Thunderbird absichern

[sergej2018]

Hallo zusammen,

mir geht's darum, wie man TB am sichersten nutzen kann.
Klar: Nicht jede Mail einfach öffnen, nicht jeden Anhang einfach ausführen... die Basics sind hoffentlich klar

Mir fallen zwei Wege ein:

a) TB mit firejail nutzen: Möglich, aber auch umständlich, zB möchte man manchmal ja auch eine Datei an eine Mail anhängen oder einen Anhang speichern.
b) TB in einer VM betreiben: Macht's zumindest etwas einfacher, letztlich ist es aber auch nur dann sicherer, wenn zwischen Hostsystem und TB nicht permanente Verbindung besteht.

Was meint ihr, bzw. wie macht ihr's so?

[RobertDebiannutzer]

Ich nutze firejail und Tipps von hier: https://www.kuketz-blog.de/empfehlungsecke/#thunderbird
Von den dort angesprochenen Tipps nutze ich im Moment:
1. die user.js des privacy-handbuchs
2. "Plain Text" als Standardansicht für mails
3. das Add-on "Allow HTML Temp"
Standardmäßig (unter stretch) erlaubt firejail den Zugriff auf ~/Downloads.

[sergej2018]

Habe vorhin irgendwo gelesen, TB 60 funktioniere nicht mit firejail.
Ist das wirklich so?
Denn selbst im stable-Zweig ist ja eine 60er-Version.

[RobertDebiannutzer]

Also bei mir funktioniert es. Ich nutze allerdings auch firejail aus stretch-backports (hatte ich vergessen zu erwähnen). Also Version "0.9.58.2-1~bpo9+1". Ob es mit der firejail-Version aus dem normalen stretch-repository funktioniert (also Version "0.9.44.8-2"), weiß ich nicht.

[sergej2018]

Tatsache, es funktioniert bei mir auch

Nun bleibt - in der Standard-Einstellung - zumindest nur der Downloads-Ordner als Einfallstor für Schadsoftware übrig, korrekt?

[RobertDebiannutzer]

Nun bleibt - in der Standard-Einstellung - zumindest nur der Downloads-Ordner als Einfallstor für Schadsoftware übrig, korrekt?

Naja, wie man's nimmt.
Schreiben und lesen kann Thunderbird auch in anderen Ordnern. Da musst Du mal die entsprechenden Dateien in /etc/firejail durchsuchen, dann kannst Du genau sehen, welche Ordner das sind. Aber der Profil-Ordner (also ~/.thunderbird) ist es natürlich auf jeden Fall schonmal. Inwieweit das dann für Schadsoftware ausnutzbar ist - keine Ahnung.
Wenn Du möglichst viele Ordner schützen willst, kannst Du das z.B. mit der Option "--overlay-tmpfs" für firejail erreichen. Zitat aus der Manpage von firejail:

Code: Alles auswählen

       --overlay-tmpfs
              Mount a filesystem overlay on top of the current filesystem. All filesystem modifications are discarded when the sandbox is closed. Directories /run, /tmp and /dev are not covered by the over‐
              lay.  If the sandbox is started as a regular user, nonewprivs and a default capabilities filter are enabled.

              OverlayFS support is required in Linux kernel for this option to work.  OverlayFS was officially introduced in Linux kernel version 3.18.  This option is not available on Grsecurity systems.

              Example:
              $ firejail --overlay-tmpfs firefox

Dann kann firejail zwar (alles?) lesen und schreiben, doch die Änderungen werden nach dem Schließen (mit den oben genannten Ausnahmen) verworfen. Es gibt auch noch andere Alternativen, s. z.B. die ganzen --private-* Optionen. Ein "overlay" macht nicht zwingend Spaß, wenn man Einstellungen speichern bzw. vor allem, wenn man mails lokal speichern möchte. Denn die sind dann nach dem Schließen von thunderbird weg. Also Augen auf!