TLS/SSL-Verschluesselung bei mailbox.org
Der Transportweg einer E-Mail (Abbildung 1) zwischen verschiedenen E-Mail-Providern lässt sich mit TLS-Transportverschlüsselung, absichern. TLS steht dabei für Transport Layer Security und sollte nicht mit Ende-zu-Ende-Verschlüsselung wie bei PGP und im Guard verwechselt werden.
mailbox.org zeigt Ihnen jederzeit vor dem Senden einer E-Mail an, ob die Übertragung sicher ist, Abbildung 1 erklärt die Möglichkeiten:
Abbildung 1: mailbox.org kann auf verschiedene Arten die bestmögliche Verschlüsselung sicherstellen
Für die Verbindung zwischen unseren Kunden und den mailbox.org-Servern (Abbildung 1, (1)) wird immer eine Transportverschlüsselung nach aktuellem Stand der Technik erzwungen. Für die Verbindungen zwischen unseren Servern und den Servern anderer Provider (2) bieten wir alle Voraussetzungen, um eine sichere Transportverschlüsselung herzustellen. Bei manchen Providern (Provider B) ist es jedoch entweder nicht möglich, eine verschlüsselte Verbindung zu nutzen, oder die angebotene Verschlüsselung entspricht nicht mehr aktuellen Sicherheitsanforderungen. Die Empfänger finden sich hinter dem Mailserver des Providers (3). Auch an dieser Stelle ist es theoretisch möglich, dass der Provider seinen Kunden ein Verbinden von Endgeräten auf seine Server mit veralteten Transportverschlüsselungsstandards erlaubt.
E-Mail-Versand-Richtlinien bei mailbox.org
Folgende Richtlinien setzen wir standardmäßig bei der Versendung von E-Mails:
-
Wenn der Provider A einen TLSA/DANE-Eintrag mit dem Fingerprint des X.509-Zertifikates des Servers via DNSSEC veröffentlicht hat, dann wird eine Transportverschlüsselung mit diesem Zertifikat erzwungen. Als Kunde von mailbox.org können Sie sich darauf verlassen, dass die E-Mail somit über einen sicheren Kanal zum Provider des Empfängers versendet wird.
-
Wenn Sie eine E-Mail an andere E-Mailserver schicken, dann wird mailbox.org standardmäßig versuchen, TLS-Verschlüsselung aufzubauen. Falls unsere Server bereits einmal eine TLS-verschlüsselte Verbindung zu dem entsprechenden Server eines anderen Providers aufbauen konnten, dann merken wir uns die höchstmögliche Verschlüsselung vor und es wird zukünftig immer diese Art der Transportverschlüsselung für diese Verbindung erzwungen.
-
Für die Server einiger E-Mail-Provider war und ist es nicht möglich, eine TLS-verschlüsselte Verbindung aufzubauen. In diesem Fall wird die Mail über eine unsichere Verbindung gesendet. Falls Ihre E-Mail nicht Ende-zu-Ende verschlüsselt ist (z.B. per PGP), kann jeder Server, über den die E-Mail von unserem Mailserver zum Mailserver des Empfängers geleitet wird, den Klartext Ihrer Nachricht lesen oder verändern (siehe auch: Man-in-the-Middle-Angriff).
Abhilfe schafft hier die Option "Verschlüsselter Versand" von mailbox.org - siehe weiter unten.
Anzeige zum Niveau der Transportverschlüsselung vor Versand einer E-Mail
Beim Verfassen einer neuen E-Mail im mailbox.org-Office werden Sie automatisch beim Auswählen des Empfängers über das Sicherheitsniveau der Transportverschlüsselung informiert und können dann selbst entscheiden, ob Sie die E-Mail in der Folge versenden wollen. Dargestellt wird diese Information durch ein Symbol hinter jeder Empfängeradresse. Dabei werden die Empfänger (bzw. die Mailserver derer Provider) in drei Stufen klassifiziert:
- TLS-fähig zzgl. DANE/DNSSEC (4):
Erfüllt das Zielsystem einen ausreichend hohen TLS-Sicherheitsstandard und bietet auch DANE und DNSSEC-gesicherte Verbindungen an, wird Ihnen dieser besondere Verbindungsschutz durch einen grünen gehobenen Daumen und der Info „DANE ok“ symbolisiert. - TLS-fähig (5):
Beherrscht das Zielsystem normale TLS-Verschlüsselung erkennen Sie dies an einem grün umrandeten gehobenen Daumen. - Keine Transportverschlüsselung möglich, dann werden Sie durch ein rotes „no SSL“ gewarnt (6).
- Haben wir noch keine Informationen zum Zielsystem, wird ein graues „SSL?“ angezeigt (7).
Abbildung 2: Schon beim Verfassen einer Mail zeigt mailbox.org die Verschlüsselungsoptionen für den Versandweg an.
Sie können zusätzlich mit der Maus über das Verschlüsselungssymbol fahren, um weitere Informationen zu den verwendeten Verschlüsselungsalgorithmen und der TLS-Version zu erhalten:
Abbildung 3: Beim Mouse-over zeigt mailbox.org Details der Verschlüsselung des Empfängerservers an.
SSL/TLS und TLS
Der Begriff "SSL" (Secure Socket Layers) hat sich als Synomym für Transportverschlüsselung etabliert, weil der Name der erstenTransportverschlüsselung Secure Sockets Layer lautete.
Besser blocken als unverschlüsselt senden!
Wie Abbildung 1 zeigt, gibt es zwei Szenarien, wo die Transportverschlüsselung von mailbox.org nicht zum Tragen kommen kann, weil die Nachricht in Netzwerkbereiche übergeben wurde, auf deren Konfiguration mailbox.org keinen Einfluss hat.
Dies ist spezifisch bei (2) der Fall, wenn der empfangende Server keine aktuelle Transportverschlüsselung anbietet, oder bei (3), wenn sich ein veralteter E-Mail-Client mit dem Empfängerserver verbinden darf. Sie können Fall (2) unterbinden, indem Sie neben Ihrer normalen E-Mail-Adresse bei @mailbox.org
zusätzlich auch einen E-Mail-Alias bei @secure.mailbox.org
aktivieren. Diese E-Mail-Adresse (beispielsweise example@secure.mailbox.org
im Gegensatz zu example@mailbox.org
) können Sie immer dann benutzen, wenn Ihnen wichtig ist, dass eine sichere Transportverschlüsselung zwischen den Mailservern des Absenders und des Empfängers zustande kommt und Sie lieber gar nicht als versehentlich unverschlüsselt per E-Mail kommunizieren wollen.
Aktivieren Sie den verschlüsselten Versand (also Ihre secure.mailbox.org-Adresse) einfach über das Optionsfeld "Einschalten", im Menü zu erreichen unter "Einstellungen | mailbox.org | Verschlüsselter Versand":
Abbildung 4: Hier können Sie in mailbox.org den verschlüsselten Versand einschalten
Aliasse mit secure.mailbox.org
Wenn Sie den verschlüsselten Versand einschalten richtet mailbox.org automatisch eine entsprechende secure.mailbox.org-Adresse für jeden Ihrer Aliasse ein.
Sobald Sie als Absender eine secure.mailbox.org-Adresse (z.B. meinalias@secure.mailbox.org
) ausgewählt haben, versenden unsere Mailserver diese E-Mail nur noch über eine mindestens TLS-verschlüsselte Verbindung. Wenn der Provider des Empfängers das nicht anbietet, dann kann die E-Mail nicht versandt werden und Sie erhalten eine Fehlermeldung.
Abbildung 5: Beim Verfassen neuer E-Mails bietet Ihnen mailbox.org nun im "Von"-Feld (8) neben Ihren anderen Aliassen auch die "@secure.mailbox.org"-Adressen an (9).
Antworten an Ihre secure.mailbox.org-Adresse
Um sicherzustellen, dass Empfänger transportverschlüsselter Mails nicht unverschlüsselt antworten und so unter Umständen in der Antwort auch den Inhalt der von Ihnen verschlüsselten Nachricht offenbaren, erzwingt mailbox.org die gleichen Standards auch für den E-Mail-Empfang bei der Verbindung zwischen sendendem Server und unserem empfangenden Server (2). Dies kann über spezielle Regeln für die @secure.mailbox.org-Adresse gewährleistet werden.
Kann der Mailserver Ihres Kommunikationspartners E-Mails nicht mit aktivierter Transportverschlüsselung versenden, dann scheitert der initiale Verbindungsaufbau mit den mailbox.org-Servern. In diesem Fall erhält der Absender eine Benachrichtigung, seine E-Mail sei nicht zustellbar.
Unabhängig davon kann die secure.mailbox.org Adresse keinen Einfluss auf (3), also den Übergang vom Endgerät des Kunden des externen Providers auf dessen E-Mail-Server, nehmen. Zum Beispiel wäre denkbar, dass sich ein E-Mail-Client mit dem veralteten TLS 1.0 Standard zum sendenden Server verbindet und die Verbindung dabei unsicher wäre.
Aktuelle Sicherheitsanforderungen
Für die secure.mailbox.org-Adresse verwendet mailbox.org stets die aktuellsten und sichersten Verschlüsselungsmethoden. Wir prüfen diese regelmäßig und löschen veraltete oder unsichere Verfahren.