1. Home
  2. Sicherheit
  3. Eigenen E-Mailverkehr sicherer gestalten

Eigenen E-Mailverkehr sicherer gestalten

Den eigenen E-Mailverkehr sicher zu gestalten, das sollte man dazu Wissen!  Den Anwendern eines E-Mail Programms muss klar sein, dass die Standardmethoden für den Verbindungsaufbau mit dem Mailserver des Providers im Klartext erfolgt. Benutzername und Kennwort werden unverschlüsselt bei der Anmeldung übertragen. Gerade bei großen E-Mail-Providern sind oft die Mailserver untereinander vernetzt, so dass die Wahrscheinlichkeit vorhanden ist, dass die Anmeldedaten abgefangen werden können und damit Spammer die Möglichkeit eröffnet wird, den Benutzernamen und das Kennwort des Anwenders zu nutzen und missbräuchlich zu verwenden. So könnten zum Beispiel Spamversender über diese Adressdaten massenhaft Spammails versenden.

Wie gestalte ich meinen eigenen E-Mailverkehr sicher?

Über die Standardmethoden hinaus sind zusätzliche Verfahren entwickelt worden. Prüfen Sie, ob Ihr Mailprovider das von Ihnen gewünschte Verfahren unterstützt. Die wichtigsten Anmeldeverfahren sind AUTH LOGIN und APOP sowie die verschlüsselte Verbindung mit TLS/SSL für den Empfang und den Versand der kompletten Mail.

AUTH LOGIN

Bei diesem Authentifizierungsverfahren werden Benutzername und Passwort unverschlüsselt übertragen. Das Kennwort wird lediglich im BASE64-Verfahren kodiert. Base64 ist ein Kodierungsverfahren das Probleme bei unterschiedlichen Länderzeichensätzen behebt. Base64 ist ein bekanntes Verfahren und kann von jedem mit den entsprechenden Kenntnissen wieder dekodiert werden.

APOP

Das APOP-Verfahren (Authenticated Post Office Protocol) überträgt das Passwort nicht im Klartext. Aus dem Passwort wird ein sogenannter Hashwert erzeugt, der an dem Mailserver gesendet wird. Hashwerte sind sichere Verschlüsslungen des Passwortes mit einer festen Zeichenanzahl. Ein Hash ist nicht wieder dekodierbar und wird genutzt wie ein „Fingerabdruck“ des Passwortes. Es ist also nicht möglich aus dem Hashwert das Passwort zurück zu übersetzen. Dieser Hashwert (Fingerabdruck) wird an den Mailserver übertragen. Wenn allerdings jemand diesen Hashwert abfangen würde könnte derjenige sich mit diesem Hashwert anstelle des Passwortes anmelden. Mailserver und der Mailclient kennen das Passwort des Benutzers (shared secret). Der Mailserver schickt deshalb dem Mailclient einen eigenen zusätzlichen Hashwert der sich aus dem bekannten Passwort und einem Zeitstempel zusammensetzt.

Als Beispiel sendet web.de zum Beispiel folgendes:

+OK WEBPOP3 ready Die Zeichen „12345.123456789“ sind bei jeder Anmeldung anders. Der Mailclient bildet nun aus dem eigenen Passwort und dem der Zeichenkette „12345.123456789“ einen neuen Hash und sendet diesen an den Mailserver.

Die Anmeldung sieht dann beispielsweise so aus:

APOP Benutzername e1b119djsjjss99s85s4s4sa9589e

Der Mailserver kann an dem Hashwert erkennen, dass das Passwort gültig ist und wird die Verbindung freischalten.

Wie Sie an den Erläuterungen sehen kann nur das APOP-Verfahren Ihr Passwort ausreichend schützen. Prüfen Sie, ob ihr Mailserver dieses Verfahren unterstützt und setzen Sie in den Konteneinstellungen die Verbindung auf „APOP aktivieren wenn möglich“.

TLS/SSL

Ab der Version 3.0.1 können Sie den gesamten Versand und Empfang bei der Übertragung an ihren Mailserver mit dem TLS bzw. SSL Verfahren verschlüsseln. Dies stellt sicher, dass auf diesem Übertragungsweg ihre Mails nicht im Klartext einsehbar sind. Beachten Sie aber bitte, dass es durchaus möglich ist, dass bei dem weiteren Versand von Ihrem Mailserver an den Mailserver oder Client des Empfängers die weitere Übertragung unverschlüsselt vorgenommen werden kann. Um sicher zu gehen, dass Ihre Mails den gesamten Übertrags weg verschlüsselt durchlaufen, sollten Sie Ihre E-Mails mit S/MIME verschlüsseln. Nur der Empfänger der Nachricht kann mit Ihrem öffentlichen Schlüssel und seinem privaten Schlüssel (Schlüsselpaar) die E-Mail entschlüsseln und im Klartext lesen.

Mittlerweile gibt es E-Mail Provider die eine unverschlüsselte Anmeldung nicht mehr erlauben. So kann zu dem Maildienst von Google/Web.de/T-Online/GMX. nur mit TLS/SSL eine Verbindung hergestellt werden.

Wie sicher sind meinen eigenen E-Mailverkehr, wenn ich die Nachrichten auf dem Mailserver belasse?

Man muss sich bei allem über folgendes im Klaren sein. Nutzt man einen E- Maildienst und ruft seine E-Mails nicht mit dem POP3-Protokoll ab, sondern belässt seine E-Mails auf dem jeweiligen Mailserver, so sind diese E-Mails im Klartext auf den Mailserver gespeichert und auch lesbar.

War dieser Artikel hilfreich für Sie? Ja Nein