Die folgende Grafik zeigt den Weg einer E-Mail vom Sender zum Empfänger.
In der Regel sind die Rechner der Nutzer nicht direkt mit dem Internet verbunden. Der Zugang erfolgt über ein Gateway des Providers oder der Firma.
Der 1. Mailserver nimmt die E-Mail via SMTP entgegen und sendet sie an den 2. Mailserver. Hier liegt die E-Mail, bis der Empfänger sie abruft und löscht. Die gestrichelten Verbindungen zu den Mailservern können mit SSL bzw. TLS kryptografisch gesichert werden. Das hat nichts mit einer Verschlüsselung des Inhalts der E-Mail zu tun. Es wird nur die Datenübertragung zum Mailserver verschlüsselt und es wird sichergestellt, dass man wirklich mit dem gewünschten Server verbunden ist. Aktuelle Versionen von Thunderbird aktivieren dieses Feature beim Einrichten eines Account standardmäßig.
Wie einfach es ist, unverschlüsselte Verbindungen zu belauschen, die Passwörter zu extrahieren und den Account zu kompromittieren, wurde von T. Pritlove auf der re:publica 2007
gezeigt.
Bewusst oder unbewusst können auch Provider die verschlüsselte Übertragung
deaktivieren und damit den Traffic mitlesen. Es wird einfach die Meldung des Mail-Servers
250-STARTTLS gefiltert und überschrieben. Scheinbar verfügen alle DSL-Provider über die Möglichkeit, dieses Feature bei Bedarf für einzelne Nutzer zu aktivieren. Die Standard-Einstellung vieler E-Mail Clients ist
"TLS verwenden wenn möglich". Diese Einstellung ist genau in dem Moment wirkungslos, wenn man es braucht, weil der Traffic beschnüffelt werden soll.
SMTP, POP3 und IMAP
Diese Abkürzungen sind für den Laien etwas verwirrend.
- SMTP: ist das Kommunikationsprotokoll zum Versenden von E-Mails.
- POP3: ist das Kommunikationsprotokoll zum Herunterladen von empfangenen E-Mails auf den lokalen Rechner. Dabei werden die E-Mails auf dem Server gelöscht (optional).
- IMAP: ist ein Kommunikationsprotokoll, um die empfangenen E-Mails auf dem Server zu verwalten und nur zum Lesen temporär herunter zu laden. Auch die versendeten E-Mails werden bei der Nutzung von IMAP auf dem Mailserver des Providers gespeichert.
IMAP bietet damit die Möglichkeit, mit verschiedenen E-Mail Clients von unterschiedlichen Rechnern und Smartphones auf den Account zuzugreifen und stets Zugriff auf alle E-Mails zu haben. Die Möglichkeit des weltweiten Zugriffs auf seine Mails erkauft man sich aber mit Einschränkungen des Datenschutzes.
Die auf dem Server des Providers gespeicherten E-Mails unterliegen NICHT mehr dem Telekommunikationsgeheimnis nach Artikel 10 GG, wenn der Nutzer die Möglichkeit hatte, sie zur Kenntnis zu nehmen und zu löschen. Das BVerfG hat diese Rechtsauffassung 2009 in dem Urteil 2 BvR 902/06 bestätigt.
Mit der Reform der Telekommunikationsüberwachung im Dezember 2012 können Geheimdienste und Strafverfolge das Passwort für den Zugriff auf den Mail-Account ohne richterliche Prüfung vom Mail-Provider verlangen und damit Zugang zu dem Postfach erhalten. Es wäre unschön, wenn Sie dort die gesamte Kommunikation der letzten 5 Jahre vorfinden.
Deshalb empfehle ich die Nutzung von POP3 (SSL) statt IMAP.
Für viele E-Mail Provoder werden automatisch sichere Einstellungen vorgeschlagen (SSL bzw. STARTTLS). Wenn keine Vorschläge gefunden werden können, kann man auf
"manuelle Konfiguration" klicken und die Einstellungen per Hand anpassen. Die nötigen Daten für POP3- und SMTP-Server findet amn auf der Webseite des Mail-Providers. Außerdem muss man in der Regel den Usernamen an die Vorgaben des Providers anpassen.
- Für den POP3-Server ist in der Regel Port "995" (SSL) passend.
- Viele SMTP-Server bieten neben STARTTLS für Port "25" auch auf den Ports "587" (STARTTLS) oder "465" (SSL) verschlüsselte Verbindungen zum Senden von E-Mails.
Unsichere Verschlüsselungen deaktivieren
Aus Gründen der Kompatibiltät mit einigen Mail-Providern unterstützt Thunderbird noch immer veraltete und unsichere Verschlüsselungsoptionen für die Verbindung zu dem Mailservern.
In den
"Erweiterten Einstellungen" kann man diese Optionen deaktivieren:
Parameter | Wert |
security.enable_ssl3 | false |
security.ssl.require_safe_negotiation | true |
security.ssl.treat_unsafe_negotiation_as_broken | true |
security.warn_submit_insecure | true |
Wenn man folgende schwer verständliche Fehlermeldung beim Abrufen oder Senden von E-Mails erhält, gibt es Probleme beim Aufbau einer sicheren Verbindung und man wechselt am besten den Mail-Provider. Meistens bietet der Server keine
Secure Renegotiation beim Aufbau der verschlüsselten Verbindung. Das Problem wird seit 2009 als
schwiegend eingestuft.
In diesem Zusammenhang verweise ich auf die
Antwort der Bundesregierung auf eine Kleine Anfrage zu Fernmeldeaufklärung des BND vom Mai 2012:
- Frage: "Ist die eingesetzte Technik auch in der Lage, verschlüsselte Kommunikation (etwa per SSH oder PGP) zumindest teilweise zu entschlüsseln und/oder auszuwerten?"
- Antwort: "Ja, die eingesetzte Technik ist grundsätzlich hierzu in der Lage, je nach Art und Qualität der Verschlüsselung."
Tools zum Ausnutzen der
Insecure Renegotiation gibt es auch als OpenSource (z.B. dsniff).