Das zugrundeliegende Transportprotokoll aus den 80er Jahren zum Versenden von E-Mails, das Simple Mail Transfer Protocol (SMTP) ist uralt und nicht in der Lage, die E-Mail-Kommunikation ordnungsgemäß zu sichern. Um die Sicherheit zu erhöhen, wurde 2002 SMTP STARTTLS entwickelt – aber es erwies sich immer noch als anfällig für Man-in-the-Middle (MITM) Attacken und Connection Downgrade-Angriffe.
Um das Sicherheitsniveau weiter zu erhöhen, wurde ein neues Protokoll, SMTP Strict Transport Security (STS) entworfen (nach unglaublichen 14 Jahren Wartezeit seit dem letzten Versuch). Diesmal haben sich alle wichtigen Akteure (Google, Microsoft, Yahoo, Comcast, LinkedIn und 1&1 Mail….) zusammengeschlossen, um diese Aufgabe zu einem Erfolg zu machen.
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Welches Ziel verfolgt dieser neue Standard?
SMTP STS wurde konzipiert, um Man-in-the-Middle-Attacken zu verhindern
Wie verbessert SMTP STS die SMTP-Sicherheit im Vergleich zu StartTLS?
SMTP STS arbeitet gemeinsam mit STARTTLS, um SMTP (insgesamt) zu stärken und Connection Downgrades und Man-in-the-Middle-Angriffe zu vermeiden. Es wird geprüft, ob der Empfänger SMTP STS unterstützt und über ein gültiges und aktuelles Public-Key-Zertifikat verfügt. Wenn ja, wird die E-Mail sicher an den Empfänger weitergeleitet. Wenn nein, wird der Versand der E-Mail gestoppt und der Benutzer wird über den Grund informiert.
Wann wird der neue Standard zum Einsatz kommen?
Derzeit ist es immer noch ein Standardvorschlag, der noch einige Verbesserungsrunden durchlaufen wird. Es wird also noch eine Weile dauern, bis die großen Anbieter ihn implementieren.
Ist dies genug, um die E-Mail-Privatsphäre wiederzuerlangen?
STARTTLS verhindert zwar den Verlust von Metadaten (wie die Zeile “Betreff”) und kann die Übertragungsvertraulichkeit für Ihre E-Mails verhandeln – ist SMTP STS aber wirlich ein wichtiger Schritt in Richtung E-Mail-Sicherheit und ausreichend, um den die Vertraulichkeit Ihrer E-Mails wiederherzustellen? Unsere Antwort lautet NEIN.
An dieser Stelle wird die ganze Sache nämlich etwas „faul“. Ein Stärken der SMTP-Sicherheit schützt nämlich nur Email von der Quelle SMTP bis zum Ziel SMTP – und das ist alles.
Folglich bleiben die folgenden Hauptbedenken bestehen:
- Die Nachrichten verbleiben im Klartext vom Endgerät des Absenders, bis sie seinen entsprechenden SMTP-Server erreichen (unter der Annahme, dass kein SSL/TLS im Einsatz ist)
- Die Nachricht verbleibt im Klartext vom SMTP-Server des Empfängers bis zum Endgerät des Empfängers (unter der Annahme, dass kein SSL/TLS im Einsatz ist)
- Die SMPTP-Server (sowohl auf Absender- wie auf Empfängerseite) sind in der Lage, die Nachricht in Klartext zu lesen.
Genau an dieser Stelle können Angreifer die Vertraulichkeit und Integrität von E-Mail erfolgreich beeinträchtigen.
Was ist also die beste Methode, die E-Mail-Privatsphäre wiederherzustellen?
Ende-zu-Ende-Verschlüsselung (E2EE) ist darauf die einzige Antwort. Dabei verschlüsselt der Absender eine E-Mail (mit dem öffentlichen Schlüssel des Empfängers) und der Empfänger entschlüsselt diese E-Mail mit seinem/ihrem privaten Schlüssel. Alle Vorgänge laufen dabei ausschließlich auf dem Client ab. Dieser Ansatz lässt keinen Raum für einen Angreifer, durch die Klartextnachrichten zu schnüffeln. Die sichere und vertrauliche E-Mail-Suite Mailfence bietet einen „wirklich“ sicheren E2EE-E-Mail-Dienst und zusätzlich die Funktion digitale Signaturen.
Einfach ausgedrückt sollte SMTP STS nicht mit dem Sicherheitsniveau verglichen werden, das E2EE bietet. Es ist allerdings ein Schritt in die richtige Richtung, bleibt aber ein kleiner Teil des Puzzles!
Mailfence ist ein sicherer und vertraulicher E-Mail-Service.
