Ratgeber E-Mail-Security

Rundum-Sicherheit für E-Mails

19.03.2013
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Mail-Security: Vorsicht bei POP3!

Die Aussage, eine E-Mail sei nur so sicher wie eine mit Bleistift geschriebene Postkarte, ist ebenso alt wie immer noch aktuell. Dabei ist das "Simple Mail Transfer Protocol" (SMTP) das primäre Protokoll für den Versand von E-Mails. Es wurde bereits im August 1982 unter dem RFC 821 zum Standard erklärt. Der Nutzungsgrad und die Größe der Netzwerke haben sich seither indes stark verändert. Bei Festlegung des Standards waren die Verbindungen zwischen den Servern sehr langsam und mitunter instabil. Vor diesem Hintergrund erklärt sich, warum auf die Zuverlässigkeit sehr hohen Wert gelegt, eine Authentifizierung aber nicht berücksichtigt wurde. Der Datentransfer zwischen den Servern geschah komplett unverschlüsselt und konnte mit jeder Sniffer-Software mitgelesen werden.

Die Erfahrung zeigt leider, dass Änderungen an Internet-Standardprotokollen eine lange Zeit in Anspruch nehmen können. Bis zu einer möglichen Neueinführung eines Nachfolgers des altgedienten SMTP-Protokolls bleibt aktuell als eine Lösung die DNS-Prüfung des versendenden E-Mail-Servers. Hierbei wird beim Empfang einer E-Mail die Absende-IP-Adresse mit dem Hostnamen-Eintrag im DNS ("Domain Name Service") geprüft. Stimmen die Werte überein, so wird die Nachricht an die nächste Prüfungsebene weitergereicht. Weicht die verwendete IP-Adresse des Mailservers vom hinterlegten DNS-Eintrag ab, stammt die Nachricht nicht vom zu erwartenden Mailserver und ist somit abzuweisen. Das hat den Vorteil, dass entsprechende gesetzliche Anforderungen wie etwa das Postgeheimnis, so nicht berührt werden: Schließlich wird die Nachricht überhaupt nicht angenommen.

Allerdings istdas SMTP-Protokoll bereits 1995 mit Extended SMTP (ESMTP) in RFC 1869 erweitert worden, wobei die Möglichkeit einer Verschlüsselung überSSL/TLS eingearbeitet wurde. Dank dieser Erweiterung ist die Vertraulichkeit der Nachricht beim Transfer gewährleistet. So stellten dann auch einige deutsche Provider - häufig angeregt durch die vielen Meldungen rund um die Snowden-Affäre - ihre E-Mail-Kommunikation in den letzten Wochen und Monaten auf eine Kombination von SSL/TLS beim E-Mail-Empfang via POP3- und IMAP-Clients um. Während beim Senden der Nachrichten vermehrt SMTP mit STARTTLS (Transport Layer Security) zum Einsatz kommt. Dies erfordert von den Anwendern in der Regel nicht mehr, als dass sie die Ports für das Senden und den Empfang von E-Mails in ihren Client-Programmen entsprechend ändern.

Sofern in einer Firma ein moderner und professioneller E-Mail-Server wie beispielsweise Microsoft Exchange durch die IT-Verantwortlichen eingesetzt wird, kommt POP3 üblicherweise überhaupt nicht mehr zum Einsatz. Wer die Wahl hat, sollte grundsätzlich auf das ebenfalls oft angebotene IMAP (Internet Message Access Protocol) ausweichen. Dieses Protokoll ist in der aktuellen Ausprägung durch einen Verschlüsselungsalgorithmus gesichert.