E-Mail Anbieter und E-Mail Dienste : Vergleiche, News und Trends

Nov 12

Beim E-Mail-Versand die IP-Adresse des Versenders schützen

Datenschutz, E-Mail, E-Mail Anbieter, E-Mail Test, E-Mail Vergleich, email anbieter vergleich, email provider vergleich, Sicherheit im Netz No Comments »

Aus aktuellem Anlass wurden einige Anbieter geprüft, wie diese mit der IP-Adresse des Versenders verfahren. Werden diese anonymisiert oder in Klarform in den erweiterten Headerinformationen gespeichert?

Wer gelegentlich E-Mails an Mailinglisten schreibt oder an Personen, die nicht unbedingt wissen sollen aus welcher Stadt/Gegend man kommt, für den ist es nicht uninteressant, wie die großen E-Mail-Provider mit der IP-Adresse des Computers umgehen von der die E-Mails versendet werden.

Verräterisch können dabei die E-Mail-Header (deutsch: Kopfzeilen) sein, in denen viele E-Mail-Anbieter die IP-Adresse vermerken, anhand der Empfänger sehen, aus welcher Gegend/ Stadt die E-Mail geschrieben wurde. Eventuell können noch weitere Schlüsse aus diesem Header gezogen werden. Beispielsweise schreiben einige Anbieter sogar die interne Netzwerkadresse oder den Computernamen in die Header !

Es geht um die sogenannten „Received-Header“, die in einer E-Mail anzeigen von welchem Ort und wohin diese transportiert wurde. Und zu diesem Transportweg gehört bei einigen Anbietern auch der einliefernde Computer, der die E-Mail verfasst und abschickt. Aus Datenschutzgründen möchte man natürlich nicht, dass die Empfänger wissen, von welchem Ort die E-Mail versendet wurde, mit welchem Gerät die E-Mail geschrieben wurde und wie das interne Netzwerk aussieht.

Gerade im geschäftlichen E-Mail-Verkehr kann eine nicht vorhandene Anonymisierung der IP-Adresse zu Unannehmlichkeiten führen. Ein Beispiel:

Der Firmensitz der eigenen Firma ist in Deutschland. Die Geschäftskontakte (Lieferanten, Kunden etc.) sind ebenfalls alle in Deutschland ansässig. Die Geschäfte lassen sich aufgrund des Internetzeitalters von der ganzen Welt aus steuern, so daß man eine zeitlang seine Geschäfte aus dem Ausland, zum Beispiel vom Zweitwohnsitz aus regeln möchte. Dieses sollten Geschäftspartner und Kunden nicht wissen, so daß die Nutzung eines E-Mail Providers von Vorteil wäre, der die sensiblen Daten, wie IP-Adresse und den Computernamen etc. nicht in den Received-Headern abspeichert. Nutzt man den falschen E-Mail Provider kann im Zweifel der Standort des Senders vom Empfänger herausgefunden werden. Lieferanten könnten aufgrund der ausländischen IP/des vermeintlich ausländischen Firmensitzes misstrauisch werden, Bürgschaften aus Sicherheitsgründen verlangen oder im schlimmsten Fall den Liefervertrag aus Vorsicht kündigen…

Anbei die Übersicht, getrennt nach Anbietern und jeweils der Angabe beim Versand über den Webmaildienst oder einem externes Programm (wie z.B. Thunderbird, Apple Mail oder Outlook):

	Versand per SMTP	Versand per Webmailer
mail.de	keine IP enthalten	keine IP enthalten
GMail	interne IP und öffentliche IP	keine IP enthalten
outlook.com	interne IP und öffentliche IP	keine IP enthalten
web.de	interne IP und öffentliche IP	öffentliche IP
GMX	interne IP und öffentliche IP	öffentliche IP
Yahoo	interne IP und öffentliche IP	öffentliche IP
Freenet	interne IP und öffentliche IP	öffentliche IP
T-Online	interne IP und öffentliche IP	öffentliche IP
Arcor	interne IP und öffentliche IP	öffentliche IP

Alle Anbieter, bis auf den recht jungen und neuen E-Mail Provider „mail.de“, verraten die Absende-IP-Adresse, wenn eine E-Mail mit einem E-Mail-Client versendet wird, ebenso wie sogar der Computername bzw. die interne IP-Adresse des Computers festgehalten. Es hängt vom E-Mail-Client ab, ob die interne IP-Adresse oder gar der Computernamen (Bernd-PC) auftaucht.

Man sollte sich sicher sein, dass der eigene Anbieter nicht diese sensiblen Daten mit in die E-Mails schreibt, die man verschickt. Zu empfehlen ist also aktuell nur „mail.de“. Oder man nutzt Anonymisierungsdienste wie „Tor“ oder „VPN-Dienste“, was für viele Anwender aber zu kompliziert bzw. zu teuer ist.

Zum besseren nachvollziehen wurden die Textdateien mit Headerbeispielen angehängt. Am besten ist es jedoch selbst auszuprobieren, wie der eigenen E-Mail Provider verfährt: Einfach eine E-Mail versenden und beim Empfänger in die Kopfzeilen schauen! Hilfreich ist auch das bereits hier vorgestellte Thunderbird-Addon MailHops, das grafisch den Weg einer E-Mail anzeigt.

mail.de Arcor gmail GMX outlook.com T-Online web.de Yahoo Freenet

Tagged with: IP-Adresse • Received Header

Mrz 22

De-Mail ist und bleibt unsicher

Datenschutz, De-Mail No Comments »

Von Beginn an kritisieren Datenschützer und IT-Experten das De-Mail Projekt, da es keine End-To-End Verschlüsselung bietet. Dadurch können die beteiligten E-Mail-Provider die verschlüsselten Nachrichten mitlesen, da sie kurzzeitig dort entschlüsselt werden.

Nun soll De-Mail auch für die Behördenkommunikation genutzt werden, sprich Austausch zwischen Behörden. Das Finanzamt hat sich nun gemeldet und gesagt dass das gegen das Steuergeheimnis verstösst, denn die De-Mails sind ja bei den Providern entschlüsselbar, und das ist verboten, die Steuerdaten sind geheim zu halten auf dem Transportweg.
Was wird nun gemacht? Anstatt kein De-Mail zu verwenden oder De-Mail sicherer zu machen, wird einfach die Abgabenordnung geändert, damit das Entschlüsseln bei den Providern kein Verstoss mehr ist. Toll oder?

Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger […] über De-Mail-Dienste […] versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung […] zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten […] stattfindet.

D.h. auch wenn man selbst aus gutem Grund kein De-Mail nutzt weil es unsicher ist, bekommen die Provider trotzdem Zugriff weil ja auch innerhalb der Behörden Dinge hin- und hergeschickt werden, dagegen kann man sich nicht wehren. Man darf seine Steuerdaten also bald als öffentlich betrachten.

Gegen eine wirksame und sicherer End-To-End-Verschlüsselung gibt es kaum Gründe, außer dass es nicht mehr abgehört werden kann. PGP, S/MIME etc. sind seit mehr als 20 Jahren etabliert und gelten als sicher.

Ich schüttle nur mit dem Kopf, das kann nicht wahr sein was die da oben machen…

Okt 23

SSL Sicherheit bei Mailprovidern

Datenschutz, dienste, E-Mail Anbieter, E-Mail Test, email anbieter test, email anbieter vergleich, email provider vergleich, Sicherheit im Netz, vergleich No Comments »

Vor Kurzem las ich über SSL-Probleme, die Ende 2011 bzw. im September 2012 aufkamen unter den Namen BEAST (Browser Exploit Against SSL/TLS) und CRIME (Compression Ratio Info-leak Made Easy). Beide Angriffe sind dazu in der Lage, aus dem eigentlich verschlüsselten Datenstrom zum Beispiel die Session-Cookies auszulesen, womit der Angreifer dann automatisch im Account des Benutzers eingeloggt ist und seine Daten stehlen oder das Passwort ändern kann.

Um eine kurze Übersicht zu erstellen wie es bei den bekannten Mailprovidern aussieht habe ich die unten stehende Tabelle erstellt. Mit Hilfe der Webseite ssllabs.com konnte ich sehr einfach überprüfen ob ein Provider anfällig ist. Stand der Tabelle ist der 23.10.2012 (sortiert nach Punkten):

Anbieter	URL der Testseite	BEAST	CRIME	SSLLabs Punkte	Anmerkung
GoogleMail	Webseite	sicher	sicher	87
mail.de	Webseite	sicher	sicher	87
web.de	Webseite	anfällig	anfällig	85
GMX	Webseite	anfällig	anfällig	85
Arcor	Webseite	anfällig	sicher	66	Schwache Verschlüsselungen, anfälliges SSL 2.0, und: Long handshake intolerance TLS extension intolerance
Freenet	Webseite	anfällig	anfällig	61	Nicht nur anfällig gegen BEAST und CRIME, sondern zusätzlich: This server is vulnerable to MITM attacks because it supports insecure renegotiation. This server is easier to attack via DoS because it supports client-initiated renegotiation.
T-Online	Webseite	anfällig	sicher	52	Nur 52 Punkte, schlechtestes Ergebnis Schwache Verschlüsselungen, anfälliges SSL 2.0 Secure Renegotiation Not supported

Nur Googlemail und mail.de können sich tadellos präsentieren, alle anderen haben Sicherheitsprobleme, die teilweise gravierend sind. Da sollte dringend nachgebessert werden, gerade Provider die von mehreren Millionen Personen genutzt werden sollten auf ihre Sicherheit und die ihrer Kunden achten.

