In der Regel geschieht die E-Mail-Kommunikation heute in drei Schritten:
- Die E-Mail wird vom Client (E-Mail-Programm oder Webclient) an den SMTP-Server des Providers oder der Firma am Arbeitsplatz geschickt.
- Der SMTP-Server des Providers oder der Firma sendet die E-Mail an den zuständigen SMTP-Server des Empfängers, der sie in der Mailbox des Empfängers speichert.
- Der Empfänger holt seine E-Mail mit einem E-Mail-Programm oder per Webmail mit dem Browser aus seiner Mailbox.
Bildergalerie
Damit eine E-Mail auf ihrem Weg nicht mitgelesen wird, muss sie in jedem Schritt verschlüsselt übertragen werden. Ferner muss man beachten, dass ein E-Mail auch mal "Umwege" nehmen kann. Kleinere Firmen, die einen eigenen E-Mail-Server betreiben, haben bei ihrem Provider oftmals einen Backup-MX-Service angemietet. Wenn der Firmenserver einmal nicht erreichbar ist, nimmt der Backup-MX-Server die E-Mail an und leitet sie weiter, wenn der Firmenserver wieder online geht. Auch ein eventueller Umweg muss verschlüsselt ablaufen.
Die Einstellungen in einem E-Mail-Client-Programm haben nur Einfluss auf den ersten Schritt, also die Übertragung vom Client zum eigenen Server. Ein Beispiel für die Client-Konfiguration von Outlook 2007 findet sich in Bild 3 und Bild 4. Alle gängigen E-Mail-Clients werden auf ähnliche Weise konfiguriert. Die gesicherte Kennwortauthentifizierung in Bild 3 bedeutet, dass nur Username und Password verschlüsselt werden. Auf die Verschlüsselung des Inhalts hat diese Einstellung keine Auswirkung.
Um auch den Inhalt zu verschlüsseln, muss man Einstellungen analog zu Bild 4 vornehmen. In Outlook 2007 befindet sich der Dialog unter "Erweiterte Einstellungen" im Bereich "Extras – Konteneinstellungen" und ist nicht leicht zu finden.
Insbesondere kritisch ist Schritt 2. Weder Absender noch Empfänger haben einen Einfluss darauf, ob dieser Weg verschlüsselt oder unverschlüsselt gegangen wird. Verschlüsselungseinstellungen im E-Mail-Client bleiben ohne jede Berücksichtigung.
Neueste Kommentare
1 Kommentar zu E-Mail-Provider im Praxistest: Verschlüsselung oft mangelhaft
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
TLS-fähige Mailserver .ch und .li
In einer Studie 2004 wurden im Rahmen einer wissenschaftlichen Arbeit alle Mailserver mit .ch und .li gescannt (471’000 aktive Domänen).
Dabei handelte es sich um 33’000 physikalische Maschinen.
Davon waren gerade mal 5’570 TLS-fähig, von denen hatten ganze 2’510 ein Server-Zertifikat installiert.
Von diesen waren 117 (einhundertsiebzehn !) Zertifikate von einer vertrauenswürdigen CA ausgestellt. Dies entspricht gerade mal 0.04 Promille aller Mailserver.
Diese Erkenntnisse waren sehr bedenklich – sie lassen darauf schliessen, dass im Backbone-Bereich eine Verschlüsselung praktisch nicht stattfindet.
In der Zwischenzeit gibt es sicher viel mehr Server – doch die Anzahl der TLS-fähigen wird wohl immer noch im Promille-Bereich liegen.
siehe auch: http://security.hsr.ch/docs/IW18_KH_EMAIL.pdf
Daraus sieht man, es ist absolut notwendig, aktiv für die Sicherheit seiner Mails besorgt zu sein.