image

Beveiligingsexperts zweren bij 20-jaar oude e-mailclient Mutt

maandag 7 september 2015, 17:04 door Redactie, 22 reacties

Internetgebruikers krijgen regelmatig het advies om de meest recente software te gebruiken, maar in het geval van e-mailclients zweren sommige beveiligingsexperts bij het 20-jaar oude Mutt. Mutt is een kleine tekstgebaseerde e-mailclient voor Unix-systemen. De laatste stabiele versie dateert van 9 juni 2007, hoewel er vorige week nog een nieuwe previewversie verscheen.

Mutt kenmerkt zich vooral door de eenvoud. De software ondersteunt geen HTML of e-mails met JavaScript. Het is ook voor deze reden dat beveiligingsexperts voor Mutt kiezen. "Eenvoud is security", zegt Marek Tuszynski van het Tactical Technology Collective tegenover Vice Magazine. Tools die vanaf de command line draaien kenmerken zich door een eenvoudiger ontwerp, minder regels code en de afwezigheid van kwetsbare code zoals Java of Flash. Daardoor zullen dit soort programma's in het algemeen minder bugs bevatten en stabieler zijn.

Beveiligingsonderzoeker Christopher Soghoian stelt dat hij niet wil dat zijn e-mailclient ook de rendering engine van een webbrowser bevat of JavaScript kan verwerken. "Hoe kleiner het aanvalsoppervlak des te beter", zo laat hij weten. Mutt bestaat uit "slechts" 100.000 regels code. Veel minder dan de 14 miljoen regels van Firefox en de 17,4 miljoen van Chromium, de opensourcebrowser die de basis voor Google Chrome vormt. Vanwege het spartaanse uiterlijk en werking is het gebruik van command line tools zoals Mutt vooral beperkt tot technische gebruikers, ook al bieden ze meer veiligheid dan de programma's waar de massa's mee werken.

Reacties (22)
07-09-2015, 17:55 door [Account Verwijderd] - Bijgewerkt: 07-09-2015, 17:56
[Verwijderd]
07-09-2015, 18:08 door Anoniem
Mooi stukje software waar iets als thunderbloat niet tegen op kan. Het doet uitsluitend waar het voor bedoeld is; mail lezen ofwel plaintekst ophalen van een server en deze naar het scherm schrijven. Super dat de ontwikkelaar er niet het bijltje bij neergooit omdat er cosmetisch mooiere producten zijn; niet iedereen vind eye candy van toegevoegde waarde.

Het 23 jaar oude Lynx is ook een voorbeeld van functionaliteit; aleen werkt het bij de meeste sites niet meer omdat die meer bagger code gebruiken dan nuttige tekst.
07-09-2015, 18:39 door Anoniem
Ik gebruik sinds begin '90 jaren Pegasus Mail. Het ziet er wat spartaans uit, maar doet waarvoor het gemaakt is.
Geen toeters en bellen, maar een aantal ingebouwde veiligheidsfunties.
Geen zelfstartende exe, scripts etc. Alles opgeslagen in platte tekst.
Betreft het een mail, die een ander niets aangaat, dan is er een ingebouwde versleutelroutine. Stuur de sleutel via een ander niet-internetkanaal bv sms, dan hebben diverse gluurders het voor het nakijken.

Links:
https://nl.wikipedia.org/wiki/Pegasus_Mail
http://www.pegasusmail.nl/index.php
07-09-2015, 18:59 door Ron625
Nu krijg ik heimwee naar Agent en Free-Agent ......
07-09-2015, 20:07 door Anoniem
Je kan met mutt gewoon elinks in je mailcap aanroepen en zo html renderen.
Verder is het nog steeds de snelste MUA en in combinatie met offlineimap en msmtp rete snel!
07-09-2015, 20:08 door Anoniem
Mutt en slrn, nog steeds dagelijks in gebruik.
Html had nooit maar dan ook nooit in mail mogen zitten.
07-09-2015, 20:08 door Anoniem
de vergelijking is ook een topper. vergelijk de email client mutt die zo weinig mogelijk moet behalve tekst weergeven met een browser. een product dat juist zoveel mogelijk moet kunnen.
07-09-2015, 21:57 door Anoniem
Door Anoniem: de vergelijking is ook een topper. vergelijk de email client mutt die zo weinig mogelijk moet behalve tekst weergeven met een browser. een product dat juist zoveel mogelijk moet kunnen.
Ga ze eens de kost geven die e-mail tegenwoordig met een browser uitlezen. Dat is anno 2015 heel normaal.
Ook bijv. e-mailclient Thunderbird is op de Firefoxbrowser gebaseerd.
De vergelijking van mutt met browsers is dus helemaal zo gek nog niet.

De vraag die dan nog overblijft is:
zou je voor e-mailgebruik niet liever een eenvoudige e-mailclient willen gebruiken i.p.v. je browser?

En "mutt" mag dan goed werken voor linux-achtige omgevingen maar
bestaat er ook zoiets voor Windows dat net zo vertrouwd is, en dat ook goed onderhouden is?
Is dat misschien Pegasus mail? Of bestaat er nog iets beters?

Goeroehoedjes
08-09-2015, 00:48 door Reinder - Bijgewerkt: 08-09-2015, 00:49
Het is natuurlijk allemaal waar wat ie zegt, er is geen speld tussen te krijgen, alleen het is zo zinloos allemaal. Het is als zeggen dat je fiets veiliger is als je hem in je afgesloten kelder laat staan en hem niet 's nachts aan een lantaarnpaal in een achterbuurt van Rotterdam laat staan. Leuk en waar, maar daarvoor bezit je geen fiets. Mensen die genoegen nemen met de functionaliteit van Mutt, en die dat kunnen vinden, installeren en configureren, zijn niet de mensen die met Firefox of Chrome uberhaupt veel gevaar lopen. Nog afgezien ervan dat browsers niet primair bedoeld zijn voor het lezen van mail, maar voor het bekijken van websites en waar dus ook een heel ander pakket van eisen aan vast hangt. En daarnaast is er ook nog het punt dat Mutt niet de functionaliteit bied die de gemiddelde gebruiker verwacht van een mailclient, namelijk dat 'ie gewoon z'n mail kan lezen, inclusief de linkjes naar de kattenfoto's van zijn nichtje en het html formaat van zijn moeder. En als laatste, als ik toch aan het klagen ben, is de stelling "beveiligingsexpert zweren bij mutt" ook onzin, er zijn genoeg beveiligingsexperts die helemaal geen Mutt gebruiken maar andere beproefde oplossingen, zoals outlook en telnet naar poort 110.
08-09-2015, 03:23 door Anoniem
...telnet naar poort 110
Liever niet. Zo kan Tapsterk meekijken.
08-09-2015, 03:36 door Anoniem
Hier gebruik ik nog steeds Eudora. (betaalde versie).
Geen flash of rare HTML code in mailtjes.
Krachtig en eenvoudig. (en échte ellende verwijder ik op voorhand met mailwasher ;)
08-09-2015, 07:50 door Millie0111 - Bijgewerkt: 08-09-2015, 07:54
Door Anoniem: de vergelijking is ook een topper. vergelijk de email client mutt die zo weinig mogelijk moet behalve tekst weergeven met een browser. een product dat juist zoveel mogelijk moet kunnen.
Viel mij ook meteen op; appels en peren lijken nog meer op elkaar...
Verder denk ik met weemoed terug aan Eudora, mijn allereerste e-mail client.
<edit> Ik bedoel de versie die ik begin jaren '90 op mijn Euronet account gebruikte... </edit>
08-09-2015, 09:04 door johanw
Door Anoniem:dan is er een ingebouwde versleutelroutine. Stuur de sleutel via een ander niet-internetkanaal bv sms, dan hebben diverse gluurders het voor het nakijken.
Dat is wel heel antiek, daar is nu juist public-key cryptografie voor uitgevonden. En als je door de politie getapt wordt luisteren die zowel je gsm als je internet af dus dan hebben ze je sleutel ook.
08-09-2015, 09:17 door Anoniem
Men vergelijkt regelscode in een email client met regelscode in twee browsers?

Anyway, opendeuren journalistiek...
08-09-2015, 09:23 door Anoniem
Je moet jezelf afvragen...
Waar heb ik E-mail voor?
Heb ik E-mail voor flashy dingetjes die 1000 tot 100.000 x de bandbreedte verbruiken van de daadwerkelijke boodschap?
Of heb ik E-mail voor de boodschap?

Vandaag een E-mail ontvangen. De boodschap was "Which meeting do you refer to?". 30 bytes waard aan data. wat vervolgens verpakt wordt in een bericht van 54kb? Waar zijn we nu helemaal mee bezig?
En dit is nog een klein bericht...

We zijn zo'n sloddervossen op digitaal gebied geworden...
Als je een kromme analogie zou gebruiken, zou je dit kunnen vergelijken met het kopen van een auto voor een flesje cola, en de auto weggooien.
Dan denk je 'wat een mafkees'... Maar dat is wat er elke dag gebeurt op internet. En voor elke E-mail, en god weet nog wat meer voor overbodige troep deze verhoudingen gelden.
08-09-2015, 11:43 door Anoniem
Ik denk niet dat deze beveiligingsexperts ook daadwerkelijk de versie van Mutt uit 1995 draaien. Zij draaien natuurlijk een veel recentere versie. Om dan te zeggen dat zij de 20 jaar oude e-mail client prefereren is overdreven.
Ter vergelijking: de eerste versie van Microsoft Outlook is uit 1992, dus we kunnen stellen dat bedrijven de 23-jaar oude e-mail client Outlook prefereren. Of de eerste versie van Mozilla Thunderbird stamt uit 2003, dus veel gebruikers zweren bij de 12-jaar oude e-mail client Thunderbird.

De versie van Mutt die ik draai is gewoon van 31 Augustus (Mutt 1.5.24), dus voor mij is het de 1-week-oude e-mail client Mutt.
08-09-2015, 13:12 door Anoniem
Door Anoniem: Ik gebruik sinds begin '90 jaren Pegasus Mail. Het ziet er wat spartaans uit, maar doet waarvoor het gemaakt is.
Geen toeters en bellen, maar een aantal ingebouwde veiligheidsfunties.
Geen zelfstartende exe, scripts etc. Alles opgeslagen in platte tekst.
Betreft het een mail, die een ander niets aangaat, dan is er een ingebouwde versleutelroutine. Stuur de sleutel via een ander niet-internetkanaal bv sms, dan hebben diverse gluurders het voor het nakijken.

Links:
https://nl.wikipedia.org/wiki/Pegasus_Mail
http://www.pegasusmail.nl/index.php

Als ik me niet vergis ook geen (secure) imap ondersteuning, iets dat Windows mailclients als thunderbird dan weer wel hebben. Dat is jammer want zo wordt je toch weer gedwongen de bloatware van Mozilla te gebruiken.
08-09-2015, 15:47 door Anoniem
"Als ik me niet vergis ook geen (secure) imap ondersteuning, iets dat Windows mailclients als thunderbird dan weer wel hebben. Dat is jammer want zo wordt je toch weer gedwongen de bloatware van Mozilla te gebruiken."
This tutorial will show you how to configure an IMAP email account with SSL in Pegasus mail:
http://www.youtube.com/watch?v=5wFPYTw-L3k

Anders nog iets? ;-)
08-09-2015, 15:53 door Anoniem
Door Muria:Ik ga zelf echter eerder voor de nog veiliger oplossing: tegels met uitgehouwen tekst met aangetekende bezorging.

Je kunt niet bij de postbode aangeven dat je alleen aangetekende bezorging wilt. Als er dus een spam aanval uitgevoerd wordt, ben je kapitalen kwijt aan kosten om je junk folder te kunnen legen.

Peter
08-09-2015, 16:39 door Anoniem
Door Anoniem:
Door Muria:Ik ga zelf echter eerder voor de nog veiliger oplossing: tegels met uitgehouwen tekst met aangetekende bezorging.

Je kunt niet bij de postbode aangeven dat je alleen aangetekende bezorging wilt. Als er dus een spam aanval uitgevoerd wordt, ben je kapitalen kwijt aan kosten om je junk folder te kunnen legen.

Peter
Spam aanval?... Hoezo?
Het kost in de eerste plaats grof geld om de tegels aan te schaffen, te bewerken en te laten bezorgen.
Spam wordt juist veroorzaakt omdat e-mailtjes sturen zo gemakkelijk en goedkoop is.
Het "uitgehouwen tegel"-idee lost dus ook meteen het spamprobleem op. :-)
08-09-2015, 21:40 door Anoniem
Door Anoniem:
"Als ik me niet vergis ook geen (secure) imap ondersteuning, iets dat Windows mailclients als thunderbird dan weer wel hebben. Dat is jammer want zo wordt je toch weer gedwongen de bloatware van Mozilla te gebruiken."
This tutorial will show you how to configure an IMAP email account with SSL in Pegasus mail:
http://www.youtube.com/watch?v=5wFPYTw-L3k

Anders nog iets? ;-)

...Een guide hoe dat met TLS lukt ;-)

Maar serieus, bedankt voor de tip; heb Pegasus in het verleden genegeerd vanwege het gebrek aan secure IMAP. Nu ondersteund zelfs Mercury Mail het. Top; Mozilla spullen waren namelijk aan een waardig alternatief toe. Nu nog TLS en PGP support erin en het programma is de perfecte mailclient voor Windows.
09-09-2015, 13:02 door Anoniem
Nu nog TLS en PGP support erin en het programma is de perfecte mailclient voor Windows.
In ieder geval bestaan er plugins voor PGP-support: http://www.pmail.com/links_enc.htm

En ik zag dat er net een nieuwe versie van Mercury mail uit is (v 4.80), met vermelding van o.a. deze realease note:
"All Mercury modules that support secure connections using SSL/TLS now use the industry-standard OpenSSL libraries to do so"
http://www.pmail.com/m32_480.htm

Klinkt dat hoopvol of wel? :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.