Mrz 24

E-Mail-Verschlüsselung zwischen E-Mail-Providern ist optional, die beiden beteiligten Mailserver sprechen sich ab ob sie beide verschlüsseln können, und wenn ja mit welchem Verschlüsselungsalgorithmus und welcher Schlüssellänge die Verbindung abgesichert wird.

Hier eine kleine Tabelle mit einigen Ergebnissen vom Online-Dienst starttls.info. Diese Webseite testet den empfangenden Mailserver auf Verschlüsselungsfeatures:

AnbieterPunkteProtokolleSchlüssellängeChiffre
GMail90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
mail.de90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
GMX90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
web.de90,6%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit128-256bit
T-Online86,8%Supports TLSV12048bit128-168bit
Yahoo83,2%Supports SSLV3.
Supports TLSV1
2048bit128-256bit
kabelmail.de83,2%Supports SSLV3
Supports TLSV1
2048bit128-256bit
Freenet79,2%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
2048bit40-256bit
emailn.de73,2%Supports SSLV3.
Supports TLSV1
Supports TLSV1.1
Supports TLSV1.2
selbstsigniert
2048bit
56-256bit
ok.de40,5%Supports SSLV3
Supports TLSV1
Anonymous Diffie-Hellman
2048bit
0-168bit
Arcor37,6%Supports SSLV2
Supports SSLV3
Supports TLSV1
Anonymous Diffie-Hellman
2048bit
0-256bit
mailde.de31,6%Supports SSLV2
Supports SSLV3
Supports TLSV1
selbstsigniert
Hostname stimmt nicht
Anonymous Diffie-Hellman

2048bit
0-256bit
outlook.com0%---
icloud.com0%---

Einige Anbieter legen nach wie vor nicht die nötige Priorität auf die Verschlüsselung, auch Monate nach den Snowden-Informationen und mit dem Wissen dass Geheimdienste und andere Interessierte unsere Daten abhören und mitschneiden gibt es dort kein Mindestmaß an Sicherheit. Aber im Vergleich zu 2012 haben einige nachgebessert, wenn auch noch nicht das maximal mögliche rausgeholt wird.

Mehr als 90,6% kann man übrigens nur bekommen indem man ältere Protokolle wie z.B. SSLv3 oder TLSv1 abschaltet. Das jedoch kann sich kein Anbieter erlauben da dann einige E-Mails nicht mehr zugestellt werden könnten. Es gibt da draußen in der Welt leider noch einige ältere Mailserver die nur maximal SSLv3 unterstützen, sodass diese dann außen vor bleiben würden, und das will man aktuell noch nicht solange SSLv3 noch nicht als gebrochen gilt. Es bröckelt zwar in den letzten Jahren hier und da leicht, gilt aber noch als sicher.

Tagged with:
Mrz 21

Microsoft durchsucht die E-Mail-Postfächer seiner Nutzer, und zwar nicht automatisch durch Algorithmen sondern auch manuell durch Personen, ohne dass die davon etwas wissen oder gar gefragt werden.

Microsoft kritisierte Google sehr scharf in der Vergangenheit dafür dass sie die E-Mails der GMail-Nutzer scannen würden um personalisierte Werbung anzeigen zu können. Mit der Scroogled Kampagne hetzt Microsoft gegen Google, dass dort der Datenschutz der Nutzer nicht beachtet werde, und man deshalb von Google weggehen und Microsoft Dienste und Hardware nutzen solle. Das hat aber einen besonders faden Beigeschmack wenn Microsoft selbst auch die E-Mails und Daten der eigenen Benutzer scannt und durchsucht.

Nun ist herausgekommen dass Microsoft auf der Suche nach einem internen Geheimnisverräter auch das E-Mail-Konto eines Hotmail-Nutzers durchsucht hat, und zwar nicht mit automatisierten Algorithmen sondern persönlich durch Mitarbeiter. Als Rechtfertigung ließ Microsoft verlauten: „Wie dürfen das laut AGB“. Na toll, erst den großen Moralapostel spielen und dann selbst die Daten der eigenen Nutzer durchsuchen.

Hotmail bzw. outlook.com ist auch einer der wenigen E-Mail-Anbieter die noch keine STARTTLS-Transportverschlüsselung anbieten, eigentlich ein Ding der Unmöglichkeit im Jahre 2014, nach den Snowden-Enthüllungen. Aber aus irgendeinem Grund scheint sich Microsoft gegen diesen Schutz zu entscheiden. Man kann nur jedem raten von Microsofts E-Mail-Diensten die Finger zu lassen.

Der Trend geht also weiter Richtung deutsche Anbieter, die dem deutschen Datenschutzgesetz folgen müssen und sich an strengere Regeln halten müssen, denn in Amerika gibt es kein Bundesdatenschutzgesetz oder ähnliches. Durch Vorfälle wie diese entscheiden sich immer mehr Deutsche für einen Umzug zu einem deutschen E-Mail-Anbieter.

Tagged with:
preload preload preload