Abo
  • Services:
Anzeige
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard.
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de)

STARTTLS: Keine Verschlüsselung mit der SPD

Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard.
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de)

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.

Der E-Mail-Anbieter Posteo hat vor einigen Tagen ein neues Feature eingeführt: Eine TLS-Garantie für den Mailversand. Nutzer können damit festlegen, dass sie Mails nur zustellen möchten, wenn der Zielserver die Übertragung mittels des Verschlüsselungsstandards STARTTLS unterstützt.

Anzeige

Praktisch alle relevanten Mailanbieter unterstützen inzwischen STARTTLS für das SMTP-Protokoll zwischen den Mailservern. Im Zuge der NSA-Affäre hatten auch die großen deutschen Mailanbieter diese Technologie eingeführt. Die Spezifikation für STARTTLS zwischen Mailservern - RFC 3207 - stammt bereits aus dem Jahr 2002.

Eigentlich sollte man daher erwarten, dass die Einführung eines derartigen Features keine großen Probleme bereitet. Doch Posteo-Nutzer konnten anschließend an manche Domains keine Mails mehr verschicken, etwa an die Domain der SPD (spd.de) - oder an die Internetanbieter Congstar und KabelBW. An Posteo lag das nicht: Die Funktion tat genau, was sie sollte - sie verhinderte den Versand an Mailserver, die keine Transportverschlüsselung anbieten. Schuld sind in dem Fall vielmehr die Betreiber der Zielmailserver, die offenbar selbst grundlegende Sicherheitstechnologien nicht unterstützen.

"Wir haben auf die IT der SPD keinen Einfluss", schreibt Posteo auf seiner Webseite. "Sie können sich aber an den Parteivorstand wenden, dem diese Domain laut DENIC gehört - und der für sie verantwortlich ist."

STARTTLS sinnvoll, aber nicht ausreichend

Dass die STARTTLS-Verschlüsselung sinnvoll ist, um das Mitlesen von Nachrichten zu erschweren, dürfte unstrittig sein. Allerdings hat die momentane Lösung einige Haken, über die man sich im Klaren sein soll. In aller Regel werden die Zertifikate der Mailserver nicht geprüft. Auch kann ein aktiver Angreifer das STARTTLS-Kommando aus der Verbindung schlicht herausfiltern und damit eine unverschlüsselte Verbindung erzwingen. Einer Untersuchung der Universität Michigan zufolge kommt das in der Praxis durchaus vor. Das Entfernen des STARTTLS-Kommandos würde durch die Posteo-Technologie auffallen und eine Mail würde nicht verschickt werden, aber mittels eines selbstsignierten Zertifikats könnte ein Man-in-the-Middle-Angreifer weiterhin die Verbindung belauschen. In seiner aktuellen Form schützt STARTTLS auf SMTP-Ebene daher nur gegen passive Lauschangriffe.

Es gab bereits verschiedene Bemühungen, eine bessere Absicherung einzuführen, allerdings konnte sich bislang keine davon durchsetzen. Das auf DNSSEC basierende DANE wird zwar von Posteo unterstützt, allerdings sonst von kaum jemandem. Die großen Mailanbieter wie Google, Yahoo und Microsoft haben bislang kein Interesse an DANE gezeigt. Mehr Aussicht auf Erfolg dürfte ein neuer Standard namens SMTP MTA Strict Transport Security haben. An der Entwicklung sind mehrere große Mailanbieter beteiligt. Allerdings befindet sich dieser neue Standard noch im Entwurfsstadium.


eye home zur Startseite
rommudoh 24. Jul 2016

Geht das auch als Privatkunde? Oder nur im Business-Tarif?

Anonymer Nutzer 23. Jul 2016

Zumal man das dann auch problemlos mit dem Proxy rausfiltern kann.

Milber 23. Jul 2016

Ich weiß schon warum das so ist: dort arbeiten die gleichen, arroganten ITler wie die...

Carl Weathers 22. Jul 2016

Nee, der Herr Watergate. Das mit dem Hotel ist nur ein Zufall.

Tautologiker 22. Jul 2016

Ja, DNSSEC ist eigentlich die einzige vernünftige Lösung, um *sicher* die Authentizität...



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, Solingen
  2. Vodafone, Düsseldorf
  3. SysTec Systemtechnik und Industrieautomation GmbH, Bergheim-Glessen
  4. Scheidt & Bachmann GmbH, Mönchengladbach bei Düsseldorf


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)

Folgen Sie uns
       


  1. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  2. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  3. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  4. SteamVR

    Valve zeigt Knuckles-Controller

  5. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu

  6. Galaxy J7 (2017)

    Samsung-Smartphone hat zwei 13-Megapixel-Kameras

  7. Zenscreen MB16AC

    Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

  8. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  9. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  10. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Risk: Kein normaler Mensch
Risk
Kein normaler Mensch

WD Black SSD im Test: Mehr Blau als Schwarz
WD Black SSD im Test
Mehr Blau als Schwarz
  1. NAND-Flash Toshiba legt sich beim Verkauf des Flashspeicher-Fab fest
  2. SSD WD Blue 3D ist sparsamer und kommt mit 2 TByte
  3. Western Digital Mini-SSD in externem Gehäuse schafft 512 MByte pro Sekunde

Amateur-Hörspiele: Drei Fragezeichen, TKKG - und jetzt komm' ich!
Amateur-Hörspiele
Drei Fragezeichen, TKKG - und jetzt komm' ich!
  1. Internet Lädt noch
  2. NetzDG EU-Kommission will Hate-Speech-Gesetz nicht stoppen
  3. Equal Rating Innovation Challenge Mozilla will indische Dörfer ins Netz holen

  1. Marabout Seeing Medium Heiler

    feticheurchango | 20:43

  2. Marabout Seeing Medium Heiler

    feticheurchango | 20:42

  3. Marabout Seeing Medium Heiler

    feticheurchango | 20:39

  4. Re: Ach so finanziert sich das

    RipClaw | 20:33

  5. Ging es bei der Regelung von RUNDFUNK...

    Keridalspidialose | 20:29


  1. 17:40

  2. 16:22

  3. 15:30

  4. 14:33

  5. 13:44

  6. 13:16

  7. 12:40

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel