Sendo a extensão Torbutton instalada no amnesia incompatível com Icedove (Thunderbird), o endereço IP real do computador é divulgado para o relé SMTP que é usado para enviar e-mail.

Impacto

Ao usar o Icedove para enviar e-mail, o endereço IP real do computador é divulgado ao retransmissor SMTP, que geralmente o escreve em um cabeçalho Recebido: dentro do e-mail de saída. Esta informação privada é, portanto, divulgada a:

• os administradores do relé SMTP;
• qualquer pessoa que seja capaz de ler esse e-mail enviado, incluindo: qualquer pessoa para quem o e-mail seja enviado, vários administradores de redes e servidores de e-mail.

Ao usar uma conexão de Internet com NAT, o IP divulgado é de rede local (por exemplo, 192.168.1.42), que geralmente não revela muito. Por outro lado, ao conectar-se diretamente à Internet, por ex. usando um modem PPP ou DSL e nenhum roteador, o IP divulgado revela verdadeiramente a localização do usuário com amnésia.

Solução

Atualize para amnesia 0.4.1, que vem com Claws Mail em vez de Icedove, e defina as seguintes preferências em ~/.claws-mail/accountrc para cada conta:

    set_domain=1

domain=localhost

Consulte #6119 para obter detalhes.

Mitigação

O melhor é evitar o uso do Icedove (Thunderbird) na amnésia até que as imagens fixas sejam liberadas. Se não for possível:

• Use a amnésia por trás de uma conexão de Internet com NAT, dentro de uma LAN que usa endereços IP generalizados.
• Use uma retransmissão SMTP confiável e amigável à privacidade que não anote o endereço IP do cliente em nenhum lugar, especialmente em cabeçalhos de e-mail.

Observe que o uso do GnuPG não resolve esse problema: o GnuPG criptografa apenas o corpo do email, os cabeçalhos do email são sempre mantidos claros.

Versões afetadas

Qualquer liberação de amnésia até 0,3 inclusive. amnésia 0,4 não é afetada.