E-Mail-Verschlüsselung zwischen E-Mail-Providern ist optional, die beiden beteiligten Mailserver sprechen sich ab ob sie beide verschlüsseln können, und wenn ja mit welchem Verschlüsselungsalgorithmus und welcher Schlüssellänge die Verbindung abgesichert wird.
Hier eine kleine Tabelle mit einigen Ergebnissen vom Online-Dienst starttls.info. Diese Webseite testet den empfangenden Mailserver auf Verschlüsselungsfeatures:
Anbieter | Punkte | Protokolle | Schlüssellänge | Chiffre |
---|---|---|---|---|
GMail | 90,6% | Supports SSLV3. Supports TLSV1 Supports TLSV1.1 Supports TLSV1.2 | 2048bit | 128-256bit |
mail.de | 90,6% | Supports SSLV3. Supports TLSV1 Supports TLSV1.1 Supports TLSV1.2 | 2048bit | 128-256bit |
GMX | 90,6% | Supports SSLV3. Supports TLSV1 Supports TLSV1.1 Supports TLSV1.2 | 2048bit | 128-256bit |
web.de | 90,6% | Supports SSLV3. Supports TLSV1 Supports TLSV1.1 Supports TLSV1.2 | 2048bit | 128-256bit |
T-Online | 86,8% | Supports TLSV1 | 2048bit | 128-168bit |
Yahoo | 83,2% | Supports SSLV3. Supports TLSV1 | 2048bit | 128-256bit |
kabelmail.de | 83,2% | Supports SSLV3 Supports TLSV1 | 2048bit | 128-256bit |
Freenet | 79,2% | Supports SSLV3. Supports TLSV1 Supports TLSV1.1 Supports TLSV1.2 | 2048bit | 40-256bit |
emailn.de | 73,2% | Supports SSLV3. Supports TLSV1 Supports TLSV1.1 Supports TLSV1.2 | selbstsigniert 2048bit | 56-256bit |
ok.de | 40,5% | Supports SSLV3 Supports TLSV1 | Anonymous Diffie-Hellman 2048bit | 0-168bit |
Arcor | 37,6% | Supports SSLV2 Supports SSLV3 Supports TLSV1 | Anonymous Diffie-Hellman 2048bit | 0-256bit |
mailde.de | 31,6% | Supports SSLV2 Supports SSLV3 Supports TLSV1 | selbstsigniert Hostname stimmt nicht Anonymous Diffie-Hellman 2048bit | 0-256bit |
outlook.com | 0% | - | - | - |
icloud.com | 0% | - | - | - |
Einige Anbieter legen nach wie vor nicht die nötige Priorität auf die Verschlüsselung, auch Monate nach den Snowden-Informationen und mit dem Wissen dass Geheimdienste und andere Interessierte unsere Daten abhören und mitschneiden gibt es dort kein Mindestmaß an Sicherheit. Aber im Vergleich zu 2012 haben einige nachgebessert, wenn auch noch nicht das maximal mögliche rausgeholt wird.
Mehr als 90,6% kann man übrigens nur bekommen indem man ältere Protokolle wie z.B. SSLv3 oder TLSv1 abschaltet. Das jedoch kann sich kein Anbieter erlauben da dann einige E-Mails nicht mehr zugestellt werden könnten. Es gibt da draußen in der Welt leider noch einige ältere Mailserver die nur maximal SSLv3 unterstützen, sodass diese dann außen vor bleiben würden, und das will man aktuell noch nicht solange SSLv3 noch nicht als gebrochen gilt. Es bröckelt zwar in den letzten Jahren hier und da leicht, gilt aber noch als sicher.