Abo
  • Services:
Anzeige
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard.
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de)

STARTTLS: Keine Verschlüsselung mit der SPD

Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard.
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de)

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.

Der E-Mail-Anbieter Posteo hat vor einigen Tagen ein neues Feature eingeführt: Eine TLS-Garantie für den Mailversand. Nutzer können damit festlegen, dass sie Mails nur zustellen möchten, wenn der Zielserver die Übertragung mittels des Verschlüsselungsstandards STARTTLS unterstützt.

Anzeige

Praktisch alle relevanten Mailanbieter unterstützen inzwischen STARTTLS für das SMTP-Protokoll zwischen den Mailservern. Im Zuge der NSA-Affäre hatten auch die großen deutschen Mailanbieter diese Technologie eingeführt. Die Spezifikation für STARTTLS zwischen Mailservern - RFC 3207 - stammt bereits aus dem Jahr 2002.

Eigentlich sollte man daher erwarten, dass die Einführung eines derartigen Features keine großen Probleme bereitet. Doch Posteo-Nutzer konnten anschließend an manche Domains keine Mails mehr verschicken, etwa an die Domain der SPD (spd.de) - oder an die Internetanbieter Congstar und KabelBW. An Posteo lag das nicht: Die Funktion tat genau, was sie sollte - sie verhinderte den Versand an Mailserver, die keine Transportverschlüsselung anbieten. Schuld sind in dem Fall vielmehr die Betreiber der Zielmailserver, die offenbar selbst grundlegende Sicherheitstechnologien nicht unterstützen.

"Wir haben auf die IT der SPD keinen Einfluss", schreibt Posteo auf seiner Webseite. "Sie können sich aber an den Parteivorstand wenden, dem diese Domain laut DENIC gehört - und der für sie verantwortlich ist."

STARTTLS sinnvoll, aber nicht ausreichend

Dass die STARTTLS-Verschlüsselung sinnvoll ist, um das Mitlesen von Nachrichten zu erschweren, dürfte unstrittig sein. Allerdings hat die momentane Lösung einige Haken, über die man sich im Klaren sein soll. In aller Regel werden die Zertifikate der Mailserver nicht geprüft. Auch kann ein aktiver Angreifer das STARTTLS-Kommando aus der Verbindung schlicht herausfiltern und damit eine unverschlüsselte Verbindung erzwingen. Einer Untersuchung der Universität Michigan zufolge kommt das in der Praxis durchaus vor. Das Entfernen des STARTTLS-Kommandos würde durch die Posteo-Technologie auffallen und eine Mail würde nicht verschickt werden, aber mittels eines selbstsignierten Zertifikats könnte ein Man-in-the-Middle-Angreifer weiterhin die Verbindung belauschen. In seiner aktuellen Form schützt STARTTLS auf SMTP-Ebene daher nur gegen passive Lauschangriffe.

Es gab bereits verschiedene Bemühungen, eine bessere Absicherung einzuführen, allerdings konnte sich bislang keine davon durchsetzen. Das auf DNSSEC basierende DANE wird zwar von Posteo unterstützt, allerdings sonst von kaum jemandem. Die großen Mailanbieter wie Google, Yahoo und Microsoft haben bislang kein Interesse an DANE gezeigt. Mehr Aussicht auf Erfolg dürfte ein neuer Standard namens SMTP MTA Strict Transport Security haben. An der Entwicklung sind mehrere große Mailanbieter beteiligt. Allerdings befindet sich dieser neue Standard noch im Entwurfsstadium.


eye home zur Startseite
rommudoh 24. Jul 2016

Geht das auch als Privatkunde? Oder nur im Business-Tarif?

Anonymer Nutzer 23. Jul 2016

Zumal man das dann auch problemlos mit dem Proxy rausfiltern kann.

Milber 23. Jul 2016

Ich weiß schon warum das so ist: dort arbeiten die gleichen, arroganten ITler wie die...

Carl Weathers 22. Jul 2016

Nee, der Herr Watergate. Das mit dem Hotel ist nur ein Zufall.

Tautologiker 22. Jul 2016

Ja, DNSSEC ist eigentlich die einzige vernünftige Lösung, um *sicher* die Authentizität...



Anzeige

Stellenmarkt
  1. ING-DiBa AG, Nürnberg
  2. Salzgitter Flachstahl GmbH, Salzgitter
  3. Vodafone Kabel Deutschland GmbH, Unterföhring
  4. Daimler AG, Germersheim


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Django, Elysium, The Equalizer, White House Down, Ghostbusters 2)
  3. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Delid Die Mate 2

    Prozessoren köpfen leichter gemacht

  2. Rückzieher

    Assange will nun doch nicht in die USA

  3. Oracle

    Critical-Patch-Update schließt 270 Sicherheitslücken

  4. Android 7.0

    Samsung verteilt Nougat-Update für S7-Modelle

  5. Forcepoint

    Carbanak nutzt Google-Dienste für Malware-Hosting

  6. Fabric

    Google kauft Twitters App-Werkzeuge mit Milliarden Nutzern

  7. D-Link

    Büro-Switch mit PoE-Passthrough - aber wenig Anschlüssen

  8. Flash und Reader

    Adobe liefert XSS-Lücke als Sicherheitsupdate

  9. GW4 und Mont-Blanc-Projekt

    In Europa entstehen zwei ARM-Supercomputer

  10. Kabelnetz

    Vodafone stellt Bayern auf 1 GBit/s um



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Switch Eltern bekommen totale Kontrolle per App
  2. Nintendo Switch erscheint am 3. März
  3. Nintendo Switch Drei Stunden Mobilnutzung und 32 GByte interner Speicher

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

  1. Re: Wie ist das bei AMD?

    Moe479 | 04:43

  2. Re: Warum dann überhaupt noch den Heatspreader...

    kelzinc | 03:37

  3. Re: Ekelhafte Haltung der anderen Poster hier...

    teenriot* | 03:31

  4. Re: Der Typ ist und bleibt eine Vakuumpumpe

    teenriot* | 03:28

  5. Re: Golem.de emails in den BND Leaks

    teenriot* | 03:27


  1. 18:28

  2. 18:07

  3. 17:51

  4. 16:55

  5. 16:19

  6. 15:57

  7. 15:31

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel