Apr 21

Heute wurde bei heise Netze eine Testwebseite vorgestellt die Dinge wie IPv6-Unterstützung, DKIM, SPF, DMARC und DNSSEC überprüft und die Ergebnisse bewertet. Hier die aktuellen Ergebnisse:

AnbieterPunkteLink
mail.de100%https://en.internet.nl/mail/info%40mail.de/results
mailbox.org73%https://en.internet.nl/mail/info%40mailbox.org/results
posteo.de62%https://en.internet.nl/mail/info%40posteo.de/results
GoogleMail47%https://en.internet.nl/mail/info%40googlemail.com/results
Yahoo47%https://en.internet.nl/mail/info%40yahoo.com/results
iCloud42%https://en.internet.nl/mail/info%40icloud.com/results
Outlook.com40%https://en.internet.nl/mail/info%40outlook.com/results
GMX36%https://en.internet.nl/mail/info%40gmx.de/results
web.de36%https://en.internet.nl/mail/info%40web.de/results
Freenet36%https://en.internet.nl/mail/info%40gfreenet.de/results
Arcor31%https://en.internet.nl/mail/info%40arcor.de/results
T-Online18%https://en.internet.nl/mail/info%40t-online.de/results
Tagged with:
Jul 04

Vor kurzem machten zwei E-Mail-Anbieter von sich reden, die sicherheitstechnisch aufrüsten und nun DANE anbieten. Doch was ist DANE im Detail, und warum ist das eine gute Idee?

Ein großes Problem ist dass E-Mails nicht zwingend verschlüsselt übertragen werden. Die beteiligten Mailserver, zwischen denen E-Mails ausgetauscht werden, sprechen sich ab und wenn beide Verschlüsselung beherrschen, dann wird der Transportweg abgesichert. Und da tritt direkt das nächste Problem auf: Mailserver verwenden häufig keine gültigen Zertifikate. Aus diesem Grund werden häufig selbst-signierte Zertifikate verwendet, es gibt Mailserver mit abgelaufenen Zertifikaten, oder bei den Zertifikaten passt der Servername nicht. Alles Gründe, weshalb ein Browser eine Warnung anzeigen würde. Aber bei automatisierten Systemen wie Mailservern kann man keine Warnung anzeigen, man könnte höchstens die E-Mail nicht zustellen. Das jedoch würde dafür sorgen dass ziemlich viele E-Mails nicht zugestellt werden würden, weshalb heutzutage alle Mailserver jedes präsentierte Zertifikat annehmen und es zur Verschlüsselung verwenden. Sollte ein Angreifer also das Zertifikat auf dem Weg austauschen würde das niemand merken.

Und genau dort kommt DANE ins Spiel. DANE ist ein Verfahren, um Zertifikats-Informationen über einen Dienst aus dem DNS-System zu holen. Ein Mailserverbetreiber kann im DNS-System einen sogenannten TLSA-Eintrag hinterlegen, der einen Hash eines Zertifikats enthält. Ein sendender Mailserver, der DANE beherrscht, fragt also vor dem Verbindungsaufbau zu Anbieter B im DNS-System nach, ob der Anbieter B Zertifikatsinformationen für seine Mailserver hinterlegt hat in einem TLSA-Eintrag. Sollte das der Fall sein, wird diese Information genommen und mit dem eigentlichen Verbindungsaufbau verglichen. Sollte ein Angreifer nun das Zertifikat des Mailservers austauschen, würde dies auffallen und die E-Mail würde nicht versendet werden. Ebenso wird eine sogenannte Downgrading-Attacke vermieden, bei dem ein Angreifer in die Verbindung eingreift und die Fähigkeit der Verschlüsselung unterdrückt, sodass die E-Mail in diesem Fall unverschlüsselt übertragen werden würde. Sollte der Mailserver-Betreiber aber einen TLSA-Eintrag im DNS-System hinterlegt haben, so würde in diesem Fall die E-Mail gar nicht versendet werden, eine Klartextübertragung ist ausgeschlossen.

Doch ein Angreifer könnte ja auch, da er die Verbindungen des Opfers manipulieren kann, auch die DNS-Antworten verändern, und dort einen gefälschten TLSA-Eintrag an das Opfer senden. Deshalb ist es Pflicht, dass die DNS-Antworten signiert werden müssen, und diese Signatur muss auch überprüft werden. Dazu gibt es seit einigen Jahren DNSSEC, eine Signierung von DNS-Antworten, um Manipulationen im DNS-System zu verhindern.

Wenn also DNSSEC und TLSA-Einträge zusammenkommen, kann man Mailserververbindungen absichern. Und nicht nur das, jegliche Protokolle können damit abgesichert werden, zum Beispiel auch HTTPS, SMTP, IMAP, POP3, Jabber und weitere. Wichtig ist dabei nur dass der Verbindungspartner auch DANE unterstützt, was jedoch noch sehr wenige sind.

Hier eine Übersicht einiger E-Mail-Anbieter, die DNSSEC und DANE beherrschen:
(Update 16.10.2014: mailbox.org hinzugefügt)

AnbieterDNSSECDANEProtokolleBesonderheiten
mail.de++MX, HTTPS, SMTP, IMAP, POP3, CalDAV, CardDAV, WebDAV, JabberAuch alle Alias-Domains sind gesichert
mailbox.org++MX, HTTPS, SMTP, IMAP, POP3- (keine Aliasdomains zur Auswahl, nur externe Kundendomains, und die sind natürlich nicht gesichert)
posteo.de++MX, HTTPSKeine der Alias-Domains ist gesichert
GMX---
web.de---
Freenet---
T-Online---
Gmail---
Yahoo---
kabelmail.de---
ok.de---
outlook.com---
iCloud---
Arcor---
emailn.de---

Wie man sieht ist DANE leider noch nicht sehr weit verbreitet. Das liegt auch daran dass DNSSEC leider noch nicht sehr weit verbreitet sind bei den Domainhostern.

Jeder Mailserverbetreiber kann selbst recht einfach ausgehend DANE nutzen, dazu ist kein spezieller Domainhoster nötig. Alles was nötig ist ist ein DNSSEC-fähiger DNS-Resolver, und beispielsweise Postfix in Version 9.11.0 oder neuer. Dann noch DANE aktivieren, und schon wird bei versendeten E-Mails nach TLSA-Einträgen im DNS-System des Empfängers nachgeschaut.

smtp_dns_support_level = dnssec
smtp_tls_security_level = dane
smtp_tls_loglevel = 1

Als Endnutzer kann man sich mit Hilfe eines Browser-Addons die DNSSEC-und TLSA-Unterstützung anzeigen lassen für Webseiten. Das Addon für Chrome, Firefox, Internet Explorer, Opera und Safari zeigt mit Hilfe von grünen Icons an ob die Webseite sicher ist oder nicht.

DNSSEC TLSA Validator

Warten wir mal ab bis mehr Anbieter mitziehen. Leider scheinen einige sich abzukapseln und ein ähnliches System umzusetzen, genannt „E-Mail Made in Germany“. Zu diesem Club können sich nur deutsche Firmen anmelden, es gilt also nicht weltweit. Es kostet ca. 30.000€ dort beizutreten, kleine Mailanbieter oder private Mailserverbetreiber sind somit ausgeschlossen. Außerdem müssen dort manuell Textdateien mit Zertifikatsinformationen ausgetauscht werden. Mit DANE und TLSA-Einträgen hat man all diese Nachteile nicht, die eindeutig bessere Wahl.

Tagged with:
Mrz 24

E-Mail-Verschlüsselung zwischen E-Mail-Providern ist optional, die beiden beteiligten Mailserver sprechen sich ab ob sie beide verschlüsseln können, und wenn ja mit welchem Verschlüsselungsalgorithmus und welcher Schlüssellänge die Verbindung abgesichert wird.

