E-Mail-Provider Posteo unterstützt DANE/TLS

Als vermutlich weltweit erster E-Mail-Dienstleister führt Posteo DNS-based Authentification of Name Entires (DANE) ein. Mit DANE besteht beispielsweise keine Gefahr mehr, die von gestohlenen oder unrechtmäßig erzeugten Zertifikaten ausgeht, weil diese dank der Sicherheitstechnik zuvor von Mail-Servern, E-Mail-Clients und Browsern auf ihre Echtheit überprüft werden. Damit wird eine Schwachstellen der herkömmlichen Verschlüsselung mit SSL/TLS eliminiert, die ohne vorherige Überprüfung der Zertifikate stattfindet.

Die Überprüfung der Verschlüsselungs-Zertifikate ist möglich, weil deren „digitalen Fingerabdrücke“ im Domain Name System (DNS) abgespeichert werden. Die DNS-Einträge werden zusätzlich mit der Technologie DNSSEC abgesichert, damit DANE vertraut werden kann. DNSSEC verhindert, dass Dritte Einträge verändern und die „digitalen Fingerabdrücke“ der Verschlüsselungs-Zertifikate austauschen können. Leider wird DNSSEC von den meisten Domainanbietern noch nicht unterstützt. Auch Posteo musste vor der Einführung von DANE seinen Domainanbieter wechseln.

DANE eröffnet auch auf anderer Ebene neue Möglichkeiten: Mailserver können ab sofort mit Hilfe eines DANE-Eintrages verschlüsselte Verbindungen erzwingen. Bisher handeln Mailserver vor dem Aufbau jeder Verbindung neu aus, ob beide Partner aktuell eine Verbindungsverschlüsselung unterstützen. Posteo hat seine Server bereits entsprechend konfiguriert: Haben andere Mailanbieter auch einen DANE-Eintrag, versendet Posteo an deren Server grundsätzlich nur noch über verschlüsselte Verbindungen. Kommt keine verschlüsselte Verbindung zustande, wird der Mailversand aus Sicherheitsgründen abgebrochen. Das Gleiche gilt für den Fall, dass die „digitalen Fingerabdrücke“ des Zertifikates nicht stimmen. So lassen sich nicht nur Man-in the-Middle-Attacken verhindern, sondern Mailserver können sich mit DANE weltweit eindeutig authentifizieren und sich gegenseitig garantieren, dass E-Mails stets über verschlüsselte Verbindungen übertragen werden. Um DANE nutzen zu können, müssen Anwendungen die Technik unterstützen. Derzeit stehen lediglich DANE-Add-Ons für Browser zur Verfügung.

Um E-Mails vollständig abzusichern, müssen diese natürlich auch auf den Servern der Provider verschlüsselt werden. Bei Posteo werden sie zwar auf verschlüsselten Festplatten abgespeichert. Die Nachrichten selbst sind bisher aber nicht verschlüsselt. In Kürze soll sich dies jedoch ändern: Posteo will optional eine individuelle Verschlüsselbarkeit der E-Mails mithilfe der Nutzer-Passwörter (AES) einführen. Die Zusatzleistung soll Posteo-Kunden kostenlos zur Verfügung stehen.

Es ist begrüßenswert, dass Posteo in Sachen Transportverschlüsselung auf offene Standards setzt, um mehr Sicherheit zu gewährleisten. Hoffentlich werden andere E-Mail-Provider diesem Beispiel folgen und nicht prorietäre Technik einsetzen, wie dies beispielsweise beim von der Telekom und United Internet initiierte Verbund von E-Mail-Providern „E-Mail Made in Germany“ der Fall ist. Um daran teilzunehmen, müssen sich andere Dienstleister vom TÜV Rheinland kostenpflichtig zertifizieren lassen. Diese Hürde dürften verhindern, dass sich weitere Unternehmen diesem Verbund anschließen.

Posteo fürht DANE ein. Mit entsprechenden Browser-Add-ons lässt sich die Technik nutzen (Bild: ZDNet.de).

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de