Jun 17

Servicewüste Deutschland, dieses Vorurteil hört man immer wieder. Doch stimmt das auch für E-Mail-Anbieter? Ich habe versucht für alle gängigen E-Mail-Anbieter die Kontaktmöglichkeiten bei Problemen oder Fragen herauszufinden, gesucht habe ich nach E-Mail-Adressen, Telefonnummern, einem Twitter- und Facebookaccount. Hier meine Rechercheergebnisse vom 11.06.2014 (bitte in die Kommentare schreiben falls ihr Lücken füllen könnt):

RangAnbieterper E-Mailper Telefonper Twitterper Facebook
1mail.desupport@mail.de05241 74 34 982 (Festnetztarif)@mail_demail.de
2Freenetsupport@freenet.de0900 1750850 (0,14€ bis 1,29€)Nicht gefundenfreenetMail
3GMXkein Support per E-MailFreeMail: 0900 1000 877 (3,99€ pro Anruf)
Pro- oder TopMail: 0721 960 99 99 (Festnetztarif)
GMXGMXde
4web.dekein Support per E-MailFreeMail: 0900 1 93 23 30 (3,99€ pro Anruf)
web.de Club: 721 960 99 97 (Festnetztarif)
WEBDEWEB.DE
5Yahookein Support per E-Mail001 800 318 0612 (nur Roboter, amerikanische Nummer)@YahooCareYahooCustomerCare
6Posteosupport@posteo.dekein Support per Telefon@Posteo_denicht auffindbar
7GMailkein Support per E-Mailkein Support per TelefongmailGmail
8Outlook.comkein Support per E-Mailkein Support per Telefon@Outlookoutlook
9T-Onlinekein Support per E-Mailkein Support per Telefon@Telekom_hilfttelekomhilft

3,99€ pro Anruf finde ich eine Frechheit. Kein Support per E-Mail finde ich für einen E-Mail-Anbieter auch sehr ungewöhnlich.

Die Twitter- und Facebook-Accounts von der Telekom sind sicherlich zu loben, dort wird einem geholfen, aber seine Fragen nur öffentlich stellen zu können mag auch in diversen Situationen abschreckend sein, ein persönlicher Weg per E-Mail oder Telefon wäre sicherlich hilfreich in einigen Fällen.

Yahoo bietet zwar ausführliche Hilfeseiten, aber rein englische Twitter- und Facebookseiten sowie einen englischen Telefonroboter unter einer amerikanischen Telefonnummer dürfte auch viele Nutzer abschrecken.

Tagged with:
Mrz 24

E-Mail-Verschlüsselung zwischen E-Mail-Providern ist optional, die beiden beteiligten Mailserver sprechen sich ab ob sie beide verschlüsseln können, und wenn ja mit welchem Verschlüsselungsalgorithmus und welcher Schlüssellänge die Verbindung abgesichert wird.

Hier eine kleine Tabelle mit einigen Ergebnissen vom Online-Dienst starttls.info. Diese Webseite testet den empfangenden Mailserver auf Verschlüsselungsfeatures:

AnbieterPunkteProtokolleSchlüssellängeChiffre
GMail90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
mail.de90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
GMX90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
web.de90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
T-Online86,8%Supports TLSV12048bit128-168bit
Yahoo83,2%Supports SSLV3.
Supports TLSV1
2048bit128-256bit
kabelmail.de83,2%Supports SSLV3
Supports TLSV1
2048bit128-256bit
Freenet79,2%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit40-256bit
emailn.de73,2%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
selbstsigniert
2048bit
56-256bit
ok.de40,5%Supports SSLV3
Supports TLSV1
Anonymous Diffie-Hellman
2048bit
0-168bit
Arcor37,6%Supports SSLV2
Supports SSLV3
Supports TLSV1
Anonymous Diffie-Hellman
2048bit
0-256bit
mailde.de31,6%Supports SSLV2
Supports SSLV3
Supports TLSV1
selbstsigniert
Hostname stimmt nicht
Anonymous Diffie-Hellman

2048bit
0-256bit
outlook.com0%---
icloud.com0%---

Einige Anbieter legen nach wie vor nicht die nötige Priorität auf die Verschlüsselung, auch Monate nach den Snowden-Informationen und mit dem Wissen dass Geheimdienste und andere Interessierte unsere Daten abhören und mitschneiden gibt es dort kein Mindestmaß an Sicherheit. Aber im Vergleich zu 2012 haben einige nachgebessert, wenn auch noch nicht das maximal mögliche rausgeholt wird.

Mehr als 90,6% kann man übrigens nur bekommen indem man ältere Protokolle wie z.B. SSLv3 oder TLSv1 abschaltet. Das jedoch kann sich kein Anbieter erlauben da dann einige E-Mails nicht mehr zugestellt werden könnten. Es gibt da draußen in der Welt leider noch einige ältere Mailserver die nur maximal SSLv3 unterstützen, sodass diese dann außen vor bleiben würden, und das will man aktuell noch nicht solange SSLv3 noch nicht als gebrochen gilt. Es bröckelt zwar in den letzten Jahren hier und da leicht, gilt aber noch als sicher.

Tagged with:
Mrz 21

Microsoft durchsucht die E-Mail-Postfächer seiner Nutzer, und zwar nicht automatisch durch Algorithmen sondern auch manuell durch Personen, ohne dass die davon etwas wissen oder gar gefragt werden.

Microsoft kritisierte Google sehr scharf in der Vergangenheit dafür dass sie die E-Mails der GMail-Nutzer scannen würden um personalisierte Werbung anzeigen zu können. Mit der Scroogled Kampagne hetzt Microsoft gegen Google, dass dort der Datenschutz der Nutzer nicht beachtet werde, und man deshalb von Google weggehen und Microsoft Dienste und Hardware nutzen solle. Das hat aber einen besonders faden Beigeschmack wenn Microsoft selbst auch die E-Mails und Daten der eigenen Benutzer scannt und durchsucht.

Nun ist herausgekommen dass Microsoft auf der Suche nach einem internen Geheimnisverräter auch das E-Mail-Konto eines Hotmail-Nutzers durchsucht hat, und zwar nicht mit automatisierten Algorithmen sondern persönlich durch Mitarbeiter. Als Rechtfertigung ließ Microsoft verlauten: „Wie dürfen das laut AGB“. Na toll, erst den großen Moralapostel spielen und dann selbst die Daten der eigenen Nutzer durchsuchen.

Hotmail bzw. outlook.com ist auch einer der wenigen E-Mail-Anbieter die noch keine STARTTLS-Transportverschlüsselung anbieten, eigentlich ein Ding der Unmöglichkeit im Jahre 2014, nach den Snowden-Enthüllungen. Aber aus irgendeinem Grund scheint sich Microsoft gegen diesen Schutz zu entscheiden. Man kann nur jedem raten von Microsofts E-Mail-Diensten die Finger zu lassen.

Der Trend geht also weiter Richtung deutsche Anbieter, die dem deutschen Datenschutzgesetz folgen müssen und sich an strengere Regeln halten müssen, denn in Amerika gibt es kein Bundesdatenschutzgesetz oder ähnliches. Durch Vorfälle wie diese entscheiden sich immer mehr Deutsche für einen Umzug zu einem deutschen E-Mail-Anbieter.

Tagged with:
Feb 09

Heute möchte ich kurz eine andere Webseite zum Thema E-Mail vorstellen, die ich regelmäßig bei Recherchen besuche: www.emailtester.de.

emailtester.de existiert seit rund einem Jahr und beschäftigt sich mit den Themen kostenlose Email (Freemail), Mailhosting und anonyme Email. Die Webseite richtet sich mit übersichtlichen Vergleichen primär an Nutzer, die auf schnellem Wege Informationen zu den oben genannten Themen oder einfach einen neuen E-Mail-Anbieter suchen. Als „Low-Involvement-Infoportal“ befasst sich emailtester.de daher nur in einer begrenzten Tiefe mit den Themen. Interessierte werden hingegen gut abgeholt, mit Infos versorgt und zielführend bei ihrer Entscheidung unterstützt. So begleitet beispielsweise unter anderem ein Lexikon zum Thema E-Mail den Rechercheprozess für Nutzer der Seite.

Außerdem bietet emailtester.de in der Kategorie kostenlose E-Mail immer wieder aktuelle Deals und Sonderaktionen mit ausgewählten Mailprovidern. Bei den Sonderaktionen erhalten Nutzer mehr Speicher oder andere Features kostenlos, die sonst nur kostenpflichtig bereitgestellt würden.

Jemand der gerade einen neuen E-Mail-Anbieter sucht oder sich generell für Übersichten von E-Mail-Anbietern interessiert (so wie ich) sollte auf jeden Fall dort vorbeischauen!

Tagged with:
Jan 20

Perfect Forward Secrecy (PFS) ist in aller Munde seit den Enthüllungen durch Edward Snowden. Wir wissen nun definitiv dass die NSA alle Daten mitschneidet die sie in die Finger kriegt, um sie eventuell in einigen Jahren, wenn die Computer schnell genug sind oder Quantencomputer verfügbar sind, komplett zu entschlüsseln, die ganze Vergangenheit der letzten X Jahre.

Damit genau das nicht möglich ist gibt es Verschlüsselungsstandards (Ciphers) die das komplette nachträgliche Entschlüsseln mit nur einem Schlüssel unmöglich machen. Jede einzelne Verbindung muss dann geknackt werden, was natürlich millionenfach mehr Arbeit bedeutet. Doch welcher E-Mail-Anbieter bietet solche Verschlüsselungen mit Perfect Forward Secrecy?

Ich habe ein kleines Testscript geschrieben und es bei 14 E-Mail-Anbietern laufen lassen. Alle Ciphers die mit DH (Diffie-Hellman-Schlüsselaustausch) oder ECDH (Elliptic Curve Diffie-Hellman) beginnen sind PFS-fähig.

AnbieterIMAP DienstPOP3 DienstSMTP Dienst
mail.deECDHE-RSA-RC4-SHAECDHE-RSA-RC4-SHAECDHE-RSA-AES256-SHA
GoogleMailECDHE-RSA-RC4-SHAECDHE-RSA-RC4-SHAECDHE-RSA-RC4-SHA
freenet.deDHE-RSA-AES256-SHADHE-RSA-AES256-SHADHE-RSA-AES256-SHA
AOLDHE-RSA-AES256-SHADHE-RSA-AES256-SHADHE-RSA-AES256-SHA
ok.deDHE-RSA-AES256-SHADHE-RSA-AES256-SHADHE-RSA-AES256-SHA
ArcorAES256-SHAAES256-SHADHE-RSA-AES256-SHA
GMXAES256-SHAAES256-SHAECDHE-RSA-AES256-SHA
web.deAES256-SHAAES256-SHAECDHE-RSA-AES256-SHA
T-OnlineAES256-SHADES-CBC3-SHADES-CBC3-SHA
1und1AES256-SHAAES256-SHAAES256-SHA
emailn.deAES256-SHAAES256-SHAAES256-SHA
outlook.comAES128-SHARC4-MD5RC4-MD5
iCloudRC4-MD5-- kein POP3 Support --RC4-MD5
YahooRC4-SHARC4-SHARC4-SHA

Ich habe die PFS-fähigen Dienste grün markiert und nach Anzahl sortiert. Die elliptischen Kurven sind dabei neuer und noch etwas sicherer, deshalb stehen sie ganz oben.

Nur ein Drittel kann sich als sicher bezeichnen. Besonders enttäuschend sind natürlich die großen deutschen Anbieter GMX, web.de und T-Online, die mehr als 75% des deutschen Marktes abdecken. Wie auch bereits in anderen Sicherheitstests hier im Blog zu sehen kümmern sie sich nicht sonderlich engagiert um maximale Sicherheit.

Technisches Detail: Ich habe die SSL-Ports untersucht wo dies möglich ist. Nur wenn dies nicht möglich war habe ich die STARTTLS-Verbindungen untersucht.

Tagged with:
preload preload preload