TLS/SSL-Verschluesselung bei mailbox
Transportweg einer Mail mit TLS-Transportverschlüsselung
Der Transportweg einer Mail (Abbildung 1) zwischen verschiedenen Mail-Providern lässt sich mit TLS-Transportverschlüsselung absichern. TLS steht dabei für Transport Layer Security und sollte nicht mit Ende-zu-Ende-Verschlüsselung wie bei PGP und im Guard verwechselt werden.
mailbox zeigt Ihnen jederzeit vor dem Senden einer Mail an, ob die Übertragung sicher ist. Abbildung 1 erklärt die Möglichkeiten:
Abbildung 1: visuelle Darstellung eines Transportweges einer Mail mit TLS-Transportverschlüsselung.
Für die Verbindung zwischen Kundinnen und Kunden und den mailbox Servern wird immer eine Transportverschlüsselung nach aktuellem Stand der Technik erzwungen. Auch für die Verbindung zwischen den mailbox Servern und den Servern anderer Provider sind alle Voraussetzungen gegeben, um eine sichere Transportverschlüsselung herzustellen. Bei einigen Providern kann es jedoch vorkommen, dass entweder keine verschlüsselte Verbindung möglich ist oder die angebotene Verschlüsselung nicht mehr aktuellen Sicherheitsanforderungen entspricht. Die Empfänger befinden sich hinter dem Mailserver des jeweiligen Providers.
Auch an dieser Stelle ist es theoretisch möglich, dass der Provider den Zugriff über veraltete Transportverschlüsselungsstandards zulässt.
Mail-Versand-Richtlinien bei mailbox
Folgende Richtlinien setzt mailbox standardmäßig bei der Versendung von Mails:
-
Wenn der Provider A einen TLSA/DANE-Eintrag mit dem Fingerprint des X.509-Zertifikates des Servers via DNSSEC veröffentlicht hat, dann wird eine Transportverschlüsselung mit diesem Zertifikat erzwungen. Als Kunde von mailbox können Sie sich darauf verlassen, dass die Mail somit über einen sicheren Kanal zum Provider des Empfängers versendet wird.
-
Wenn Sie eine Mail an andere Mailserver schicken, dann wird mailbox standardmäßig versuchen, TLS-Verschlüsselung aufzubauen. Falls unsere Server bereits einmal eine TLS-verschlüsselte Verbindung zu dem entsprechenden Server eines anderen Providers aufbauen konnten, dann merken wir uns die höchstmögliche Verschlüsselung vor und es wird zukünftig immer diese Art der Transportverschlüsselung für diese Verbindung erzwungen.
-
Für die Server einiger Mail-Provider war und ist es nicht möglich, eine TLS-verschlüsselte Verbindung aufzubauen. In diesem Fall wird die Mail über eine unsichere Verbindung gesendet. Falls Ihre Mail nicht Ende-zu-Ende verschlüsselt ist (z. B. per PGP), kann jeder Server, über den die Mail von unserem Mailserver zum Mailserver des Empfängers geleitet wird, den Klartext Ihrer Nachricht lesen oder verändern (siehe auch: Man-in-the-Middle-Angriff).
Anzeige zum Niveau der Transportverschlüsselung
Beim Verfassen einer neuen Mail in mailbox Office werden Sie automatisch beim Auswählen des Empfängers über das Sicherheitsniveau der Transportverschlüsselung informiert und können dann selbst entscheiden, ob Sie die Mail in der Folge versenden wollen. Dargestellt wird diese Information durch ein Symbol hinter jeder Empfängeradresse. Dabei werden die Empfänger (bzw. die Mailserver derer Provider) in drei Stufen klassifiziert:
-
TLS-fähig zzgl. DANE/DNSSEC (4):
Erfüllt das Zielsystem einen ausreichend hohen TLS-Sicherheitsstandard und bietet auch DANE- und DNSSEC-gesicherte Verbindungen an, wird Ihnen dieser besondere Verbindungsschutz durch einen grünen gehobenen Daumen und der Info „DANE ok“ symbolisiert. -
TLS-fähig (5):
Beherrscht das Zielsystem normale TLS-Verschlüsselung, erkennen Sie dies an einem grün umrandeten gehobenen Daumen. -
Keine Transportverschlüsselung möglich:
Dann werden Sie durch ein rotes „no SSL“ gewarnt (6). -
Keine Informationen verfügbar:
Haben wir noch keine Informationen zum Zielsystem, wird ein graues „SSL?“ angezeigt (7).
Abbildung 2: Schon beim Verfassen einer Mail zeigt mailbox die Verschlüsselungsoptionen für den Versandweg an.
Sie können zusätzlich mit der Maus über das Verschlüsselungssymbol fahren, um weitere Informationen zu den verwendeten Verschlüsselungsalgorithmen und der TLS-Version zu erhalten:
Abbildung 3: Beim Mouse-over zeigt mailbox Details der Verschlüsselung des Empfängerservers an.
SSL und TLS
Der Begriff „SSL“ (Secure Socket Layer) hat sich als Synonym für Transportverschlüsselung etabliert, weil der Name der ersten Transportverschlüsselung Secure Sockets Layer lautete.
Besser blockieren als unverschlüsselt senden
Wie die folgende Darstellung zeigt, gibt es zwei Situationen, in denen die Transportverschlüsselung von mailbox nicht greifen kann – nämlich dann, wenn die Nachricht Netzwerkbereiche erreicht, die nicht unter der Kontrolle von mailbox stehen.
Das ist der Fall, wenn der empfangende Server keine aktuelle Transportverschlüsselung anbietet oder wenn ein veralteter Mail-Client die Verbindung mit dem Empfängerserver herstellen darf.
Sie können solche Risiken minimieren, indem Sie zusätzlich zu Ihrer regulären Mail-Adresse bei @mailbox.org einen Alias bei @secure.mailbox.org aktivieren.
Diese Adresse (zum Beispiel example@secure.mailbox.org
statt example@mailbox.org
sollten Sie immer dann verwenden, wenn eine sichere Transportverschlüsselung zwischen den Mailservern garantiert sein soll – insbesondere dann, wenn unverschlüsselte Zustellungen auf keinen Fall toleriert werden sollen.
Die Aktivierung erfolgt ganz einfach über das Optionsfeld Einschalten unter:
Alle Einstellungen | Mail-Verschlüsselung | Verschlüsselter Versand
Abbildung 4: Hier können Sie in mailbox den verschlüsselten Versand einschalten.
Aliasse mit secure.mailbox.org
Wenn Sie den verschlüsselten Versand einschalten, richtet mailbox automatisch eine entsprechende @secure.mailbox.org-Adresse für jeden Ihrer Aliasse ein.
Sobald Sie als Absender eine @secure.mailbox.org-Adresse (z. B. meinalias@secure.mailbox.org
ausgewählt haben, versenden unsere Mailserver diese Mail nur noch über eine mindestens TLS-verschlüsselte Verbindung. Wenn der Provider des Empfängers das nicht anbietet, dann kann die Mail nicht versandt werden und Sie erhalten eine Fehlermeldung.
Abbildung 5: Beim Verfassen neuer Mails bietet Ihnen mailbox nun im „Von“-Feld neben Ihren anderen Aliassen auch die *@secure.mailbox.org*-Adressen an.
Antworten an Ihre secure.mailbox.org-Adresse
Um sicherzustellen, dass Antworten auf transportverschlüsselte Nachrichten nicht versehentlich unverschlüsselt gesendet werden – und dabei möglicherweise vertrauliche Inhalte offengelegt werden – erzwingt mailbox auch beim Empfang die gleichen Verschlüsselungsstandards.
Dies wird über spezielle Regeln für die Adresse @secure.mailbox.org realisiert. Kann der Mailserver des Kommunikationspartners keine Verbindung mit aktiver Transportverschlüsselung herstellen, schlägt der Verbindungsaufbau zu den mailbox Servern fehl.
In diesem Fall erhält der Absender eine Zustellbenachrichtigung mit dem Hinweis, dass die Mail nicht zugestellt werden konnte.
Wichtig: Die Adresse @secure.mailbox.org hat keinen Einfluss auf den Verbindungsweg vom Endgerät des Absenders bis zu dessen Mailserver. Beispielsweise kann ein veralteter Mail-Client noch das unsichere Protokoll TLS 1.0 verwenden – was die Verbindung zwischen Gerät und sendendem Server potenziell unsicher macht.
Aktuelle Sicherheitsanforderungen
Für die Adresse @secure.mailbox.org setzt mailbox ausschließlich aktuelle und sichere Verschlüsselungsmethoden ein.
Diese werden regelmäßig geprüft – veraltete oder unsichere Verfahren werden konsequent entfernt.