E-Mail-Provider Posteo unterstützt DANE/TLS

Als vermutlich weltweit erster E-Mail-Dienstleister führt Posteo DNS-based Authentification of Name Entires (DANE) ein. Mit DANE besteht beispielsweise keine Gefahr mehr, die von gestohlenen oder unrechtmäßig erzeugten Zertifikaten ausgeht, weil diese dank der Sicherheitstechnik zuvor von Mail-Servern, E-Mail-Clients und Browsern auf ihre Echtheit überprüft werden. Damit wird eine Schwachstellen der herkömmlichen Verschlüsselung mit SSL/TLS eliminiert, die ohne vorherige Überprüfung der Zertifikate stattfindet.

Die Überprüfung der Verschlüsselungs-Zertifikate ist möglich, weil deren „digitalen Fingerabdrücke“ im Domain Name System (DNS) abgespeichert werden. Die DNS-Einträge werden zusätzlich mit der Technologie DNSSEC abgesichert, damit DANE vertraut werden kann. DNSSEC verhindert, dass Dritte Einträge verändern und die „digitalen Fingerabdrücke“ der Verschlüsselungs-Zertifikate austauschen können. Leider wird DNSSEC von den meisten Domainanbietern noch nicht unterstützt. Auch Posteo musste vor der Einführung von DANE seinen Domainanbieter wechseln.

DANE eröffnet auch auf anderer Ebene neue Möglichkeiten: Mailserver können ab sofort mit Hilfe eines DANE-Eintrages verschlüsselte Verbindungen erzwingen. Bisher handeln Mailserver vor dem Aufbau jeder Verbindung neu aus, ob beide Partner aktuell eine Verbindungsverschlüsselung unterstützen. Posteo hat seine Server bereits entsprechend konfiguriert: Haben andere Mailanbieter auch einen DANE-Eintrag, versendet Posteo an deren Server grundsätzlich nur noch über verschlüsselte Verbindungen. Kommt keine verschlüsselte Verbindung zustande, wird der Mailversand aus Sicherheitsgründen abgebrochen. Das Gleiche gilt für den Fall, dass die „digitalen Fingerabdrücke“ des Zertifikates nicht stimmen. So lassen sich nicht nur Man-in the-Middle-Attacken verhindern, sondern Mailserver können sich mit DANE weltweit eindeutig authentifizieren und sich gegenseitig garantieren, dass E-Mails stets über verschlüsselte Verbindungen übertragen werden. Um DANE nutzen zu können, müssen Anwendungen die Technik unterstützen. Derzeit stehen lediglich DANE-Add-Ons für Browser zur Verfügung.

Um E-Mails vollständig abzusichern, müssen diese natürlich auch auf den Servern der Provider verschlüsselt werden. Bei Posteo werden sie zwar auf verschlüsselten Festplatten abgespeichert. Die Nachrichten selbst sind bisher aber nicht verschlüsselt. In Kürze soll sich dies jedoch ändern: Posteo will optional eine individuelle Verschlüsselbarkeit der E-Mails mithilfe der Nutzer-Passwörter (AES) einführen. Die Zusatzleistung soll Posteo-Kunden kostenlos zur Verfügung stehen.

Es ist begrüßenswert, dass Posteo in Sachen Transportverschlüsselung auf offene Standards setzt, um mehr Sicherheit zu gewährleisten. Hoffentlich werden andere E-Mail-Provider diesem Beispiel folgen und nicht prorietäre Technik einsetzen, wie dies beispielsweise beim von der Telekom und United Internet initiierte Verbund von E-Mail-Providern „E-Mail Made in Germany“ der Fall ist. Um daran teilzunehmen, müssen sich andere Dienstleister vom TÜV Rheinland kostenpflichtig zertifizieren lassen. Diese Hürde dürften verhindern, dass sich weitere Unternehmen diesem Verbund anschließen.

Posteo fürht DANE ein. Mit entsprechenden Browser-Add-ons lässt sich die Technik nutzen (Bild: ZDNet.de).

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

2 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

2 Tagen ago

AWS nutzt Fedora Linux für sein cloudbasiertes Amazon Linux

Ziel ist die Integration von Red Hat Enterprise Linux. Das Betriebssystem ist für Amazon EC2…

2 Tagen ago

So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Ransomware-Angreifer setzen eine breite Palette von rücksichtslosen Druckmitteln ein, um die Opfer zur Zahlung des…

2 Tagen ago

Kubernetes gegen Ransomware

Container sind mittlerweile nicht mehr vor Attacken gefeit. Veritas verrät sechs Tipps, um Kubernetes-Daten vor…

2 Tagen ago

Storage-Tiering – ein obsoletes Paradigma

Das traditionelle Tiering von Speicherinfrastruktur in verschiedene Klassen je nach Alter der Daten und Zugriffswahrscheinlichkeit…

2 Tagen ago