Abo
  • Services:
Anzeige
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard.
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de)

STARTTLS: Keine Verschlüsselung mit der SPD

Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard.
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de)

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.

Der E-Mail-Anbieter Posteo hat vor einigen Tagen ein neues Feature eingeführt: Eine TLS-Garantie für den Mailversand. Nutzer können damit festlegen, dass sie Mails nur zustellen möchten, wenn der Zielserver die Übertragung mittels des Verschlüsselungsstandards STARTTLS unterstützt.

Anzeige

Praktisch alle relevanten Mailanbieter unterstützen inzwischen STARTTLS für das SMTP-Protokoll zwischen den Mailservern. Im Zuge der NSA-Affäre hatten auch die großen deutschen Mailanbieter diese Technologie eingeführt. Die Spezifikation für STARTTLS zwischen Mailservern - RFC 3207 - stammt bereits aus dem Jahr 2002.

Eigentlich sollte man daher erwarten, dass die Einführung eines derartigen Features keine großen Probleme bereitet. Doch Posteo-Nutzer konnten anschließend an manche Domains keine Mails mehr verschicken, etwa an die Domain der SPD (spd.de) - oder an die Internetanbieter Congstar und KabelBW. An Posteo lag das nicht: Die Funktion tat genau, was sie sollte - sie verhinderte den Versand an Mailserver, die keine Transportverschlüsselung anbieten. Schuld sind in dem Fall vielmehr die Betreiber der Zielmailserver, die offenbar selbst grundlegende Sicherheitstechnologien nicht unterstützen.

"Wir haben auf die IT der SPD keinen Einfluss", schreibt Posteo auf seiner Webseite. "Sie können sich aber an den Parteivorstand wenden, dem diese Domain laut DENIC gehört - und der für sie verantwortlich ist."

STARTTLS sinnvoll, aber nicht ausreichend

Dass die STARTTLS-Verschlüsselung sinnvoll ist, um das Mitlesen von Nachrichten zu erschweren, dürfte unstrittig sein. Allerdings hat die momentane Lösung einige Haken, über die man sich im Klaren sein soll. In aller Regel werden die Zertifikate der Mailserver nicht geprüft. Auch kann ein aktiver Angreifer das STARTTLS-Kommando aus der Verbindung schlicht herausfiltern und damit eine unverschlüsselte Verbindung erzwingen. Einer Untersuchung der Universität Michigan zufolge kommt das in der Praxis durchaus vor. Das Entfernen des STARTTLS-Kommandos würde durch die Posteo-Technologie auffallen und eine Mail würde nicht verschickt werden, aber mittels eines selbstsignierten Zertifikats könnte ein Man-in-the-Middle-Angreifer weiterhin die Verbindung belauschen. In seiner aktuellen Form schützt STARTTLS auf SMTP-Ebene daher nur gegen passive Lauschangriffe.

Es gab bereits verschiedene Bemühungen, eine bessere Absicherung einzuführen, allerdings konnte sich bislang keine davon durchsetzen. Das auf DNSSEC basierende DANE wird zwar von Posteo unterstützt, allerdings sonst von kaum jemandem. Die großen Mailanbieter wie Google, Yahoo und Microsoft haben bislang kein Interesse an DANE gezeigt. Mehr Aussicht auf Erfolg dürfte ein neuer Standard namens SMTP MTA Strict Transport Security haben. An der Entwicklung sind mehrere große Mailanbieter beteiligt. Allerdings befindet sich dieser neue Standard noch im Entwurfsstadium.


eye home zur Startseite
rommudoh 24. Jul 2016

Geht das auch als Privatkunde? Oder nur im Business-Tarif?

Anonymer Nutzer 23. Jul 2016

Zumal man das dann auch problemlos mit dem Proxy rausfiltern kann.

Milber 23. Jul 2016

Ich weiß schon warum das so ist: dort arbeiten die gleichen, arroganten ITler wie die...

Carl Weathers 22. Jul 2016

Nee, der Herr Watergate. Das mit dem Hotel ist nur ein Zufall.

Tautologiker 22. Jul 2016

Ja, DNSSEC ist eigentlich die einzige vernünftige Lösung, um *sicher* die Authentizität...



Anzeige

Stellenmarkt
  1. Bosch SoftTec GmbH, Hildesheim
  2. McFIT Global Group GmbH, Berlin
  3. T-Systems International GmbH, München, Leinfelden-Echterdingen
  4. operational services GmbH & Co. KG, Frankfurt am Main, München, Nürnberg, Wolfsburg


Anzeige
Top-Angebote
  1. 26,99€ (Aktionsrabatt nur gültig bei Bezahlung mit paysafecard)
  2. ab 34,95€ im PCGH-Preisvergleich
  3. ab 17,97€

Folgen Sie uns
       


  1. Apple

    App schaltet Touch Bar des Macbook Pro ab

  2. Deutscher Computerspielpreis

    Portal Knights ist das "Beste Deutsche Spiel" 2017

  3. Sledgehammer Games

    Call of Duty WW2 und die Befreiung von Europa

  4. Elektroauto

    VW testet E-Trucks

  5. Telekom

    IP-Umstellung wird auch bei Geschäftskunden durchgesetzt

  6. Linux-Hardening

    Grsecurity nicht mehr für alle verfügbar

  7. Spracheingabe

    Nuki-Smart-Lock lässt sich mit Alexa öffnen

  8. Mediendienste-Richtlinie

    Youtuber sollen keine Schleichwerbung mehr machen dürfen

  9. Hannover Messe und Cebit

    Die Deutsche Bahn ärgert Messebesucher

  10. LTE

    Australien setzt auf Fixed Wireless mit 1 GBit/s



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Akkutechnik: Was, wenn nicht Lithium?
Akkutechnik
Was, wenn nicht Lithium?
  1. Geländekauf in Nevada Google wird Nachbar von Teslas Gigafactory
  2. Lagerverkehr Amazon setzt auf Gabelstapler mit Brennstoffzellen
  3. Lithium-Akkus Durchbruch verzweifelt gesucht

Mobile-Games-Auslese: Untote Rundfahrt und mobiles Seemannsgarn
Mobile-Games-Auslese
Untote Rundfahrt und mobiles Seemannsgarn
  1. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt
  2. Pay-by-Call Eltern haften nicht für unerlaubte Telefonkäufe der Kinder
  3. Spielebranche Deutscher Gamesmarkt war 2016 stabil

  1. Re: Dann auch wieder mit offiziellem Linux Support?

    Apfelbrot | 07:01

  2. Re: Die Telekom nimmt das Telefonnetz einer...

    kaymvoit | 06:54

  3. Re: T-Com Voip kränkelt bis heute...

    moppi | 06:38

  4. Re: wenige Minuten Ladezeit

    _Pluto1010_ | 06:36

  5. Re: Also wir sind wider beim klassischen...

    ArcherV | 06:36


  1. 07:12

  2. 23:39

  3. 20:59

  4. 18:20

  5. 18:20

  6. 18:05

  7. 17:46

  8. 17:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel