fix(security): Kritische Sicherheitslücken beheben (SEC-01/02/03/05/08/17/22/26/28)

- SEC-01: Privilege Escalation verhindert — Rollenhierarchie in Create/Update/DeleteUser - SEC-02: Tenant-Isolation in Update/DeleteUser — domain_admin nur eigene Nutzer - SEC-03: IMAP/POP3 Owner-Check via auth.HasRole statt direktem String-Vergleich - SEC-05: Export PDF/ZIP prüft Tenant-Zugehörigkeit vor Dateiausgabe - SEC-08: HKDF-SHA256 trennt JWT-Secret von AES-Key (archivmail-jwt-v1 / archivmail-aes-v1) - SEC-17: handleSecurityFix erfordert requireRole(superadmin) - SEC-22: Mail-ID Regex [0-9a-f]{64} in allen Handlern (Path-Traversal-Schutz) - SEC-26: SMTP Fail-Closed — leere AllowedIPs blockiert alles statt zu erlauben - SEC-28: handleGetRaw — Parse-Fehler bricht ab statt Fallthrough zu Dateizugriff BREAKING: IMAP/POP3/LDAP-Passwörter müssen nach Deploy einmalig neu eingegeben werden (neuer AES-Key). JWT-Sessions laufen ab (einmaliges Re-Login nötig). Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-03-18 00:05:47 +01:00
parent 143db65755
commit 46d7bfe608
6 changed files with 200 additions and 31 deletions
@@ -35,7 +35,8 @@
 | PROJ-20 | Nutzer-Löschung & E-Mail-Verbleib (GoBD-konform) | Deployed | [PROJ-20](PROJ-20-nutzer-loeschung.md) | 2026-03-17 |
 | PROJ-21 | Multi-Mandanten-Fähigkeit (Multi-Tenancy) | In Progress | [PROJ-21](PROJ-21-multi-tenancy.md) | 2026-03-17 |
 | PROJ-22 | LDAP / AD – Web-GUI Konfiguration & Test | Deployed | [PROJ-22](PROJ-22-ldap-webgui.md) | 2026-03-17 |
+| PROJ-23 | Pro-Mandant LDAP / Active Directory (Multi-Tenant Phase B) | Planned | [PROJ-23](PROJ-23-tenant-ldap-pro-mandant.md) | 2026-03-17 |

 <!-- Add features above this line -->

-## Next Available ID: PROJ-23
+## Next Available ID: PROJ-24