E-Mails verschlüsselt senden: So klappt die Einrichtung

Unterschiedliche Methoden zur Verschlüsselung von E-Mail-Protokollen führen oft zu Problemen. ZDNet zeigt, wie man seinen Client richtig einrichtet und OpenSSL nutzt, um die Sicherheit von SSL/TLS-Protokollen zu überprüfen.

Wer einen eigenen E-Mail-Client wie Outlook oder Thunderbird verwendet, erlebt oft Überraschungen, wenn er seine Kommunikation verschlüsseln möchte. Sobald man die Optionen für Verschlüsselung anklickt, kommt oft keine Verbindung mit dem Server des Providers zustande.

Der Grund dafür ist, dass es zwei verschiedene Methoden gibt, wie die Kommunikation zwischen Client und Server verschlüsselt wird. Hinzu kommt, dass die Anbieter von Client-Software Probleme haben, in den Dialogen die richtigen Begriffe zu finden. Auch die Hilfetexte sind nicht besonders aufschlussreich.

Beide Methoden verwenden SSL/TLS. Der Unterschied besteht darin, zu welchem Zeitpunkt die SSL-Verschlüsselung aufgebaut wird. Ursprünglich wurde bei den E-Mail-Protokollen SMTP, POP3 und IMAP4 so verfahren, wie es bei HTTPS der Fall ist: Die Kommunikation wird über einen anderen TCP-Port geführt, dessen gesamte Kommunikation mit SSL beziehungsweise TLS verschlüsselt ist.

Das ist bei HTTPS, POP3S und IMAPS völlig unproblematisch, wenn man einmal davon absieht, dass für die verschlüsselten Protokolle zusätzliche TCP-Ports von der IANA reserviert werden müssen. Probleme gibt es hingegen bei SMTP. Dieses Protokoll nutzt einen Store-and-Forward-Mechanismus. Die Kommunikation zwischen zwei SMTP-Servern ist vollständig automatisiert.

Der sendende SMTP-Server hat über DNS keine Möglichkeit abzufragen, ob der Empfänger SMTPS unterstützt. Das geht aus den MX-Records nicht hervor. Modernere Protokolle, etwa das VoIP-Protokoll SIP, verwenden SRV-Records. Damit ließe sich im Vorfeld abklären, ob der Empfänger in der Lage ist, eine verschlüsselte Kommunikation aufzubauen.

Ohne diese Information muss der Server des Absenders zunächst versuchen, eine Verbindung über den SMTPS-Port 465 aufzubauen. Wenn der empfangende Server den Verbindungsaufbau ablehnt, kann er die E-Mail unverschlüsselt über Port 25 senden. Da in der Praxis jedoch meist Firewalls eingesetzt werden, die den Verkehr auf ungenutzten Ports einfach ignorieren, muss der Sender beim Verbindungsaufbau an TCP-Port 465 auf einen Time-Out warten.

Für große E-Mail-Provider wie GMX, Hotmail oder Googl Mail ergibt sich das konkrete Problem, dass der Status sehr vieler Verbindungsversuche gleichzeitig verwaltet werden muss. Das ist praktisch nicht durchführbar.

Neueste Kommentare 

2 Kommentare zu E-Mails verschlüsselt senden: So klappt die Einrichtung

  • Am 7. Januar 2010 um 14:57 von Rudolf

    Kurzum, wie wahr,
    wer wirklich “Geheimnisse” über Mails sendet, und kommt an einer End-to-End-Verschlüsselung nicht vorbei.

  • Am 13. September 2013 um 07:49 von Katrin S.

    Was ist mit PGP? Für Outlook 2010 und 2013 wäre das Programm “gpg4o” von Giegerich und Partner geeignet. Wir suchen ein zuverlässigen Schutz für den Email Versand. http://www.giepa.de/produkte/gpg4o/

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *