Zum Hauptinhalt springen

Antworten für Privatkunden

Die Knowledge-Base für Privatkunden ist bereits weitgehend auf dem neuesten Stand. Vereinzelt werden einzelne Artikel aktuell noch überarbeitet und zeitnah angepasst. Wir danken Ihnen für Ihr Verständnis und freuen uns, Ihnen stets aktuelle Informationen zur Nutzung von mailbox bereitzustellen.

Bitte beachten Sie: Die Knowledge Base hat sich ein wenig verändert. Kategorien wurden angepasst und ggf. hinterlegte URLs aus der alten Knowledge Base sind nicht mehr gültig.

TLS/SSL-Verschluesselung bei mailbox

Transportweg einer Mail mit TLS-Transportverschlüsselung

Der Transportweg einer Mail (Abbildung 1) zwischen verschiedenen Mail-Providern lässt sich mit TLS-Transportverschlüsselung absichern. TLS steht dabei für Transport Layer Security und sollte nicht mit Ende-zu-Ende-Verschlüsselung wie bei PGP und im Guard verwechselt werden.

mailbox zeigt Ihnen jederzeit vor dem Senden einer Mail an, ob die Übertragung sicher ist. Abbildung 1 erklärt die Möglichkeiten:


Abbildung 1: visuelle Darstellung eines Transportweges einer Mail mit TLS-Transportverschlüsselung.

Für die Verbindung zwischen Kundinnen und Kunden und den mailbox Servern wird immer eine Transportverschlüsselung nach aktuellem Stand der Technik erzwungen. Auch für die Verbindung zwischen den mailbox Servern und den Servern anderer Provider sind alle Voraussetzungen gegeben, um eine sichere Transportverschlüsselung herzustellen. Bei einigen Providern kann es jedoch vorkommen, dass entweder keine verschlüsselte Verbindung möglich ist oder die angebotene Verschlüsselung nicht mehr aktuellen Sicherheitsanforderungen entspricht. Die Empfänger befinden sich hinter dem Mailserver des jeweiligen Providers.

Auch an dieser Stelle ist es theoretisch möglich, dass der Provider den Zugriff über veraltete Transportverschlüsselungsstandards zulässt.

Mail-Versand-Richtlinien bei mailbox

Folgende Richtlinien setzt mailbox standardmäßig bei der Versendung von Mails:

  • Wenn der Provider A einen TLSA/DANE-Eintrag mit dem Fingerprint des X.509-Zertifikates des Servers via DNSSEC veröffentlicht hat, dann wird eine Transportverschlüsselung mit diesem Zertifikat erzwungen. Als Kunde von mailbox können Sie sich darauf verlassen, dass die Mail somit über einen sicheren Kanal zum Provider des Empfängers versendet wird.

  • Wenn Sie eine Mail an andere Mailserver schicken, dann wird mailbox standardmäßig versuchen, TLS-Verschlüsselung aufzubauen. Falls unsere Server bereits einmal eine TLS-verschlüsselte Verbindung zu dem entsprechenden Server eines anderen Providers aufbauen konnten, dann merken wir uns die höchstmögliche Verschlüsselung vor und es wird zukünftig immer diese Art der Transportverschlüsselung für diese Verbindung erzwungen.

  • Für die Server einiger Mail-Provider war und ist es nicht möglich, eine TLS-verschlüsselte Verbindung aufzubauen. In diesem Fall wird die Mail über eine unsichere Verbindung gesendet. Falls Ihre Mail nicht Ende-zu-Ende verschlüsselt ist (z. B. per PGP), kann jeder Server, über den die Mail von unserem Mailserver zum Mailserver des Empfängers geleitet wird, den Klartext Ihrer Nachricht lesen oder verändern (siehe auch: Man-in-the-Middle-Angriff).

Anzeige zum Niveau der Transportverschlüsselung

Beim Verfassen einer neuen Mail in mailbox Office werden Sie automatisch beim Auswählen des Empfängers über das Sicherheitsniveau der Transportverschlüsselung informiert und können dann selbst entscheiden, ob Sie die Mail in der Folge versenden wollen. Dargestellt wird diese Information durch ein Symbol hinter jeder Empfängeradresse. Dabei werden die Empfänger (bzw. die Mailserver derer Provider) in drei Stufen klassifiziert:

  • TLS-fähig zzgl. DANE/DNSSEC (4):
    Erfüllt das Zielsystem einen ausreichend hohen TLS-Sicherheitsstandard und bietet auch DANE- und DNSSEC-gesicherte Verbindungen an, wird Ihnen dieser besondere Verbindungsschutz durch einen grünen gehobenen Daumen und der Info „DANE ok“ symbolisiert.

  • TLS-fähig (5):
    Beherrscht das Zielsystem normale TLS-Verschlüsselung, erkennen Sie dies an einem grün umrandeten gehobenen Daumen.

  • Keine Transportverschlüsselung möglich:
    Dann werden Sie durch ein rotes „no SSL“ gewarnt (6).

  • Keine Informationen verfügbar:
    Haben wir noch keine Informationen zum Zielsystem, wird ein graues „SSL?“ angezeigt (7).


Abbildung 2: Schon beim Verfassen einer Mail zeigt mailbox die Verschlüsselungsoptionen für den Versandweg an.

Sie können zusätzlich mit der Maus über das Verschlüsselungssymbol fahren, um weitere Informationen zu den verwendeten Verschlüsselungsalgorithmen und der TLS-Version zu erhalten:


Abbildung 3: Beim Mouse-over zeigt mailbox Details der Verschlüsselung des Empfängerservers an.

SSL und TLS

Der Begriff „SSL“ (Secure Socket Layer) hat sich als Synonym für Transportverschlüsselung etabliert, weil der Name der ersten Transportverschlüsselung Secure Sockets Layer lautete.

Besser blockieren als unverschlüsselt senden

Wie die folgende Darstellung zeigt, gibt es zwei Situationen, in denen die Transportverschlüsselung von mailbox nicht greifen kann – nämlich dann, wenn die Nachricht Netzwerkbereiche erreicht, die nicht unter der Kontrolle von mailbox stehen.
Das ist der Fall, wenn der empfangende Server keine aktuelle Transportverschlüsselung anbietet oder wenn ein veralteter Mail-Client die Verbindung mit dem Empfängerserver herstellen darf.

Sie können solche Risiken minimieren, indem Sie zusätzlich zu Ihrer regulären Mail-Adresse bei @mailbox.org einen Alias bei @secure.mailbox.org aktivieren.
Diese Adresse (zum Beispiel example@secure.mailbox.org statt example@mailbox.org sollten Sie immer dann verwenden, wenn eine sichere Transportverschlüsselung zwischen den Mailservern garantiert sein soll – insbesondere dann, wenn unverschlüsselte Zustellungen auf keinen Fall toleriert werden sollen.

Die Aktivierung erfolgt ganz einfach über das Optionsfeld Einschalten unter:
Alle Einstellungen | Mail-Verschlüsselung | Verschlüsselter Versand


Abbildung 4: Hier können Sie in mailbox den verschlüsselten Versand einschalten.

Aliasse mit secure.mailbox.org

Wenn Sie den verschlüsselten Versand einschalten, richtet mailbox automatisch eine entsprechende @secure.mailbox.org-Adresse für jeden Ihrer Aliasse ein.
Sobald Sie als Absender eine @secure.mailbox.org-Adresse (z. B. meinalias@secure.mailbox.org ausgewählt haben, versenden unsere Mailserver diese Mail nur noch über eine mindestens TLS-verschlüsselte Verbindung. Wenn der Provider des Empfängers das nicht anbietet, dann kann die Mail nicht versandt werden und Sie erhalten eine Fehlermeldung.


Abbildung 5: Beim Verfassen neuer Mails bietet Ihnen mailbox nun im „Von“-Feld neben Ihren anderen Aliassen auch die *@secure.mailbox.org*-Adressen an.

Antworten an Ihre secure.mailbox.org-Adresse

Um sicherzustellen, dass Antworten auf transportverschlüsselte Nachrichten nicht versehentlich unverschlüsselt gesendet werden – und dabei möglicherweise vertrauliche Inhalte offengelegt werden – erzwingt mailbox auch beim Empfang die gleichen Verschlüsselungsstandards.
Dies wird über spezielle Regeln für die Adresse @secure.mailbox.org realisiert. Kann der Mailserver des Kommunikationspartners keine Verbindung mit aktiver Transportverschlüsselung herstellen, schlägt der Verbindungsaufbau zu den mailbox Servern fehl.
In diesem Fall erhält der Absender eine Zustellbenachrichtigung mit dem Hinweis, dass die Mail nicht zugestellt werden konnte.

Wichtig: Die Adresse @secure.mailbox.org hat keinen Einfluss auf den Verbindungsweg vom Endgerät des Absenders bis zu dessen Mailserver. Beispielsweise kann ein veralteter Mail-Client noch das unsichere Protokoll TLS 1.0 verwenden – was die Verbindung zwischen Gerät und sendendem Server potenziell unsicher macht.

Aktuelle Sicherheitsanforderungen

Für die Adresse @secure.mailbox.org setzt mailbox ausschließlich aktuelle und sichere Verschlüsselungsmethoden ein.
Diese werden regelmäßig geprüft – veraltete oder unsichere Verfahren werden konsequent entfernt.