Abo
  • Services:

STARTTLS: Keine Verschlüsselung mit der SPD

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.

Artikel veröffentlicht am , Hanno Böck
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard.
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de)

Der E-Mail-Anbieter Posteo hat vor einigen Tagen ein neues Feature eingeführt: Eine TLS-Garantie für den Mailversand. Nutzer können damit festlegen, dass sie Mails nur zustellen möchten, wenn der Zielserver die Übertragung mittels des Verschlüsselungsstandards STARTTLS unterstützt.

Stellenmarkt
  1. Hornbach-Baumarkt-AG, Neustadt an der Weinstraße
  2. Bosch Gruppe, Waiblingen

Praktisch alle relevanten Mailanbieter unterstützen inzwischen STARTTLS für das SMTP-Protokoll zwischen den Mailservern. Im Zuge der NSA-Affäre hatten auch die großen deutschen Mailanbieter diese Technologie eingeführt. Die Spezifikation für STARTTLS zwischen Mailservern - RFC 3207 - stammt bereits aus dem Jahr 2002.

Eigentlich sollte man daher erwarten, dass die Einführung eines derartigen Features keine großen Probleme bereitet. Doch Posteo-Nutzer konnten anschließend an manche Domains keine Mails mehr verschicken, etwa an die Domain der SPD (spd.de) - oder an die Internetanbieter Congstar und KabelBW. An Posteo lag das nicht: Die Funktion tat genau, was sie sollte - sie verhinderte den Versand an Mailserver, die keine Transportverschlüsselung anbieten. Schuld sind in dem Fall vielmehr die Betreiber der Zielmailserver, die offenbar selbst grundlegende Sicherheitstechnologien nicht unterstützen.

"Wir haben auf die IT der SPD keinen Einfluss", schreibt Posteo auf seiner Webseite. "Sie können sich aber an den Parteivorstand wenden, dem diese Domain laut DENIC gehört - und der für sie verantwortlich ist."

STARTTLS sinnvoll, aber nicht ausreichend

Dass die STARTTLS-Verschlüsselung sinnvoll ist, um das Mitlesen von Nachrichten zu erschweren, dürfte unstrittig sein. Allerdings hat die momentane Lösung einige Haken, über die man sich im Klaren sein soll. In aller Regel werden die Zertifikate der Mailserver nicht geprüft. Auch kann ein aktiver Angreifer das STARTTLS-Kommando aus der Verbindung schlicht herausfiltern und damit eine unverschlüsselte Verbindung erzwingen. Einer Untersuchung der Universität Michigan zufolge kommt das in der Praxis durchaus vor. Das Entfernen des STARTTLS-Kommandos würde durch die Posteo-Technologie auffallen und eine Mail würde nicht verschickt werden, aber mittels eines selbstsignierten Zertifikats könnte ein Man-in-the-Middle-Angreifer weiterhin die Verbindung belauschen. In seiner aktuellen Form schützt STARTTLS auf SMTP-Ebene daher nur gegen passive Lauschangriffe.

Es gab bereits verschiedene Bemühungen, eine bessere Absicherung einzuführen, allerdings konnte sich bislang keine davon durchsetzen. Das auf DNSSEC basierende DANE wird zwar von Posteo unterstützt, allerdings sonst von kaum jemandem. Die großen Mailanbieter wie Google, Yahoo und Microsoft haben bislang kein Interesse an DANE gezeigt. Mehr Aussicht auf Erfolg dürfte ein neuer Standard namens SMTP MTA Strict Transport Security haben. An der Entwicklung sind mehrere große Mailanbieter beteiligt. Allerdings befindet sich dieser neue Standard noch im Entwurfsstadium.



Anzeige
Spiele-Angebote
  1. 31,99€
  2. 50,99€ mit Vorbesteller-Preisgarantie
  3. 54,98€ mit Vorbesteller-Preisgarantie
  4. (-83%) 1,69€

rommudoh 24. Jul 2016

Geht das auch als Privatkunde? Oder nur im Business-Tarif?

Anonymer Nutzer 23. Jul 2016

Zumal man das dann auch problemlos mit dem Proxy rausfiltern kann.

Milber 23. Jul 2016

Ich weiß schon warum das so ist: dort arbeiten die gleichen, arroganten ITler wie die...

Carl Weathers 22. Jul 2016

Nee, der Herr Watergate. Das mit dem Hotel ist nur ein Zufall.

Tautologiker 22. Jul 2016

Ja, DNSSEC ist eigentlich die einzige vernünftige Lösung, um *sicher* die Authentizität...


Folgen Sie uns
       


World of Warcraft Battle for Azeroth - Mitternachtsstream (Golem.de Live)

Der große Start von Battle for Azeroth inklusive seiner Einführungsquest führt uns zu König Anduin nach Dalaran und Lordaeron (episch!). Um Mitternacht starteten wir problemlos in Silithus.

World of Warcraft Battle for Azeroth - Mitternachtsstream (Golem.de Live) Video aufrufen
Computacenter: So gewinnt ein IT-Unternehmen Mitarbeiterinnen
Computacenter
So gewinnt ein IT-Unternehmen Mitarbeiterinnen

Frauen hätten weniger Interesse an IT-Berufen als Männer und daran könne man nichts ändern, wird oft behauptet. Der IT-Dienstleister Computacenter hat andere Erfahrungen gemacht.
Ein Interview von Juliane Gringer

  1. Studitemps Einige Studierende verdienen in der IT unter Mindestlohn
  2. SAP-Berater Der coolste Job nach Tourismusmanager und Bierbrauer
  3. Digital Office Index 2018 Jeder zweite Beschäftigte sitzt am Computer

HDR-Capture im Test: High-End-Streaming von der Couch aus
HDR-Capture im Test
High-End-Streaming von der Couch aus

Was bringen all die schönen neuen Farben auf dem 4K-HDR-TV, wenn man sie nicht speichern kann oder während des Livestreams nicht mehr selber sieht? Avermedia bietet mit den Capture-Karten Live Gamer 4K und Live Gamer Ultra erstmals bezahlbare Lösungen an. PC-Spieler sehen mit ihnen sogar bis zu 240 Bilder pro Sekunde.
Von Michael Wieczorek

  1. DisplayHDR Vesa veröffentlicht erstes Testwerkzeug für HDR-Standard
  2. HDMI 2.0 und Displayport HDR bleibt Handarbeit
  3. Intel Linux bekommt experimentelle HDR-Unterstützung

Stromversorgung: Das Märchen vom Blackout durch Elektroautos
Stromversorgung
Das Märchen vom Blackout durch Elektroautos

Die massenhafte Verbreitung von Elektroautos stellt das Stromnetz vor neue Herausforderungen. Doch verschiedenen Untersuchungen zufolge sind diese längst nicht so gravierend, wie von Kritikern befürchtet.
Ein Bericht von Friedhelm Greis

  1. Elektroautos Bundesrechnungshof hält Kaufprämie für unwirksam
  2. Ladekabel Startup Ubitricity gewinnt Klimaschutzpreis in New York
  3. TU Graz Der Roboter als E-Tankwart

    •  /