Nach einer Vorbereitung von mehreren Monaten ist ab heute bei den E-Mail-Diensten von GMX, Freenet, Web.de und der Telekom nur noch verschlüsselter E-Mail-Empfang und -Versand möglich. Ab heute ist es so weit: Die vier großen E-Mail-Provider, die sich in der Initiative E-Mail made in Germany zusammengeschlossen haben, lassen den Versand und Empfang von E-Mails nicht mehr ohne eingeschaltete Transportverschlüsselung zu.
Schon im August 2013 wurde von diesen Anbietern angekündigt, die Verbindungen zwischen ihren Servern zu verschlüsseln. Für den Abruf per POP3 oder IMAP und den Versand per SMTP muss im Mail-Client dann SSL oder STARTTLS eingestellt sein. Völlig unverschlüsselte Mailverbindungen werden künftig von den Servern komplett abgelehnt. Ausführliche Anleitungen zwecks Umstellung aller gängigen E-Mail-Programme hatten wir bereits auf Mailhilfe.de zur Verfügung gestellt. Man findet diese des Weiteren bei Freenet, GMX, Web.de und bei der Telekom. Die Nutzer des Web-Frontends müssen hingegen momentan nichts unternehmen, denn die Verschlüsselung wird dort durch die Nutzung von HTTPS bereits seit längerem automatisch übernommen. Wer die Protokolle POP3, IMAP oder SMTP in der letzten Zeit immer noch ohne TLS-Verschlüsselung nutzte,hat vielfach immer wieder Hinweise per E-Mail erhalten, den Abruf umzustellen. Die Mailanbieter GMX, Web.de, Freenet und T-Online wollten ihre Kunden dazu bringen, nur noch verschlüsselte Mails über die Mailserver der Unternehmen zu verbreiten. Wer das bisher beharrlich ignorierte, hat ab heute eventuell keinen Zugriff mehr auf seine E-Mails. Es sind zwar nicht auf einen Schlag alle Kunden betroffen, da die Umstellung sukzessive bis zum 29. April erfolgen soll, jedoch ist es ratsam, sich zeitnah darum zu kümmern, wenn man weiterhin E-Mails versenden und empfangen möchte. Heutzutage ist die Umstallung auf die Verschlüsselung von E-Mail-Konten für die meisten Nutzer kein großes Problem mehr. Die gängigen aktuellen Mailprogramme bieten bereits Optionen an, damit die Verschlüsselung möglichst anwenderfreundlich aktiviert werden kann. Grundsätzlich gibt es für alle drei Protokolle zwei Möglichkeiten, SSL/TLS zu aktivieren: Entweder kommuniziert man auf einem eigenen Port TLS-verschlüsselt oder es wird auf den bestehenden Ports zunächst eine unverschlüsselte Verbindung aufgebaut, die dann anschließend mit STARTTLS aktiviert wird. Sicherheitsmäßig unterscheiden sich diese zwei Möglichkeiten nicht. Fast alle Mailprogramme und Mailanbieter unterstützen beide Optionen. Jedoch wird von der Standardisierungsorganisation IETF offiziell nur noch STARTTLS als gültig angesehen. Bei der Verschlüsselung mit TLS handelt es sich nämlich lediglich um eine Transportverschlüsselung, die verhindert,dass potenzielle Angreifer den Benutzernamen und das Passwort eines Nutzers mitlesen können, sobald sie die Verbindungen beobachten. Das ist nur für den Abruf in fremden Netzwerken wie offenen WLANs ein Gewinn. Darüber hinaus werden die E-Mails verschlüsselt, sobald sie sich auf dem Wege zum Server des Mailanbieters befinden. Dagegen sind die Mails auf den Servern der Mailanbieter nicht verschlüsselt. Von dort aus können sie von Angreifern, die die Kontrolle über die Server haben, eingesehen oder abgegriffen werden. Vor dieser Methode des Datenklaus kann man sich nur schützen, wenn man zum Beispiel seine Mails mit GnuPG verschlüsselt. Hierum muss sich aber jeder Kunde weiterhin selber kümmern. Scheinbar ist die Umstellung noch nicht überall bekannt: Einige Anwender rätseln immer noch, warum sie immer noch Hinweis-Mails erhalten, obwohl sie ihren E-Mail-Client bereits so umgestellt haben, dass er nur noch verschlüsselte Mails verschickt und empfängt. Es könnte sein, dass daran ein zusätzlich verwendeter Mail-Client schuld ist, der sich beispielsweise auf mobilen Geräten befindet. So können auch einige Netzwerkgeräte wie Router unverschlüsselt auf E-Mail-Dienste zugreifen. Das geschieht zum Beispiel bei dem Versand von Statusmeldungen. Ebenfalls arbeiten oftmals Drittanbieter mit E-Mail-Sammeldiensten unverschlüsselt. Diese muss man in vielen Fällen manuell auf die Nutzung von SSL oder STARTTLS umstellen. Dennoch gibt es Schwierigkeiten mit dem Verschlüsselungszwang: Etliche Geräte wie beispielsweise Drucker, Kameras oder Router, die auch Optionen zum Verschicken von Mails anbieten, haben die Möglichkeit der Verschlüsselung nicht. Offensichtlich haben die Hersteller hier häufig die Möglichkeit zur verschlüsselten Kommunikation mit dem Mailserver eingespart. In diesem Fall können die Nutzer nur darauf hoffen, dass der Hersteller ein Firmwareupdate anbietet, das diese Option nachrüstet.