Abo
  • Services:
Anzeige
Ein neuer Standard soll für bessere Verschlüsselung zwischen Mailservern sorgen.
Ein neuer Standard soll für bessere Verschlüsselung zwischen Mailservern sorgen. (Bild: ItalianLocksmith / Wikimedia Commons/CC-BY-SA 3.0)

SMTP STS: Bessere Transportverschlüsselung zwischen Mailservern

Ein neuer Standard soll für bessere Verschlüsselung zwischen Mailservern sorgen.
Ein neuer Standard soll für bessere Verschlüsselung zwischen Mailservern sorgen. (Bild: ItalianLocksmith / Wikimedia Commons/CC-BY-SA 3.0)

Ein Entwurf für einen neuen Standard soll die Kommunikation zwischen Mailservern auf SMTP-Ebene besser absichern. Zwar kann man die auch jetzt schon verschlüsseln, aber für aktive Angreifer ist es einfach, die Verschlüsselung auszuschalten.

Mailserver kommunizieren untereinander über das SMTP-Protokoll, das klassischerweise unverschlüsselt ist. Mit STARTTLS-Erweiterung ist es zwar möglich, die SMTP-Kommunikation zu verschlüsseln, aber dies hat in der bisherigen Form einige Haken. Für einen Angreifer, der den Datenverkehr manipulieren kann, ist es trivial möglich, die Verschlüsselung auszuschalten. Auch wird die Gültigkeit der TLS-Zertifikate üblicherweise nicht geprüft, da oft selbstsignierte Zertifikate zum Einsatz kommen. Ein Entwurf für einen neuen Standard mit dem Namen SMTP Strict Transport Security (SMTP STS) versucht, hier nun Abhilfe zu schaffen.

Anzeige

Die Verschlüsselung mittels STARTTLS bietet bislang zwar einen Schutz gegen rein passives Belauschen der Verbindung, aber gegen aktive Angreifer ist sie völlig nutzlos. Es gab bereits in der Vergangenheit verschiedene Versuche, diese Lücke zu schließen, doch keine der bisherigen Lösungen konnte sich durchsetzen.

Bisherige Ansätze konnten sich nicht durchsetzen

Die umstrittene Initiative "E-Mail Made in Germany" nutzt ein eigenes proprietäres Verfahren, um den Datenverkehr zwischen den Mailservern abzusichern. Doch dieses Verfahren kann nur von den beteiligten Unternehmen genutzt werden. Um teilzunehmen ist eine teure TÜV-Zertifizierung nötig. Ein Versuch der US-Bürgerrechtsorganisation EFF, SMTP besser abzusichern, kam bisher nicht aus dem Experimentierstadium.

Einige Unternehmen propagieren das DANE-Verfahren, das auf DNSSEC basiert, um Zertifikate zu prüfen. Doch dass DANE jemals in großem Maßstab zum Einsatz kommt, erscheint unwahrscheinlich. Aus den Reihen großer IT-Unternehmen und von IT-Sicherheitsspezialisten gab es immer wieder heftige Kritik an DNSSEC: zu kompliziert, schlecht designt, zahlreiche Probleme bei der Sicherheit und beim Deployment. Bisher nutzt nur eine Handvoll kleinerer Mailanbieter DANE, die meisten davon kommen aus Deutschland.

Große Mailprovider unterstützen SMTP STS

Der neue SMTP-STS-Standard dürfte deutlich bessere Chancen haben, auch praktisch von den großen E-Mail-Anbietern umgesetzt zu werden. Unter den Autoren des Entwurfs befinden sich Mitarbeiter von Google, Yahoo, Microsoft und 1&1, der Firma, die die insbesondere in Deutschland beliebten Freemail-Angebote Gmx und Web.de betreibt. Wenn alle an SMTP STS beteiligten Firmen den Standard umsetzen, dürfte dies bereits einen Großteil des weltweiten Mailverkehrs erfassen.

Bei SMTP STS wird über DNS eine Policy abgelegt, die dem Sender mitteilt, dass Verbindungen verschlüsselt stattfinden sollen. Die Policy kann entweder über eine HTTPS-Verbindung verifiziert werden oder - alternativ - auch über DANE abgesichert werden. Damit ist eine gewisse Kompatibilität zum bestehenden DANE-System vorgesehen. Die Policy hat eine Gültigkeitsdauer, die mehrere Wochen betragen sollte.

Der Name von SMTP STS ist angelehnt an die Technologie HSTS (HTTP Strict Transport Security), die für HTTPS-Verbindungen zum Einsatz kommt. Doch trotz dieser Namensähnlichkeit unterscheiden sich die beiden Ansätze vom Konzept her. Bei HSTS wird über die bereits abgesicherte HTTPS-Verbindung ein Header mitgeschickt, der dem Browser signalisiert, dass Verbindungen für einen bestimmten Zeitraum nur über HTTPS stattfinden sollen. Es wird also derselbe Kanal genutzt, während SMTP STS über DNS und HTTPS einen anderen Kanal zum Abruf der Policy benutzt.

Da es sich um einen ersten Entwurf handelt, dürfte es noch einige Diskussionen geben, bis dieser verabschiedet wird. Diskutiert wird der Entwurf in der UTA-Arbeitsgruppe der IETF.


eye home zur Startseite
bjs 27. Mär 2016

War das ein Redaktionsbeschluss, andauernd immer wieder DNSSEC-Bashing zu betreiben...

Nocta 24. Mär 2016

Ich frage mich trotzdem, wo ihm persönlich ein eigenes Zertifikat mehr Schutz "gegen...

RipClaw 23. Mär 2016

Der Gewinn ist das man über einen zweiten Weg überprüfen kann ob der Server STARTTLS...

Niantic 23. Mär 2016

Ohne sticheln zu wollen, was meinen sie wie viele der leser hier die electronic frontier...



Anzeige

Stellenmarkt
  1. Deloitte, verschiedene Standorte
  2. Transgourmet Deutschland GmbH & Co. OHG, Mainz, Riedstadt
  3. Statistisches Bundesamt, Wiesbaden
  4. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden


Anzeige
Spiele-Angebote
  1. 79,98€ + 5€ Rabatt (Vorbesteller-Preisgarantie)
  2. (u. a. Cities: Skylines für 6,66€)
  3. ab 47,99€

Folgen Sie uns
       


  1. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  2. Spieleklassiker

    Mafia digital bei GoG erhältlich

  3. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  4. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  5. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  6. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  7. Die Woche im Video

    Wegen Krack wie auf Crack!

  8. Windows 10

    Fall Creators Update macht Ryzen schneller

  9. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  10. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Krank im Kopf!

    mv1704 | 11:55

  2. Hyperloop

    cicero | 11:53

  3. Re: Darum wird sich Linux nie so richtig durchsetzen

    ve2000 | 11:52

  4. Re: Leider verpennt

    quineloe | 11:49

  5. Re: Empfehlung

    Lapje | 11:44


  1. 11:25

  2. 17:14

  3. 16:25

  4. 15:34

  5. 13:05

  6. 11:59

  7. 09:03

  8. 22:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel