Posteo: neue TLS-Funktion mit Problemen
Seit Kurzem bietet der Maildienst Posteo die sogenannte TLS-Funktion an. Nutzer haben die Möglichkeit, E-Mails sicherer zu verschicken. Die Mails werden nur verschickt, wenn der Zielserver STARTTLS unterstützt. Diese moderne und seit mehr als 10 Jahren etablierte Verschlüsselungstechnik für SMTP Protokolle zur Kommunikation zwischen Mailservern wird seit der NSA Affäre von den meisten Servern und Anbietern genutzt, sodass Posteo mit dem neuen Feature mehr Sicherheit für den verschlüsselten Mailverkehr schafft.
Keine Mails an Kabel und die SPD?
Bereits kurz nach der Einführung des Features bemerkten Posteo Kunden erste Probleme. Mails an bestimmte Domains – u.a. an SPD-Domains, Kabel Deutschland oder Congstar – wurden nicht mehr zugestellt. Das Problem war aber nicht die TLS Funktion sondern der jeweilige Zielserver. In den genannten Fällen unterstützten die Zielserver das STARTTLS System nicht, deshalb konnte Posteo die Mails nicht zustellen. Das Feature ist also in Ordnung und funktioniert einwandfrei.
Posteo hat sich auf seiner Domain an die Kunden gewandt und schreibt dazu: „Wir haben auf die IT der SPD keinen Einfluss“, „Sie können sich aber an den Parteivorstand wenden, dem diese Domain laut DENIC gehört – und der für sie verantwortlich ist.“
Ist STARTTLS sicher?
STARTTLS wird von vielen Experten als sinnvoll angesehen, ist aber trotzdem nicht ausreichend, um einen 100 %igen Schutz gegen Übergriffe von Cyberkriminellen zu gewährleisten. Die Verschlüsselung erschwert Dritten das Aus- und Mitlesen von Daten in Mails, doch die Funktion prüft die Sicherheitszertifikate der Mailserver nicht. STARTTLS-Kommandos können demnach aus verschlüsselten Verbindungen herausgefiltert und auf unverschlüsselten Domains angewendet werden. Das belegt eine Studie der Universität Michigan, die sich mit dieser Funktion intensiv beschäftigt hat.
Deshalb ist der Schutz durch STARTTLS nicht ausreichend. Weltweit wird nach neuen Lösungen gesucht. In einer Testphase befinden sich DANE, wird aber von den großen Mailanbietern kaum beachtet. Die Entwicklungsphase für den neuen, viel versprechenden Standard SMTP MTA Strict Transport Security ist hingegen noch nicht abgeschlossen.