E-Mail Anbieter und E-Mail Dienste : Vergleiche, News und Trends

Okt 05

IPv6 Unterstützung bei E-Mail-Providern

Das Internet ist im Umbruch. Da die seit 30 Jahren eingesetzten IPv4-Internet-Adressen alle vergeben sind ist gerade der Prozess im Gange, Dienste und Internetanschlüssel auf IPv6 umzurüsten. Doch welcher E-Mail-Anbieter bietet bereits das neue Protokoll, welcher Anbieter geht mit der Zeit und ist technisch gesehen vorn mit dabei? Ich habe einige Prüfungen gemacht und dabei ist folgende Tabelle herausgekommen:

Anbieter	Anzahl MX-Server IPv6-fähig	Webmail-URL	Webmail IPv6-fähig	IMAP	POP3	SMTP
Gmail	5/5	mail.google.com	+	+	+	+
mail.de	2/2	my.mail.de	+	+	+	+
Freenet	1/1	webmail.freenet.de	-	+	+	+
Strato	2/2	communicator.strato.com	-	+	+	+
T-Online	0/4	email.t-online.de	-	-	-	-
Arcor	0/1	www.arcor.de	-	-	-	-
emailn.de	0/1	www.emailn.de	-	-	-	-
1und1	0/2	webmailcluster.1und1.de	-	-	-	-
Kabelmail	0/1	sso.kabelmail.de	-	-	-	-
outlook.com / Hotmail	0/4	dub124.mail.live.com	-	-	-	-
iCloud	0/6	www.icloud.com	-	-		-
Yahoo	0/3	mail.yahoo.com	-	-	-	-
GMX	0/2	navigator.gmx.net	-	-	-	-
web.de	0/2	navigator.web.de	-	-	-	-
AOL	0/4	mail.aol.com	-	-	-	-
all-inkl	0/1	webmail.all-inkl.com	-	-	-	-
ok.de	0/5	web1.ok.de	-	-	-	-
mail.com	0/2	service.mail.com	-	-	-	-

Wie hier schön zu sehen ist: Außer Google und mail.de bietet keiner bisher eine durchgängige IPv6-Unterstützung an. Bei einigen, wie beispielsweise T-Online oder Yahoo, sind die Portalseiten per IPv6 verfügbar, aber die E-Mail-Server oder der Webmail-Dienst nicht.

Die IPv6 Nutzung steigt stark an, in den letzten 2 Jahren hat sie sich weltweit um 600% erhöht (von 0.3% auf 1,8%), in Deutschland sind es aktuell 4,7% wenn man die Zahlen von Google aus der Statistik nimmt. Es gibt weltweit also bereits viele Millionen Internetanschlüsse die das neue IPv6 beherrschen, die Anbieter hängen hinterher. Es ist also Zeit hier nicht den Anschluss zu verpassen und das neue Protokoll zu fördern damit die Übergangszeit (IPv4 und IPv6 werden aktuell parallel betrieben) möglichst kurz wird, Google und mail.de zeigen wo es lang geht. IPv6 ist die Zukunft des Internets!

Hier gibt es die .zip-Datei mit den Tests und Ergebnissen als Download.

Tagged with: IPv6 • Zukunft

Jun 25

Verschlüsselung von Server-to-Server Verbindungen

Datensicherheit, E-Mail Anbieter, E-Mail Vergleich, email anbieter test, email anbieter vergleich, email provider vergleich, Sicherheit im Netz No Comments »

Vor wenigen Tagen hat der Whistleblower Edward Snowden der Öffentlichkeit bekannt gemacht dass Geheimdienste unsere Kommunikation im großen Stil belauschen. Im Falle der USA (Projektname Prism) werden sowohl gespeicherte Daten als auch Live-Kommunikation direkt bei den Anbietern abgefragt. Angeblich soll die NSA direkten Zugriff auf die Server von Google, Apple, Yahoo, Microsoft usw. haben.

Der britische Geheimdienst GCHQ (Projektname Tempora) zapft transatlantische Glasfaserkabel an, sodass ein Großteil der britischen Kommunikation abgehorcht wird. Da aber nicht nur britische Daten sondern auch die Daten aller europäischen Länder zum großen Teil über Großbritannien nach Amerika gelangen, sind „wir“ auch betroffen von der großen Lauschaktion. Es gibt auch Abhöreinrichtungen hier in Deutschland, beispielsweise beim größten deutschen Internetknoten DECIX.

Wie werden E-Mails übertragen?

Eine E-Mail von Person A nach Person B muss in den meisten Fällen 3 Wege nehmen:

Vom Absender A zum eigenen E-Mail-Anbieter, häufig via Webmail oder externem Client (Outlook, Thunderbird…) unter Zuhilfenahme des SMTP-Protokolls. Bei dieser Einlieferung bieten eigentlich alle Anbieter eine Verschlüsselung an, entweder wird das ältere Verfahren SMTP-SSL angeboten (Port 465) oder das modernere STARTTLS über Port 25 oder 587. Falls der Webmailer benutzt wird unterstützen fast alle HTTPS. Hierbei kann die E-Mail also verschlüsselt übertragen werden, ein „Mitlauschen auf dem Kabel“ ist nicht möglich.
Der Anbieter des Absenders kümmert sich nun darum die E-Mail an den Anbieter des Empfängers B zu senden. Dazu schaut er im DNS-System nach welcher Mailserver zuständig ist, verbindet sich mit diesem und sendet die E-Mail an den Server des Empfängers. Dabei können diese beiden Server auch verschlüsselt kommunizieren wenn es beide unterstützen. Falls einer von beiden es nicht beherrscht, wird die E-Mail im Klartext übertragen und kann problemlos mitgeschnitten werden.
Wenn die E-Mail im Postfach des Empfängers B liegt kann der Empfänger sie mittels Webmail, IMAP oder POP3 abholen. Hierbei bieten auch wiederum die meisten Anbieter eine Verschlüsselung an, sei es HTTPS im Falle des Webmailers oder SSL bzw. TLS im Falle von IMAP und POP3.

Bei den Schritten 1 und 3 bieten wie bereits geschrieben die meisten Anbieter eine Verschlüsselung an, wenn der Benutzer es aktiviert und nutzt ist die Kommunikation abhörsicher. Problematisch ist Schritt 2, denn darüber haben weder der Sender A noch der Empänger B die Kontrolle. Häufig wird dieser Schritt auch vergessen, man denkt man verbinde sich verschlüsselt via IMAP und meint dann, die E-Mail sei nach wie vor geheim.

Verschlüsselung bei den Anbietern

Um herauszufinden welcher Anbieter bei der sogenannten Server-to-Server (Schritt 2) Verbindung eine Verschlüsselung anbietet habe ich einige Tests gemacht. Dazu habe ich mit Hilfe des Dienstes CheckTLS die wichtigsten E-Mail-Anbieter untersucht, und zwar ob die Eingangsserver STARTTLS anbieten:

Anbieter	TLS Advertisement	Certificate OK	TLS Negotiation
Freenet	OK	OK	OK
mail.de	OK	OK	OK
Arcor	OK	OK	OK
Googlemail	OK	OK	FAIL
emailn.de	OK	OK	FAIL
1und1	OK	OK	FAIL
kabelmail	OK	OK	FAIL
Yahoo	FAIL	FAIL	FAIL
AOL	FAIL	FAIL	FAIL
web.de	FAIL	FAIL	FAIL
GMX	FAIL	FAIL	FAIL
Hotmail/Outlook.com	FAIL	FAIL	FAIL
FacebookMail	FAIL	FAIL	FAIL
Apple me.com/icloud.com	FAIL	FAIL	FAIL
Strato	FAIL	FAIL	FAIL

Alle Anbieter, die ein FAIL zu verzeichnen haben bieten keine sichere Server-to-Server Verschlüsselung an. Sendet also beispielsweise jemand eine E-Mail von Freenet an GMX, dann wird diese E-Mail im Klartext verschickt, denn die Eingangsserver von GMX beherrschen keine Verschlüsselung. Die Details des Tests inklusive der Screenshots der Ergebnisse befinden sich unter diesem Artikel.

Um zu überprüfen ob ein Anbieter bei den Ausgangsservern STARTTLS unterstützt müßte man vom jeweiligen Anbieter eine E-Mail versenden an einen TLS-fähigen Empfängerserver, und dann nachschauen ob TLS genutzt wurde oder nicht. Da ich nur bei einigen Anbietern einen Account habe lasse ich diese Frage erstmal offen.

Fazit

Wie man sieht ist es kein erfreuliches Ergebnis. Bis auf Freenet, mail.de, und Arcor bietet keiner der großen eine einwandfreie sichere Kommunikation zwischen den Servern, ein Mitlauschen ist demnach sehr einfach möglich indem sich, wie gerade veröffentlicht, Geheimdienste an die Knotenpunkte im Internet hängen und einfach mitlesen. Sobald einer der beiden beteiligten Server es nicht unterstützt, wird im Klartext übertragen, was bei einem sehr hohen Prozentsatz der Fall sein wird, denn wenn nur ein Drittel die Verschlüsselung unterstützt müßten die Chancen ungefähr bei 1/9 stehen dass die E-Mails verschlüsselt übertragen werden.

Bei der Auswahl eines Anbieters sollte man also neben der noch freien Wunsch-E-Mail-Adresse auch auf die technische Expertise, den Support und die Sicherheit achten.

: Freenet

: mail.de

: Arcor

: Googlemail

: Yahoo

: web.de

: GMX

: Hotmail

: me.com

: icloud.com

: FacebookMail

: AOL

: Strato

Tagged with: Abhörsicherheit • E-Mails abhören • Lauschangriff • NSA • Prism • Tempora

Okt 23

SSL Sicherheit bei Mailprovidern

Datenschutz, dienste, E-Mail Anbieter, E-Mail Test, email anbieter test, email anbieter vergleich, email provider vergleich, Sicherheit im Netz, vergleich No Comments »

Vor Kurzem las ich über SSL-Probleme, die Ende 2011 bzw. im September 2012 aufkamen unter den Namen BEAST (Browser Exploit Against SSL/TLS) und CRIME (Compression Ratio Info-leak Made Easy). Beide Angriffe sind dazu in der Lage, aus dem eigentlich verschlüsselten Datenstrom zum Beispiel die Session-Cookies auszulesen, womit der Angreifer dann automatisch im Account des Benutzers eingeloggt ist und seine Daten stehlen oder das Passwort ändern kann.

Um eine kurze Übersicht zu erstellen wie es bei den bekannten Mailprovidern aussieht habe ich die unten stehende Tabelle erstellt. Mit Hilfe der Webseite ssllabs.com konnte ich sehr einfach überprüfen ob ein Provider anfällig ist. Stand der Tabelle ist der 23.10.2012 (sortiert nach Punkten):

Anbieter	URL der Testseite	BEAST	CRIME	SSLLabs Punkte	Anmerkung
GoogleMail	Webseite	sicher	sicher	87
mail.de	Webseite	sicher	sicher	87
web.de	Webseite	anfällig	anfällig	85
GMX	Webseite	anfällig	anfällig	85
Arcor	Webseite	anfällig	sicher	66	Schwache Verschlüsselungen, anfälliges SSL 2.0, und: Long handshake intolerance TLS extension intolerance
Freenet	Webseite	anfällig	anfällig	61	Nicht nur anfällig gegen BEAST und CRIME, sondern zusätzlich: This server is vulnerable to MITM attacks because it supports insecure renegotiation. This server is easier to attack via DoS because it supports client-initiated renegotiation.
T-Online	Webseite	anfällig	sicher	52	Nur 52 Punkte, schlechtestes Ergebnis Schwache Verschlüsselungen, anfälliges SSL 2.0 Secure Renegotiation Not supported

Nur Googlemail und mail.de können sich tadellos präsentieren, alle anderen haben Sicherheitsprobleme, die teilweise gravierend sind. Da sollte dringend nachgebessert werden, gerade Provider die von mehreren Millionen Personen genutzt werden sollten auf ihre Sicherheit und die ihrer Kunden achten.

Hier die Screenshots mit dem aktuellen Stand:

Tagged with: BEAST • CRIME • SSL • TLS

Apr 30

Spamaufkommen der E-Mail Anbieter im Vergleich

Allgemein, Anti-Spam, Datenschutz, Datensicherheit, E-Mail Anbieter, E-Mail Flut, email anbieter vergleich, spam, vergleich No Comments »

Laut Fraunhofer-Institut sind 85-95% des gesamten E-Mail Aufkommens Spam. Dies ergab eine Studie, die das Spamaufkommen der verschiedenen kostenlosen E-Mail Anbieter unter die Lupe nahm.
Über einen Zeitraum von vier Wochen wurden dabei Testaccounts der verschiedenen E-Mail Anbieter analysiert. GMX und Web.de belegen die letzten Plätze, da diese Anbieter die User mit eigenen Werbeemails zusätzlich befeuern.

Hier geht es zum Gesamtergebnis: http://www.sit.fraunhofer.de/fhg/Images/FraunhoferSIT-SpamStudie_tcm105-168480.pdf

Verwandte Artikel:

Tagged with: E-Mail Sicherheit • email anbieter • email anbieter vergleich • email news • email spam • sichere e mail • spam

Apr 21

De-Mail vs. E-Postbrief (epost.de): Ein Vergleich

Allgemein, Brief im Internet, De-Mail, De-Mail vs. Brief im Internet, Deutsche Post Mail, E-Mail, E-Mail Anbieter, E-Mail Vergleich, email anbieter vergleich No Comments »

Mitte 2010 soll es soweit sein. Dann soll der Dienst „Brief im Internet“ der Deutschen Post an den Markt gehen. Gleichzeitig steht jedoch auch das Konkurrenzprodukt „De-Mail“ in den Startlöchern. Wie sich die Dienste im Detail unterscheiden wird hier demnächst im Detail dargestellt.

Den aktuellen Stand der Entwicklung entnehmen Sie folgenden Links: