Wer einen eigenen E-Mail-Client wie Outlook oder Thunderbird verwendet, erlebt oft Überraschungen, wenn er seine Kommunikation verschlüsseln möchte. Sobald man die Optionen für Verschlüsselung anklickt, kommt oft keine Verbindung mit dem Server des Providers zustande.
Der Grund dafür ist, dass es zwei verschiedene Methoden gibt, wie die Kommunikation zwischen Client und Server verschlüsselt wird. Hinzu kommt, dass die Anbieter von Client-Software Probleme haben, in den Dialogen die richtigen Begriffe zu finden. Auch die Hilfetexte sind nicht besonders aufschlussreich.
Beide Methoden verwenden SSL/TLS. Der Unterschied besteht darin, zu welchem Zeitpunkt die SSL-Verschlüsselung aufgebaut wird. Ursprünglich wurde bei den E-Mail-Protokollen SMTP, POP3 und IMAP4 so verfahren, wie es bei HTTPS der Fall ist: Die Kommunikation wird über einen anderen TCP-Port geführt, dessen gesamte Kommunikation mit SSL beziehungsweise TLS verschlüsselt ist.
Das ist bei HTTPS, POP3S und IMAPS völlig unproblematisch, wenn man einmal davon absieht, dass für die verschlüsselten Protokolle zusätzliche TCP-Ports von der IANA reserviert werden müssen. Probleme gibt es hingegen bei SMTP. Dieses Protokoll nutzt einen Store-and-Forward-Mechanismus. Die Kommunikation zwischen zwei SMTP-Servern ist vollständig automatisiert.
Der sendende SMTP-Server hat über DNS keine Möglichkeit abzufragen, ob der Empfänger SMTPS unterstützt. Das geht aus den MX-Records nicht hervor. Modernere Protokolle, etwa das VoIP-Protokoll SIP, verwenden SRV-Records. Damit ließe sich im Vorfeld abklären, ob der Empfänger in der Lage ist, eine verschlüsselte Kommunikation aufzubauen.
Ohne diese Information muss der Server des Absenders zunächst versuchen, eine Verbindung über den SMTPS-Port 465 aufzubauen. Wenn der empfangende Server den Verbindungsaufbau ablehnt, kann er die E-Mail unverschlüsselt über Port 25 senden. Da in der Praxis jedoch meist Firewalls eingesetzt werden, die den Verkehr auf ungenutzten Ports einfach ignorieren, muss der Sender beim Verbindungsaufbau an TCP-Port 465 auf einen Time-Out warten.
Für große E-Mail-Provider wie GMX, Hotmail oder Googl Mail ergibt sich das konkrete Problem, dass der Status sehr vieler Verbindungsversuche gleichzeitig verwaltet werden muss. Das ist praktisch nicht durchführbar.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…