L'extensió Torbutton instal·lada a amnesia és incompatible amb Icedove (Thunderbird), l'adreça IP real de l'ordinador es revela al repetidor SMTP que s'utilitza per enviar correus electrònics.

Impacte

Quan s'utilitza Icedove per enviar correus electrònics, l'adreça IP real de l'ordinador es revela al repetidor SMTP, que normalment l'anota en una capçalera Rebut: dins del correu electrònic de sortida. Per tant, aquesta informació privada es divulga a:

• els administradors del repetidor SMTP;
• qualsevol persona que sigui capaç de llegir aquest correu electrònic enviat, inclosos: qualsevol persona a qui s'enviï el correu electrònic, diversos administradors de servidors de xarxa i de correu electrònic.

Quan s'utilitza una connexió a Internet amb NAT, la IP revelada és una de xarxa local (per exemple, 192.168.1.42), que normalment no revela massa. D'altra banda, quan us connecteu directament a Internet, per exemple utilitzant un mòdem PPP o DSL i sense encaminador, la IP revelada mostra realment la ubicació de l'usuari d'amnesia.

Solució

Actualitzeu a amnesia 0.4.1, que es llança amb Claws Mail en lloc d'Icedove, i establiu les preferències següents a ~/.claws-mail/accountrc per a cada compte:

    set_domain=1
    domain=localhost

Vegeu #6119 per a més detalls.

Mitigació

El millor és evitar utilitzar Icedove (Thunderbird) en amnesia fins que s'alliberin imatges fixes. Si no és possible:

• Utilitzeu amnesia darrere d'una connexió a Internet amb NAT, dins d'una LAN que utilitzi adreces IP generalitzades.
• Utilitzeu un repetidor SMTP fiable i amigable amb la privadesa que no anoti l'adreça IP del client enlloc, especialment a les capçaleres dels correus electrònics.

Tingueu en compte que l'ús de GnuPG no soluciona aquest problema en absolut: GnuPG només encripta el cos dels correus electrònics, les capçaleres dels correus sempre es mantenen clares.

Versions afectades

Qualsevol versió d'amnesia fins a la versió 0.3 (inclosa). L'amnesia 0.4 no es veu afectada.