Jan 20

Perfect Forward Secrecy (PFS) ist in aller Munde seit den Enthüllungen durch Edward Snowden. Wir wissen nun definitiv dass die NSA alle Daten mitschneidet die sie in die Finger kriegt, um sie eventuell in einigen Jahren, wenn die Computer schnell genug sind oder Quantencomputer verfügbar sind, komplett zu entschlüsseln, die ganze Vergangenheit der letzten X Jahre.

Damit genau das nicht möglich ist gibt es Verschlüsselungsstandards (Ciphers) die das komplette nachträgliche Entschlüsseln mit nur einem Schlüssel unmöglich machen. Jede einzelne Verbindung muss dann geknackt werden, was natürlich millionenfach mehr Arbeit bedeutet. Doch welcher E-Mail-Anbieter bietet solche Verschlüsselungen mit Perfect Forward Secrecy?

Ich habe ein kleines Testscript geschrieben und es bei 14 E-Mail-Anbietern laufen lassen. Alle Ciphers die mit DH (Diffie-Hellman-Schlüsselaustausch) oder ECDH (Elliptic Curve Diffie-Hellman) beginnen sind PFS-fähig.

AnbieterIMAP DienstPOP3 DienstSMTP Dienst
mail.deECDHE-RSA-RC4-SHAECDHE-RSA-RC4-SHAECDHE-RSA-AES256-SHA
GoogleMailECDHE-RSA-RC4-SHAECDHE-RSA-RC4-SHAECDHE-RSA-RC4-SHA
freenet.deDHE-RSA-AES256-SHADHE-RSA-AES256-SHADHE-RSA-AES256-SHA
AOLDHE-RSA-AES256-SHADHE-RSA-AES256-SHADHE-RSA-AES256-SHA
ok.deDHE-RSA-AES256-SHADHE-RSA-AES256-SHADHE-RSA-AES256-SHA
ArcorAES256-SHAAES256-SHADHE-RSA-AES256-SHA
GMXAES256-SHAAES256-SHAECDHE-RSA-AES256-SHA
web.deAES256-SHAAES256-SHAECDHE-RSA-AES256-SHA
T-OnlineAES256-SHADES-CBC3-SHADES-CBC3-SHA
1und1AES256-SHAAES256-SHAAES256-SHA
emailn.deAES256-SHAAES256-SHAAES256-SHA
outlook.comAES128-SHARC4-MD5RC4-MD5
iCloudRC4-MD5-- kein POP3 Support --RC4-MD5
YahooRC4-SHARC4-SHARC4-SHA

Ich habe die PFS-fähigen Dienste grün markiert und nach Anzahl sortiert. Die elliptischen Kurven sind dabei neuer und noch etwas sicherer, deshalb stehen sie ganz oben.

Nur ein Drittel kann sich als sicher bezeichnen. Besonders enttäuschend sind natürlich die großen deutschen Anbieter GMX, web.de und T-Online, die mehr als 75% des deutschen Marktes abdecken. Wie auch bereits in anderen Sicherheitstests hier im Blog zu sehen kümmern sie sich nicht sonderlich engagiert um maximale Sicherheit.

Technisches Detail: Ich habe die SSL-Ports untersucht wo dies möglich ist. Nur wenn dies nicht möglich war habe ich die STARTTLS-Verbindungen untersucht.

Tagged with:
Jan 03

Heute möchte ich den 4,5 Jahre alten Überblick über die Mail-Anhang-Größe aktualisieren. Ich bin heute wieder darüber gestolpert dass es Anbieter gibt die ein Limit von 20 MB haben, und das ist sehr ärgerlich im Jahre 2014, denn heutzutage ist es eigentlich kein Problem mehr solche E-Mails zu versenden. Hochauflösende Digitalkamera-Bilder oder Präsentationen sind schnell mal größer als 10 MB, und dann möchte man eventuell auch mal 2 in einer Mail versenden.

Speicherplatz wird immer günstiger, die Internetleitungen werden schneller, sodass es kaum Gründe gibt die Grenze künstlich niedrig zu halten, außer man möchte die kostenlosen FreeMail-Kunden in die kostenpflichtigen Angebote locken. Dann sollte dort aber auch ein großzügiges Limit gelten.

Hier die aktuellen Zahlen, Stand Januar 2014:

Kostenlose FreeMail Anbieter:

AnbieterProduktAnhang Größe EmpfangAnhang Größe VersandQuelle
Freenetstart100 MB60 MBQuelle
mail.deFreeMail60 MB60 MBQuelle
T-OnlineFreeMail50 MB32 MBQuelle
ArcorPIA basic35 MB35 MBQuelle
GoogleGmail25 MB25 MBQuelle
YahooFreeMail25 MB25 MBQuelle
AOLMail25 MB25 MBQuelle
MicrosoftOutlook.com25 MB25 MBQuelle
ok.deFreemail20 MB20 MBQuelle
GMXFreeMail20 MB20 MBQuelle
web.deFree20 MB20 MBQuelle
eclipso.deFreeMail20 MB20 MBQuelle
DirectBOXfree10 MB10 MBQuelle

Kostenpflichtige Premium Anbieter:

AnbieterProduktAnhang Größe EmpfangAnhang Größe VersandQuelle
mail.dePowerMail100 MB100 MBQuelle
mail.deProMail100 MB100 MBQuelle
mail.dePlusMail100 MB100 MBQuelle
GMXTopMail100 MB100 MBQuelle
ok.dePremium100 MB100 MBQuelle
Freenetsafe100 MB60 MBQuelle
Freenetclassic100 MB60 MBQuelle
web.deClub50 MB50 MBQuelle
GMXProMail50 MB50 MBQuelle
PosteoPostfach50 MB50 MBQuelle
mailbox.orgPostfach40 MB40 MBQuelle
T-OnlineCloud50 MB32 MBQuelle
ArcorPIA plus35 MB35 MBQuelle
ArcorPIA special35 MB35 MBQuelle
DirectBOXpro30 MB30 MBQuelle
eclipso.dePremium30 MB30 MBQuelle
DirectBOXeco20 MB20 MBQuelle

Ich habe alles über 60 MB grün markiert, und alles unter 20 MB rot da ich denke dass das nicht mehr zeitgemäß ist und schonmal knapp werden kann.

E-Mail Anhänge werden nach wie vor häufig genutzt. Viele Anbieter bieten zwar auch die Möglichkeit große Dateien nur per Link zu versenden, sodass der Empfänger dann die Datei von einem Webserver herunterladen muss. Nachteile davon sind jedoch dass die Datei eventuell gelöscht wird und einige Wochen, Monate oder Jahre später nicht mehr verfügbar sind. Oder aber man kann sie nicht durchsuchen oder sie auch nutzen wenn mal keine Internetverbindung besteht. Auch ist diese Link-Versende-Funktionalität nur aus dem jeweiligen Webmailer des Anbieters nutzbar, wer Outlook oder Thunderbird nutzt wird Dateien nach wie vor als Anhänge versenden.

Auch wer selbst Dateien immer erst beim Anbieter hochlädt und nur den Link versendet, möchte trotzdem von anderen Leuten, die Dateien per Anhang versenden, diese empfangen können. Auf eine möglichst hohe Anhanggröße sollte also geachtet werden.

Tagged with:
Okt 23

Vor Kurzem las ich über SSL-Probleme, die Ende 2011 bzw. im September 2012 aufkamen unter den Namen BEAST (Browser Exploit Against SSL/TLS) und CRIME (Compression Ratio Info-leak Made Easy). Beide Angriffe sind dazu in der Lage, aus dem eigentlich verschlüsselten Datenstrom zum Beispiel die Session-Cookies auszulesen, womit der Angreifer dann automatisch im Account des Benutzers eingeloggt ist und seine Daten stehlen oder das Passwort ändern kann.

Um eine kurze Übersicht zu erstellen wie es bei den bekannten Mailprovidern aussieht habe ich die unten stehende Tabelle erstellt. Mit Hilfe der Webseite ssllabs.com konnte ich sehr einfach überprüfen ob ein Provider anfällig ist. Stand der Tabelle ist der 23.10.2012 (sortiert nach Punkten):

AnbieterURL der TestseiteBEASTCRIMESSLLabs PunkteAnmerkung
GoogleMailWebseitesichersicher87
mail.deWebseitesichersicher87
web.deWebseiteanfälliganfällig85
GMXWebseiteanfälliganfällig85
ArcorWebseiteanfälligsicher66Schwache Verschlüsselungen, anfälliges SSL 2.0, und:

Long handshake intolerance
TLS extension intolerance
FreenetWebseiteanfälliganfällig61Nicht nur anfällig gegen BEAST und CRIME, sondern zusätzlich:

This server is vulnerable to MITM attacks because it supports insecure renegotiation.
This server is easier to attack via DoS because it supports client-initiated renegotiation.
T-OnlineWebseiteanfälligsicher52Nur 52 Punkte, schlechtestes Ergebnis

Schwache Verschlüsselungen, anfälliges SSL 2.0
Secure Renegotiation Not supported

Nur Googlemail und mail.de können sich tadellos präsentieren, alle anderen haben Sicherheitsprobleme, die teilweise gravierend sind. Da sollte dringend nachgebessert werden, gerade Provider die von mehreren Millionen Personen genutzt werden sollten auf ihre Sicherheit und die ihrer Kunden achten.

Hier die Screenshots mit dem aktuellen Stand:

Tagged with:
Apr 30

Laut Fraunhofer-Institut sind 85-95% des gesamten E-Mail Aufkommens Spam. Dies ergab eine Studie, die das Spamaufkommen der verschiedenen kostenlosen E-Mail Anbieter unter die Lupe nahm.
Über einen Zeitraum von vier Wochen wurden dabei Testaccounts der verschiedenen E-Mail Anbieter analysiert. GMX und Web.de belegen die letzten Plätze, da diese Anbieter die User mit eigenen Werbeemails zusätzlich befeuern.

Hier geht es zum Gesamtergebnis: http://www.sit.fraunhofer.de/fhg/Images/FraunhoferSIT-SpamStudie_tcm105-168480.pdf

Verwandte Artikel:

Tagged with:
preload preload preload