Hier die Screenshots mit dem aktuellen Stand:

Tagged with: BEAST • CRIME • SSL • TLS

Apr 18

Facebook zwingt Usern E-Mail Adresse auf und GoogleMail geht kurzfristig in die Knie

Datenschutz, Email, neue email adresse, postfächer No Comments »

Der E-Mail Markt ist zweifelsohne in Bewegung. Facebook fängt damit an, seinen Nutzern automatisch eine E-Mail Adresse unter @facebook.com zuzuweisen und dringt durch dieses Feature auch in die Gefilde der E-Mail Provider ein. Grund genug, sich mit dem Dienst näher zu beschäftigen:

Auffällig ist die Sperrlichkeit, mit der Facebook den neuen Dienst einführt. In einer kurzen Pressemeldung wird auf die Einführung des neuen Dienstes verwiesen. Aber wie verhält es sich mit den zusätzlichen Daten, die Facebook durch den E-Mail Dienst erhält?

Darf Facebook die externen E-Mail Adressen der Empfänger für eigene Zwecke verwenden? Werden Einladungs-E-Mails an unregistrierte Facebook-User versendet? Werden Inhalte der E-Mails ähnlich wie bei Google durch Software „überwacht“ und anhand erspähter „KeyWords“ entsprechende Werbung eingeblendet? Neben dieser Ungewissheit steht es außer Frage, das Facebook mit der Einführung der E-Mail Adressen sich auch ein Stück weit angreifbar für Spammails von Außerhalb macht. Kommen ausreichend Schutzmassnahmen zum Einsatz? Viele Fragen bleiben derzeit unbeantwortet, so daß jedem verantwortungsvollem E-Mail Anwender zunächst nur geraten werden kann, den Dienst kritisch zu betrachten oder gar vorerst von einer Nutzung abzusehen.

Erst kürzlich konnte Google verkünden, den Rechtsstreit in Deutschland bzgl. der Domain gmail.de beigelegt zu haben. Ob aus diesem Grund technische Umstellungen vorgenommen werden mussten und der Dienst gestern Abend (17.04.2012) teilweise nicht erreichbar war, ist unbekannt. Zumindest berichten viele User über soziale Netzwerke, dass Sie die folgende Fehlermeldung erhalten: „Temporärer Fehler (500) – Leider ist Ihr Google Mail-Konto verübergehend nicht verfügbar. Bitte versuchen Sie es in wenigen Minuten erneut.“

Der mobile Zugriff scheint laut Nutzermeldungen zu funktionieren.
Es ist schon erstaunlich, dass immer wieder auch Weltkonzerne von derartigen Ausfällen betroffen sind. Sollte man doch meinen, dass aufgrund der immensen Nutzerzahlen entsprechende Vorkehrungen getroffen werden. Bleibt abzuwarten, ob der Ausfall auf technische Änderungen durch Einführung der Domain gmail.de zurückzuführen sind.

Tagged with: Downtime • Facebook • Gmail • google

Apr 30

Die E-Mail sorgt für Umsatzrückgang im Briefgeschäft der Deutschen Post

Datenschutz, Datensicherheit, De-Mail, De-Mail vs. Brief im Internet, Deutsche Post Mail, E-Mail Anbieter No Comments »

Was schon lange bekannt war, wird nun mit Zahlen belegt:

2009 sank der Gewinn vor Steuern im klassischen Briefgeschäft um 14 %
2010 soll der Gewinnrückgang gar 30 % ausmachen

Die Deutsche Post sieht den Grund in der kontinuierlich steigenden E-Mail – bzw. Online Kommunikation.
Da trifft es sich ja, dass noch dieses Jahr der Dienst „Brief im Internet“ (alias ePost bzw. E-Postbrief) auf den Markt kommen soll.
Als Konkurrent von De-Mail will die Deutsche Post somit in den Markt der sicheren und rechtsverbindlichen E-Mail einsteigen und so Verluste aus dem Briefgeschäft kompensieren.
Wir sind gespannt!

Verwandte Artikel: