Abo
  • Services:

SMTP STS: Bessere Transportverschlüsselung zwischen Mailservern

Ein Entwurf für einen neuen Standard soll die Kommunikation zwischen Mailservern auf SMTP-Ebene besser absichern. Zwar kann man die auch jetzt schon verschlüsseln, aber für aktive Angreifer ist es einfach, die Verschlüsselung auszuschalten.

Artikel veröffentlicht am , Hanno Böck
Ein neuer Standard soll für bessere Verschlüsselung zwischen Mailservern sorgen.
Ein neuer Standard soll für bessere Verschlüsselung zwischen Mailservern sorgen. (Bild: ItalianLocksmith / Wikimedia Commons/CC-BY-SA 3.0)

Mailserver kommunizieren untereinander über das SMTP-Protokoll, das klassischerweise unverschlüsselt ist. Mit STARTTLS-Erweiterung ist es zwar möglich, die SMTP-Kommunikation zu verschlüsseln, aber dies hat in der bisherigen Form einige Haken. Für einen Angreifer, der den Datenverkehr manipulieren kann, ist es trivial möglich, die Verschlüsselung auszuschalten. Auch wird die Gültigkeit der TLS-Zertifikate üblicherweise nicht geprüft, da oft selbstsignierte Zertifikate zum Einsatz kommen. Ein Entwurf für einen neuen Standard mit dem Namen SMTP Strict Transport Security (SMTP STS) versucht, hier nun Abhilfe zu schaffen.

Stellenmarkt
  1. Landeshauptstadt Stuttgart, Stuttgart
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Die Verschlüsselung mittels STARTTLS bietet bislang zwar einen Schutz gegen rein passives Belauschen der Verbindung, aber gegen aktive Angreifer ist sie völlig nutzlos. Es gab bereits in der Vergangenheit verschiedene Versuche, diese Lücke zu schließen, doch keine der bisherigen Lösungen konnte sich durchsetzen.

Bisherige Ansätze konnten sich nicht durchsetzen

Die umstrittene Initiative "E-Mail Made in Germany" nutzt ein eigenes proprietäres Verfahren, um den Datenverkehr zwischen den Mailservern abzusichern. Doch dieses Verfahren kann nur von den beteiligten Unternehmen genutzt werden. Um teilzunehmen ist eine teure TÜV-Zertifizierung nötig. Ein Versuch der US-Bürgerrechtsorganisation EFF, SMTP besser abzusichern, kam bisher nicht aus dem Experimentierstadium.

Einige Unternehmen propagieren das DANE-Verfahren, das auf DNSSEC basiert, um Zertifikate zu prüfen. Doch dass DANE jemals in großem Maßstab zum Einsatz kommt, erscheint unwahrscheinlich. Aus den Reihen großer IT-Unternehmen und von IT-Sicherheitsspezialisten gab es immer wieder heftige Kritik an DNSSEC: zu kompliziert, schlecht designt, zahlreiche Probleme bei der Sicherheit und beim Deployment. Bisher nutzt nur eine Handvoll kleinerer Mailanbieter DANE, die meisten davon kommen aus Deutschland.

Große Mailprovider unterstützen SMTP STS

Der neue SMTP-STS-Standard dürfte deutlich bessere Chancen haben, auch praktisch von den großen E-Mail-Anbietern umgesetzt zu werden. Unter den Autoren des Entwurfs befinden sich Mitarbeiter von Google, Yahoo, Microsoft und 1&1, der Firma, die die insbesondere in Deutschland beliebten Freemail-Angebote Gmx und Web.de betreibt. Wenn alle an SMTP STS beteiligten Firmen den Standard umsetzen, dürfte dies bereits einen Großteil des weltweiten Mailverkehrs erfassen.

Bei SMTP STS wird über DNS eine Policy abgelegt, die dem Sender mitteilt, dass Verbindungen verschlüsselt stattfinden sollen. Die Policy kann entweder über eine HTTPS-Verbindung verifiziert werden oder - alternativ - auch über DANE abgesichert werden. Damit ist eine gewisse Kompatibilität zum bestehenden DANE-System vorgesehen. Die Policy hat eine Gültigkeitsdauer, die mehrere Wochen betragen sollte.

Der Name von SMTP STS ist angelehnt an die Technologie HSTS (HTTP Strict Transport Security), die für HTTPS-Verbindungen zum Einsatz kommt. Doch trotz dieser Namensähnlichkeit unterscheiden sich die beiden Ansätze vom Konzept her. Bei HSTS wird über die bereits abgesicherte HTTPS-Verbindung ein Header mitgeschickt, der dem Browser signalisiert, dass Verbindungen für einen bestimmten Zeitraum nur über HTTPS stattfinden sollen. Es wird also derselbe Kanal genutzt, während SMTP STS über DNS und HTTPS einen anderen Kanal zum Abruf der Policy benutzt.

Da es sich um einen ersten Entwurf handelt, dürfte es noch einige Diskussionen geben, bis dieser verabschiedet wird. Diskutiert wird der Entwurf in der UTA-Arbeitsgruppe der IETF.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. 59,99€ mit Vorbesteller-Preisgarantie
  3. (-20%) 47,99€
  4. (-15%) 23,79€

Anonymer Nutzer 27. Mär 2016

War das ein Redaktionsbeschluss, andauernd immer wieder DNSSEC-Bashing zu betreiben...

Nocta 24. Mär 2016

Ich frage mich trotzdem, wo ihm persönlich ein eigenes Zertifikat mehr Schutz "gegen...

RipClaw 23. Mär 2016

Der Gewinn ist das man über einen zweiten Weg überprüfen kann ob der Server STARTTLS...

Niantic 23. Mär 2016

Ohne sticheln zu wollen, was meinen sie wie viele der leser hier die electronic frontier...


Folgen Sie uns
       


Lenovo Moto G6 - Test

Bei einem Smartphone für 250 Euro müssen sich Käufer oft auf Kompromisse einstellen. Beim Moto G6 halten sie sich aber in Grenzen.

Lenovo Moto G6 - Test Video aufrufen
KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  2. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden
  3. KI-Bundesverband Deutschland soll mehr für KI-Forschung tun

Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

    •  /