• IT-Karriere:
  • Services:

SMTP STS: Bessere Transportverschlüsselung zwischen Mailservern

Ein Entwurf für einen neuen Standard soll die Kommunikation zwischen Mailservern auf SMTP-Ebene besser absichern. Zwar kann man die auch jetzt schon verschlüsseln, aber für aktive Angreifer ist es einfach, die Verschlüsselung auszuschalten.

Artikel veröffentlicht am , Hanno Böck
Ein neuer Standard soll für bessere Verschlüsselung zwischen Mailservern sorgen.
Ein neuer Standard soll für bessere Verschlüsselung zwischen Mailservern sorgen. (Bild: ItalianLocksmith / Wikimedia Commons/CC-BY-SA 3.0)

Mailserver kommunizieren untereinander über das SMTP-Protokoll, das klassischerweise unverschlüsselt ist. Mit STARTTLS-Erweiterung ist es zwar möglich, die SMTP-Kommunikation zu verschlüsseln, aber dies hat in der bisherigen Form einige Haken. Für einen Angreifer, der den Datenverkehr manipulieren kann, ist es trivial möglich, die Verschlüsselung auszuschalten. Auch wird die Gültigkeit der TLS-Zertifikate üblicherweise nicht geprüft, da oft selbstsignierte Zertifikate zum Einsatz kommen. Ein Entwurf für einen neuen Standard mit dem Namen SMTP Strict Transport Security (SMTP STS) versucht, hier nun Abhilfe zu schaffen.

Stellenmarkt
  1. Holtzmann & Sohn GmbH, Ronnenberg
  2. OEDIV KG, Oldenburg

Die Verschlüsselung mittels STARTTLS bietet bislang zwar einen Schutz gegen rein passives Belauschen der Verbindung, aber gegen aktive Angreifer ist sie völlig nutzlos. Es gab bereits in der Vergangenheit verschiedene Versuche, diese Lücke zu schließen, doch keine der bisherigen Lösungen konnte sich durchsetzen.

Bisherige Ansätze konnten sich nicht durchsetzen

Die umstrittene Initiative "E-Mail Made in Germany" nutzt ein eigenes proprietäres Verfahren, um den Datenverkehr zwischen den Mailservern abzusichern. Doch dieses Verfahren kann nur von den beteiligten Unternehmen genutzt werden. Um teilzunehmen ist eine teure TÜV-Zertifizierung nötig. Ein Versuch der US-Bürgerrechtsorganisation EFF, SMTP besser abzusichern, kam bisher nicht aus dem Experimentierstadium.

Einige Unternehmen propagieren das DANE-Verfahren, das auf DNSSEC basiert, um Zertifikate zu prüfen. Doch dass DANE jemals in großem Maßstab zum Einsatz kommt, erscheint unwahrscheinlich. Aus den Reihen großer IT-Unternehmen und von IT-Sicherheitsspezialisten gab es immer wieder heftige Kritik an DNSSEC: zu kompliziert, schlecht designt, zahlreiche Probleme bei der Sicherheit und beim Deployment. Bisher nutzt nur eine Handvoll kleinerer Mailanbieter DANE, die meisten davon kommen aus Deutschland.

Große Mailprovider unterstützen SMTP STS

Der neue SMTP-STS-Standard dürfte deutlich bessere Chancen haben, auch praktisch von den großen E-Mail-Anbietern umgesetzt zu werden. Unter den Autoren des Entwurfs befinden sich Mitarbeiter von Google, Yahoo, Microsoft und 1&1, der Firma, die die insbesondere in Deutschland beliebten Freemail-Angebote Gmx und Web.de betreibt. Wenn alle an SMTP STS beteiligten Firmen den Standard umsetzen, dürfte dies bereits einen Großteil des weltweiten Mailverkehrs erfassen.

Bei SMTP STS wird über DNS eine Policy abgelegt, die dem Sender mitteilt, dass Verbindungen verschlüsselt stattfinden sollen. Die Policy kann entweder über eine HTTPS-Verbindung verifiziert werden oder - alternativ - auch über DANE abgesichert werden. Damit ist eine gewisse Kompatibilität zum bestehenden DANE-System vorgesehen. Die Policy hat eine Gültigkeitsdauer, die mehrere Wochen betragen sollte.

Der Name von SMTP STS ist angelehnt an die Technologie HSTS (HTTP Strict Transport Security), die für HTTPS-Verbindungen zum Einsatz kommt. Doch trotz dieser Namensähnlichkeit unterscheiden sich die beiden Ansätze vom Konzept her. Bei HSTS wird über die bereits abgesicherte HTTPS-Verbindung ein Header mitgeschickt, der dem Browser signalisiert, dass Verbindungen für einen bestimmten Zeitraum nur über HTTPS stattfinden sollen. Es wird also derselbe Kanal genutzt, während SMTP STS über DNS und HTTPS einen anderen Kanal zum Abruf der Policy benutzt.

Da es sich um einen ersten Entwurf handelt, dürfte es noch einige Diskussionen geben, bis dieser verabschiedet wird. Diskutiert wird der Entwurf in der UTA-Arbeitsgruppe der IETF.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. ab 21,00€
  2. (aktuell u. a. Toshiba-Festplatte mit 10 TB für 279,00€ (Bestpreis!), Be quiet Silent Base 801...
  3. ab 30,00€ bei ubi.com
  4. (alle Countdown-Angebote im Überblick - die besten Angebote starten aber am Freitag um...

Anonymer Nutzer 27. Mär 2016

War das ein Redaktionsbeschluss, andauernd immer wieder DNSSEC-Bashing zu betreiben...

Nocta 24. Mär 2016

Ich frage mich trotzdem, wo ihm persönlich ein eigenes Zertifikat mehr Schutz "gegen...

RipClaw 23. Mär 2016

Der Gewinn ist das man über einen zweiten Weg überprüfen kann ob der Server STARTTLS...

Niantic 23. Mär 2016

Ohne sticheln zu wollen, was meinen sie wie viele der leser hier die electronic frontier...


Folgen Sie uns
       


Star Wars Jedi Fallen Order angespielt

In Star Wars Jedi Fallen Order kämpft der Spieler als junger Jedi-Ritter gegen das schier übermächtige Imperium.

Star Wars Jedi Fallen Order angespielt Video aufrufen
HR-Analytics: Weshalb Mitarbeiter kündigen
HR-Analytics
Weshalb Mitarbeiter kündigen

HR-Analytics soll vorhersagbare und damit wertvollere Informationen liefern als reine Zahlen aus dem Controlling. Diese junge Disziplin im Personalwesen hat großes Potenzial, weil sie Personaler in die Lage versetzt, zu agieren, statt zu reagieren.
Ein Bericht von Peter Ilg

  1. Frauen in der IT Ist Logik von Natur aus Männersache?
  2. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  3. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen

Ryzen 9 3950X im Test: AMDs konkurrenzlose 16 Kerne
Ryzen 9 3950X im Test
AMDs konkurrenzlose 16 Kerne

Der Ryzen 9 3950X ist vorerst die Krönung für den Sockel AM4: Die CPU rechnet schneller als alle anderen Mittelklasse-Chips, selbst Intels deutlich teurere Modelle mit 18 Kernen überholt das AMD-Modell locker.
Ein Test von Marc Sauter

  1. Zen-CPUs AMD nennt konkrete Termine für Ryzen 3950X und Threadripper
  2. Castle Peak AMDs Threadripper v3 sollen am 19. November erscheinen
  3. OEM & China AMD bringt Ryzen 3900 und Ryzen 3500X

Von Microsoft zu Linux und zurück: Es gab bei Limux keine unlösbaren Probleme
Von Microsoft zu Linux und zurück
"Es gab bei Limux keine unlösbaren Probleme"

Aus Ärger über Microsoft stieß er den Wechsel der Stadt München auf Linux an. Kaum schied er aus dem Amt des Oberbürgermeisters, wurde Limux rückgängig gemacht. Christian Ude über Seelenmassage von Ballmer und Gates, die industriefreundliche CSU, eine abtrünnige Grüne und umfallende SPD-Genossen.
Ein Interview von Jan Kleinert


      •  /