und damit unfreiwillig die E-Mail-Adresse der Kopie verwendet.

Ja, das habe ich auch erwogen. Daher bin ich sämtliche Mails an die Firma durchgegangen und habe auch bei der Firma nachgefragt.
Die hat mir bestätigt, dass unter dieser BBC Adresse keine Mail bei ihnen eingegangen ist. Sondern nur unter diese ABC@posteo.de

Ich traue microsoft nicht und wie gesagt, habe ich keine Ahnung, was die so alles können. Ich habe mal recherchiert, woher das Firmenname@onmicrosoft.com kommt
https://m365.de/m365-preise/microsoft-365-business-basic

Der Provider dieser Firma ist Google in London.

Denkbar wäre auch, dass der Newsletter irgendwelchen Content – z.B. Bilder – vom
Server des Absenders nachlädt. Dann übermittelt Dein E-Mail-Client in der Firma die E-Mail-Adresse an den Absender.

Man kommt hier leicht durcheinander mit den Benennungen. Ich nenne die eigene Firmenadresse mal Business-Adresse und die des Newsletterabsenders Firmenadresse

Das der Newsletterabsender ein MS-Produkt nutzt, ergibt sich ja bereits aus der Domain. Das er ansonsten Dienste bei Google hat, ist auch noch ein Hinweis.

Meine Frage bezog sich auf die eigene Business-Adresse an die die Kopie ging und die geleakt wurde. Also ob der Arbeitgeber oder Verwalter der Business-Domain auch ein MS-Produkt bzw. Infrastruktur für E-Mail und z.B. Adressverwaltung verwendet.

Das Nachladen habe ich unterbunden und nur Reintext eingestellt.
Ich erhalte also keine html Newsletter.

@ jdevlx
Sorry. Nochmal eindeutiger.

Alias = ABC@posteo.de → BCC ist auch meine Adresse, nennen wir sie Relaxo@posteo.de.
Alle Mails, die ich mit ABC versende, werden per BCC an Relaxo versendet.

Und nein, das sind beide rein private Adressen. Geschäftsadresse nannte ich es, weil es die seriöse Adresse für geschäftliche Angelegenheiten ist.
Sorry, für die Verwirrung.

Ich würde den in dem Newsletter angegebenen Verfasser des Newsletters um Auskunft bitten, woher er die „geschäftliche“ E-Mail-Adresse hat.

Rein technisch ist es möglich, dass der Inhalt der BCC-Zeile an den in der TO-Zeile angegebenen Empfänger übertragen wird. „Schuld daran“ kann entweder die Konfiguration des Clients des Absenders sein oder die Konfiguration des Postausgangsservers, den der Absender verwendet.

Idealerweise überträgt schon der Client die BCC-Zeile und deren Inhalt nicht an den Postausgangsserver. Stattdessen überträgt er idealerweise nur die Adressen, die in der TO-Zeile stehen, an den Postausgangsserver sowie die Adressen, die in der BCC-Zeile stehen. Dann erteilt der Client dem Postausgangsserver die Anweisung, die im nächsten Schritt vom Client an den Postausgangsserver zu übermittelnden Inhalte der FROM-Zeile sowie der SUBJECT-Zeile, der MESSAGE-ID-Zeile usw. zusammen mit dem Inhalt der TO-Zeile und mit dem ebenfalls zu übermittelnden eigentlichen Inhalt des E-Mails an alle zuvor an den Postausgangsserver übermittelten Adressen zu übertragen. Als einzige Adresse sehen alle Empfänger nur den Inhalt der TO-Zeile. „Übermitteln“ muss korrekterweise heißen: Der Postausgangsserver erlaubt den Posteingangsservern der angegebenen Adressen das Auslesen des Inhalts des E-Mails und der Header-Zeilen, die der Posteingangsserver kennt. Wenn der Client des Absenders in dieser Weise konfiguriert ist, gibt es schon auf dem Postausgangsserver keine BCC-Zeile. Die Posteingangsserver der Empfänger - sowohl TO als auch BCC - „sehen“ jeweils nur genau die Empängeradresse derjenigen Person, die auf dem betreffenden Posteingangsserver einen Account hat.

Falls der Client so konfiguriert ist, dass die BCC-Zeile und ihr Inhalt auf den Postausgangsserver übertragen wird, muss der Postausgangsserver so konfiguriert sein, dass beim Übertragen des E-Mails an die jeweiligen Posteingangsserver in dem Header, den die Posteingangsserver lesen dürfen, die BCC-Zeile und deren Inhalt fehlen.

Falls der Postausgangsserver jedoch den Posteingangsservern das Lesen der BCC-Zeile gestattet, kann man sich nur noch wünschen, dass die Posteingangsserver so nett sind, die BCC-Zeile und deren Inhalt nicht an den Client des jeweiligen Empfängers auszuliefern bzw. lesen zu lassen.

Wie Dein eigener Postausgangsserver sich verhält, kannst Du feststellen, falls Du einen Webmail-Account für Dein Postfach hast und Du Dir dort den Quelltext der E-Mails im Ordner „Gesendet“ anschauen kannst. Falls Du dort im Header eines BCC-versendeten E-Mails die Zeile BCC und deren Inhalt siehst, weißt Du, dass Dein Client die BCC-Zeile und deren Inhalt an Deinen Postausgangsserver überträgt. Dann kommt’s - siehe oben - darauf an, ob Dein Postausgangsserver diese BCC-Zeile in den Speicherbereich schreibt, den dann die Posteingangsserver auslesen dürfen, auf denen sich die Postfächter der in der TO-Zeile sowie in der BCC-Zeile angegebenen Empfänger befinden.

Zur Vereinfachung habe ich mögliche zwischengeschaltete Relay-Server weggelassen.

Falls der Absender und die TO- und BCC-Empfänger ihre Postfächer alle auf dem selben Server haben, muss der Server so konfiguriert sein, dass die Clients der Empfänger den Inhalt der BCC-Zeile nicht lesen können.

Vielen Dank @ vatolin für die ausführliche Erklärung.

Ich habe nun von ABC eine Mail an meine Spamadresse, bei web.de geschickt.
Im Header (Langversion) taucht meine BCC Adresse nicht auf.
Allerdings landet es im web.de Spamordner, was mit posteo-Adressen anscheinend öfters vorkommt.

Nur im Mail Delivery Report, der an ABC geschickt wird, aber das muss ja so sein.

Entschuldige die blöde Frage. Was meinst du damit?

Da ABC eine Aliasadresse ist, und Evolution mir die gesendeten Mails von Aliasadressen nicht im Gesendet Ordner anzeigt, mache ich das mit BCC an meine posteo Hauptadresse (im Beispiel relaxo@posteo.de)

Bei manchen E-Mail-Provider kann man seine E-Mails nicht nur mittels eines auf dem PC installierten E-Mail-Client-Programms senden und empfangen, sondern man kann zusätzlich noch in einem Browser direkt auf den Server zugreifen. Bei Microsoft Exchange Servern heißt die URL meistens email.domain.tld/owa - wobei „owa“ für „online web access“ steht. Bei anderen E-Mail-Providern heißt die URL webmail.domain.tld.

Ich kenne Evolution nicht. Aber ich halte es fast für nicht vorstellbar, dass dieser Client die von einer Alias-Adresse gesendeten E-Mails nirgends anzeigt. Das würde ja bedeuten, dass der Client ohne nachzufragen Daten löscht, denn das E-Mail von der Alias-Adresse ist ja „da“, bis es an den Postausgangsserver übertragen wurde - was ja korrekterweise heißt: Es ist da, bis es der Postausgangsserver auf Deinem PC gelesen hat - zumindest sofern Evolution ein echter E-Mail-Client ist, also ein Programm, das E-Mails lokal auf Deinem Rechner speichert und verarbeitet. Anders wäre es, wenn Evolution nur eine App ist, also eine Schnittstelle, die Deinen Rechner - wie ein Browser - direkt mit dem Server verbindet, also letztlich wie ein Webmail-Account funktioniert.

Die spannende Frage ist, was im Header von so einem E-Mail steht, das von einer Alias-Adresse versendet wurde. Steht da nur im FROM-Feld die Alias-Adresse drin oder gibt’s darin auch die Zeile MAIL FROM? Im Logfile des Clients bzw. des Servers müsste die Zeile auf jeden Fall stehen.

Ja. So was wie Thunderbird. Es kann durchaus sein, dass ich da etwas falsch konfiguriert habe.

Da steht die Absenderadresse (ABC@posteo) und die Empfänger Mailadresse.

Trotz allem ist mir noch immer ein Rätsel, wie die BCC Adresse in den Mailer der Firma kommt. Obwohl mir bestätigt wurde, dass sie keine Mail mit der BCC-Adresse bekommen hat.

Wenn nur explizit nach BCC gesucht wurde und für die E-Mail an die Firma eine Alias-Adresse der BCC-Adresse verwendet wurde, kann man noch schauen, ob die BCC-Adresse bei der E-Mail an web.de unter einem Header authenticated-by o.ä. auftaucht. Manche Provider leaken hier die Hauptadresse.

Nein an Web.de war nur der Test, was in den Headern übersendet wird.
Also nochmal, da es verzwickt ist.
ABC@posteo mit BBC an Relaxo@posteo.de an Firma, die mir ungefragt einen Newsletter an ABC@posteo sendete.
Dann kam wieder ein Newsletter, aber an die BCC Adresse.
→ Unklar, wie die BCC Adresse in den Newsletterverteiler kam, da ich an Firma nie eine Mail mit der Adresse Ralaxo@posteo sendete.

Dann auf deinen Rat hin, von ABC@posteo mit Relaxo@posteo.de als BCC eine Testmail an eine meiner Spam@web.de geschickt. → Header anzeigen lassen aus Posteingang der Spam@web.de (von ABC@posteo mit BCC) und im Header war nur ABC@posteo. angezeigt. Die BCC Adresse nicht.

EDIT: ABC@posteo.de ist die Aliasadresse Relaxo@posteo.de ist die Hauptadresse mir der man sich bei Posteo auch einloggen muss.