Hier eine kleine Tabelle mit einigen Ergebnissen vom Online-Dienst starttls.info. Diese Webseite testet den empfangenden Mailserver auf Verschlüsselungsfeatures:

AnbieterPunkteProtokolleSchlüssellängeChiffre
GMail90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
mail.de90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
GMX90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
web.de90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
T-Online86,8%Supports TLSV12048bit128-168bit
Yahoo83,2%Supports SSLV3.
Supports TLSV1
2048bit128-256bit
kabelmail.de83,2%Supports SSLV3
Supports TLSV1
2048bit128-256bit
Freenet79,2%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit40-256bit
emailn.de73,2%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
selbstsigniert
2048bit
56-256bit
ok.de40,5%Supports SSLV3
Supports TLSV1
Anonymous Diffie-Hellman
2048bit
0-168bit
Arcor37,6%Supports SSLV2
Supports SSLV3
Supports TLSV1
Anonymous Diffie-Hellman
2048bit
0-256bit
mailde.de31,6%Supports SSLV2
Supports SSLV3
Supports TLSV1
selbstsigniert
Hostname stimmt nicht
Anonymous Diffie-Hellman

2048bit
0-256bit
outlook.com0%---
icloud.com0%---

Einige Anbieter legen nach wie vor nicht die nötige Priorität auf die Verschlüsselung, auch Monate nach den Snowden-Informationen und mit dem Wissen dass Geheimdienste und andere Interessierte unsere Daten abhören und mitschneiden gibt es dort kein Mindestmaß an Sicherheit. Aber im Vergleich zu 2012 haben einige nachgebessert, wenn auch noch nicht das maximal mögliche rausgeholt wird.

Mehr als 90,6% kann man übrigens nur bekommen indem man ältere Protokolle wie z.B. SSLv3 oder TLSv1 abschaltet. Das jedoch kann sich kein Anbieter erlauben da dann einige E-Mails nicht mehr zugestellt werden könnten. Es gibt da draußen in der Welt leider noch einige ältere Mailserver die nur maximal SSLv3 unterstützen, sodass diese dann außen vor bleiben würden, und das will man aktuell noch nicht solange SSLv3 noch nicht als gebrochen gilt. Es bröckelt zwar in den letzten Jahren hier und da leicht, gilt aber noch als sicher.

Tagged with:
Feb 09

Heute möchte ich kurz eine andere Webseite zum Thema E-Mail vorstellen, die ich regelmäßig bei Recherchen besuche: www.emailtester.de.

emailtester.de existiert seit rund einem Jahr und beschäftigt sich mit den Themen kostenlose Email (Freemail), Mailhosting und anonyme Email. Die Webseite richtet sich mit übersichtlichen Vergleichen primär an Nutzer, die auf schnellem Wege Informationen zu den oben genannten Themen oder einfach einen neuen E-Mail-Anbieter suchen. Als „Low-Involvement-Infoportal“ befasst sich emailtester.de daher nur in einer begrenzten Tiefe mit den Themen. Interessierte werden hingegen gut abgeholt, mit Infos versorgt und zielführend bei ihrer Entscheidung unterstützt. So begleitet beispielsweise unter anderem ein Lexikon zum Thema E-Mail den Rechercheprozess für Nutzer der Seite.

Außerdem bietet emailtester.de in der Kategorie kostenlose E-Mail immer wieder aktuelle Deals und Sonderaktionen mit ausgewählten Mailprovidern. Bei den Sonderaktionen erhalten Nutzer mehr Speicher oder andere Features kostenlos, die sonst nur kostenpflichtig bereitgestellt würden.

Jemand der gerade einen neuen E-Mail-Anbieter sucht oder sich generell für Übersichten von E-Mail-Anbietern interessiert (so wie ich) sollte auf jeden Fall dort vorbeischauen!

Tagged with:
Jan 03

Heute möchte ich den 4,5 Jahre alten Überblick über die Mail-Anhang-Größe aktualisieren. Ich bin heute wieder darüber gestolpert dass es Anbieter gibt die ein Limit von 20 MB haben, und das ist sehr ärgerlich im Jahre 2014, denn heutzutage ist es eigentlich kein Problem mehr solche E-Mails zu versenden. Hochauflösende Digitalkamera-Bilder oder Präsentationen sind schnell mal größer als 10 MB, und dann möchte man eventuell auch mal 2 in einer Mail versenden.

Speicherplatz wird immer günstiger, die Internetleitungen werden schneller, sodass es kaum Gründe gibt die Grenze künstlich niedrig zu halten, außer man möchte die kostenlosen FreeMail-Kunden in die kostenpflichtigen Angebote locken. Dann sollte dort aber auch ein großzügiges Limit gelten.

Hier die aktuellen Zahlen, Stand Januar 2014:

Kostenlose FreeMail Anbieter:

AnbieterProduktAnhang Größe EmpfangAnhang Größe VersandQuelle
Freenetstart100 MB60 MBQuelle
mail.deFreeMail60 MB60 MBQuelle
T-OnlineFreeMail50 MB32 MBQuelle
ArcorPIA basic35 MB35 MBQuelle
GoogleGmail25 MB25 MBQuelle
YahooFreeMail25 MB25 MBQuelle
AOLMail25 MB25 MBQuelle
MicrosoftOutlook.com25 MB25 MBQuelle
ok.deFreemail20 MB20 MBQuelle
GMXFreeMail20 MB20 MBQuelle
web.deFree20 MB20 MBQuelle
eclipso.deFreeMail20 MB20 MBQuelle
DirectBOXfree10 MB10 MBQuelle

Kostenpflichtige Premium Anbieter:

AnbieterProduktAnhang Größe EmpfangAnhang Größe VersandQuelle
mail.dePowerMail100 MB100 MBQuelle
mail.deProMail100 MB100 MBQuelle
mail.dePlusMail100 MB100 MBQuelle
GMXTopMail100 MB100 MBQuelle
ok.dePremium100 MB100 MBQuelle
Freenetsafe100 MB60 MBQuelle
Freenetclassic100 MB60 MBQuelle
web.deClub50 MB50 MBQuelle
GMXProMail50 MB50 MBQuelle
PosteoPostfach50 MB50 MBQuelle
mailbox.orgPostfach40 MB40 MBQuelle
T-OnlineCloud50 MB32 MBQuelle
ArcorPIA plus35 MB35 MBQuelle
ArcorPIA special35 MB35 MBQuelle
DirectBOXpro30 MB30 MBQuelle
eclipso.dePremium30 MB30 MBQuelle
DirectBOXeco20 MB20 MBQuelle

Ich habe alles über 60 MB grün markiert, und alles unter 20 MB rot da ich denke dass das nicht mehr zeitgemäß ist und schonmal knapp werden kann.

E-Mail Anhänge werden nach wie vor häufig genutzt. Viele Anbieter bieten zwar auch die Möglichkeit große Dateien nur per Link zu versenden, sodass der Empfänger dann die Datei von einem Webserver herunterladen muss. Nachteile davon sind jedoch dass die Datei eventuell gelöscht wird und einige Wochen, Monate oder Jahre später nicht mehr verfügbar sind. Oder aber man kann sie nicht durchsuchen oder sie auch nutzen wenn mal keine Internetverbindung besteht. Auch ist diese Link-Versende-Funktionalität nur aus dem jeweiligen Webmailer des Anbieters nutzbar, wer Outlook oder Thunderbird nutzt wird Dateien nach wie vor als Anhänge versenden.

Auch wer selbst Dateien immer erst beim Anbieter hochlädt und nur den Link versendet, möchte trotzdem von anderen Leuten, die Dateien per Anhang versenden, diese empfangen können. Auf eine möglichst hohe Anhanggröße sollte also geachtet werden.

Tagged with:
preload preload preload