Abo
  • Services:
Anzeige
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard.
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de)

STARTTLS: Keine Verschlüsselung mit der SPD

Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard.
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de)

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.

Der E-Mail-Anbieter Posteo hat vor einigen Tagen ein neues Feature eingeführt: Eine TLS-Garantie für den Mailversand. Nutzer können damit festlegen, dass sie Mails nur zustellen möchten, wenn der Zielserver die Übertragung mittels des Verschlüsselungsstandards STARTTLS unterstützt.

Anzeige

Praktisch alle relevanten Mailanbieter unterstützen inzwischen STARTTLS für das SMTP-Protokoll zwischen den Mailservern. Im Zuge der NSA-Affäre hatten auch die großen deutschen Mailanbieter diese Technologie eingeführt. Die Spezifikation für STARTTLS zwischen Mailservern - RFC 3207 - stammt bereits aus dem Jahr 2002.

Eigentlich sollte man daher erwarten, dass die Einführung eines derartigen Features keine großen Probleme bereitet. Doch Posteo-Nutzer konnten anschließend an manche Domains keine Mails mehr verschicken, etwa an die Domain der SPD (spd.de) - oder an die Internetanbieter Congstar und KabelBW. An Posteo lag das nicht: Die Funktion tat genau, was sie sollte - sie verhinderte den Versand an Mailserver, die keine Transportverschlüsselung anbieten. Schuld sind in dem Fall vielmehr die Betreiber der Zielmailserver, die offenbar selbst grundlegende Sicherheitstechnologien nicht unterstützen.

"Wir haben auf die IT der SPD keinen Einfluss", schreibt Posteo auf seiner Webseite. "Sie können sich aber an den Parteivorstand wenden, dem diese Domain laut DENIC gehört - und der für sie verantwortlich ist."

STARTTLS sinnvoll, aber nicht ausreichend

Dass die STARTTLS-Verschlüsselung sinnvoll ist, um das Mitlesen von Nachrichten zu erschweren, dürfte unstrittig sein. Allerdings hat die momentane Lösung einige Haken, über die man sich im Klaren sein soll. In aller Regel werden die Zertifikate der Mailserver nicht geprüft. Auch kann ein aktiver Angreifer das STARTTLS-Kommando aus der Verbindung schlicht herausfiltern und damit eine unverschlüsselte Verbindung erzwingen. Einer Untersuchung der Universität Michigan zufolge kommt das in der Praxis durchaus vor. Das Entfernen des STARTTLS-Kommandos würde durch die Posteo-Technologie auffallen und eine Mail würde nicht verschickt werden, aber mittels eines selbstsignierten Zertifikats könnte ein Man-in-the-Middle-Angreifer weiterhin die Verbindung belauschen. In seiner aktuellen Form schützt STARTTLS auf SMTP-Ebene daher nur gegen passive Lauschangriffe.

Es gab bereits verschiedene Bemühungen, eine bessere Absicherung einzuführen, allerdings konnte sich bislang keine davon durchsetzen. Das auf DNSSEC basierende DANE wird zwar von Posteo unterstützt, allerdings sonst von kaum jemandem. Die großen Mailanbieter wie Google, Yahoo und Microsoft haben bislang kein Interesse an DANE gezeigt. Mehr Aussicht auf Erfolg dürfte ein neuer Standard namens SMTP MTA Strict Transport Security haben. An der Entwicklung sind mehrere große Mailanbieter beteiligt. Allerdings befindet sich dieser neue Standard noch im Entwurfsstadium.


eye home zur Startseite
rommudoh 24. Jul 2016

Geht das auch als Privatkunde? Oder nur im Business-Tarif?

Anonymer Nutzer 23. Jul 2016

Zumal man das dann auch problemlos mit dem Proxy rausfiltern kann.

Milber 23. Jul 2016

Ich weiß schon warum das so ist: dort arbeiten die gleichen, arroganten ITler wie die...

Carl Weathers 22. Jul 2016

Nee, der Herr Watergate. Das mit dem Hotel ist nur ein Zufall.

Tautologiker 22. Jul 2016

Ja, DNSSEC ist eigentlich die einzige vernünftige Lösung, um *sicher* die Authentizität...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen, München
  2. über Tröger & Cie. Aktiengesellschaft, Baden-Württemberg
  3. SICK AG, Karlsruhe
  4. T-Systems International GmbH, München, Leinfelden-Echterdingen


Anzeige
Spiele-Angebote
  1. 349,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  2. Internetsicherheit

    Die CDU will Cybersouverän werden

  3. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  4. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone

  5. XPG SX8000

    Adatas erste PCIe-NVMe-SSD nutzt bewährte Komponenten

  6. UBBF2016

    Telefónica will 2G-Netz in vielen Ländern abschalten

  7. Mögliche Übernahme

    Qualcomm interessiert sich für NXP Semiconductors

  8. Huawei

    Vectoring erreicht bald 250 MBit/s in Deutschland

  9. Kaufberatung

    Das richtige Solid-State-Drive

  10. Android-Smartphone

    Huawei bringt Nova Plus doch nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Original und Fork im Vergleichstest: Nextcloud will das bessere Owncloud sein
Original und Fork im Vergleichstest
Nextcloud will das bessere Owncloud sein
  1. Koop mit Canonical und WDLabs Nextcloud Box soll eigenes Hosten ermöglichen
  2. Kollaborationsserver Nextcloud 10 verbessert Server-Administration
  3. Open Source Nextcloud setzt sich mit Enterprise-Support von Owncloud ab

Rocketlab: Neuseeland genehmigt Start für erste elektrische Rakete
Rocketlab
Neuseeland genehmigt Start für erste elektrische Rakete
  1. Osiris Rex Asteroid Bennu, wir kommen!
  2. Raumfahrt Erster Apollo-Bordcomputer aus dem Schrott gerettet
  3. Startups Wie Billig-Raketen die Raumfahrt revolutionieren

Interview mit Insider: Facebook hackt Staat und Gemeinschaft
Interview mit Insider
Facebook hackt Staat und Gemeinschaft
  1. Systemüberwachung Facebook veröffentlicht Osquery für Windows
  2. Facebook 100.000 Hassinhalte in einem Monat gelöscht
  3. Nach Whatsapp-Datentausch Facebook und Oculus werden enger zusammengeführt

  1. Re: "Macht fast alles anders"

    rasenpfleger | 02:53

  2. Re: So eine Verschwendung von Steuergeldern

    Moe479 | 02:45

  3. Re: o2 Free Tarife betroffen!

    Moe479 | 02:42

  4. Re: rote / blaue pille / pua

    pk_erchner | 02:39

  5. Re: Schickt diesen Irren endlich in Rente!

    Moe479 | 02:37


  1. 19:24

  2. 19:05

  3. 18:25

  4. 17:29

  5. 14:07

  6. 13:45

  7. 13:18

  8. 12:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel