Jabber/XMPP: Mailbox.org startet Instant-Messaging-Service

Kunden des Mailanbieters Mailbox.org können künftig ihr Benutzerkonto auch als Jabber-Account nutzen. Der Berliner Anbieter stellt dafür künftig einen Server zur Verfügung, der Chats mittels XMPP-Protokoll erlaubt. Auch die Kommunikation mit Nutzern anderer Jabber-Server ist damit möglich.

Eine spezielle Registrierung ist nicht nötig: Um den Service zu nutzen, müssen nur ein beliebiger Jabber-Client installiert und die Mailadresse und das Passwort des bisherigen Mailbox.org-Accounts als Zugangsdaten konfiguriert werden. Empfohlen werden dabei die Programme Pidgin (Linux/Windows) und Adium (OS X).

Schutz durch DANE/DNSSEC

Die Zertifikate des Servers werden durch DANE/DNSSEC abgesichert. Das nützt allerdings nur begrenzt etwas, denn bislang prüft kein verbreiteter Jabber-Client die Zertifikate über DANE. Mailbox.org bewirbt den Service als Ende-zu-Ende-Verschlüsselung. Allerdings ist es für die Ende-zu-Ende-Verschlüsselung mittels des OTR-Protokolls unerheblich, welcher Jabber-Server genutzt wird; dies ist alleine Sache des Clients.

Das OTR-Protokoll gilt als sehr sicher und bietet automatisch Forward Secrecy. Das bedeutet, dass selbst im Falle eines später kompromittierten Schlüssels Nachrichten, die in der Vergangenheit verschickt wurden, weiterhin sicher sind. Außerdem hat OTR eine Eigenschaft namens Plausible Deniability (Abstreitbarkeit). Dadurch ist es später nicht möglich, nachzuweisen, dass ein bestimmter Nutzer eine bestimmte Nachricht verschickt hat.

Einen Nachteil hat die Verschlüsselung mit OTR: Sie funktioniert nur, wenn beide Kommunikationspartner gerade online sind. Offlinenachrichten können nur unverschlüsselt verschickt werden. Das hat einen technischen Hintergrund und steht im Zusammenhang mit der Implementierung von Forward Secrecy. Modernere Protokolle wie beispielsweise das Axolotl-Protokoll von Textsecure sind auch in der Lage, Offlinenachrichten mittels Forward Secrecy zu schützen, anders als in OTR.

Andere Anbieter haben Jabber abgeschaltet

Das XMPP-Protokoll, umgangssprachlich als Jabber bezeichnet, ist ein von der IETF standardisiertes Protokoll für Instant-Messaging-Dienste. Dabei können auch unterschiedliche Jabber-Server miteinander kommunizieren. In letzter Zeit war Jabber eher auf dem Rückzug. Einige Anbieter, die früher Jabber angeboten hatten, darunter GMX und Web.de, hatten ihre Jabber-Server wieder abgeschaltet.

Nachtrag vom 23. Februar 2015, 18:06 Uhr

Wir hatten ursprünglich in diesem Artikel geschrieben, dass Mailbox.org nur verschlüsselte Logins zulasse. Von einem Mitarbeiter der Firma Mail.de wurden wir darauf hingewiesen, dass das nicht stimme.

Wir haben daraufhin Mailbox.org kontaktiert und konnten es aufklären: Die Server liefen noch mit einer alten Konfiguration, die ein unverschlüsseltes Login erlaubte. Am Sonntag wurde diese Konfiguration aktualisiert und seitdem ist nur noch ein verschlüsseltes Login möglich.

Weiterhin wurden wir von Mail.de gebeten, darauf hinzuweisen, dass deren Angebot ebenfalls einen Jabber-Server beinhaltet, der auch nur verschlüsselte Logins erlaubt.