SMTP via TLS

Hi,
also es ist nicht so, dass beim TB bei StartTLS automatisch ein Rückfall auf unverschlüsselt stattfindet. Nicht umsonst wurde "TLS, wenn möglich", das es beim TB 2.* gab, abgeschafft. Ganz sicher war ich mir auch nicht, aber ich habe mal bei einem Provider, der grundsätzlich keine Verschlüsselung anbietet, StartTLS eingestellt und eine Fehlermeldung ("..nicht unterstützt") bekommen.

Quote

wie und wo kann ich es sehen ob meine E-Mail verschlüsselt oder unverschlüsselt gesendet wurde ?

Im Zweifelsfalle mit einem Tool wie wireshark.
Die Übertragung zwischen den Mailservern erfolgt meistens (oder immer?) unverschlüsselt, da hast du also recht mit deinen Bedenken.
Sinnvoll ist das ganze immer noch für die Strecke zwischen PC und Mailservern, z.B. auch, wenn man ein öffentliches WLAN benutzt (wo gern mal jemand "mitliest") o.ä.

Hallo Nils,

Quote from "Nils"

Ich habe meinen TB so eingestellt das ich E-Mails über Port 993 SSL aus meinem IMAP Postfach bei meinem Provider empfangen kann. Diese werden somit verschlüsselt übertragen.
Nun habe ich auch das senden zum SMTP auf Port 465 gestellt und die E-Mails werden zum Provider verschlüsselt gesendet.

Schön, dass du dir über die Wahrung deiner Privatsphäre gedanken machst. dann werde ich mal versuchen, dir deine Fragen zu beantworten.

Quote

Dort ist ein STARTTLS möglich. So wie ich es verstanden habe wird bei STARTTLS erst zwischen Client und Server ausgehandelt ob ein verschlüsseltes senden möglich ist bevor man es auch tut. Wenn nicht möglich wird als Klartext gesendet.

Genau.
Bei Vorgängerversionen stand da mal "TLS wenn möglich"

Quote

1. Wenn ich STARTTLS einstelle und es wird unverschlüsselt gesendet, weil der Provider es heute nicht unterstützt,
wie und wo kann ich es sehen ob meine E-Mail verschlüsselt oder unverschlüsselt gesendet wurde ?

Ich wüsste dafür keine Lösung. Einfach glauben, dass .... => In der Kryptologie ist GLAUBE die schlechteste Lösung.
Ich würde mich auch über ein "Schloss" freuen, welches in der Statuszeile wie im Browser über die SSL-Verbindung informiert. Klar wird ein solchen im Icon des Ordners angezeigt, aber das macht es auch, sobald du eine verschlüsselte Verbindung in den Einstellungen auswählst, also dafür ungeeignet.
Jetzt müssen wir aber auch das andere Argument sehen: Es ist die benutzerfreundliche und zumutbare Lösung für ONU!
Und noch ein Argument: Hier wird erst die verschlüsselte Verbindung ausgehandelt und dann erst mit der Authentisierung begonnen. Das Passwort wird also gesichert übertragen - ja, wenn es denn zur gesichterten Verbindung kommt.

Quote

2. Wenn ich nun TLS fest einstelle bricht die Verbindung ab weil nicht verschlüsselt werden konnte.

Die Frage ist erst einmal, wie oft passiert denn das wirklich?
Ich habe bei meinen Providern, die alle TLS/SSL anbieten, immer dieses auch fest eingestellt. Unter Umständen auch mal mit der Vorgabe des Ports auf 110 bzw. 25/587 auf TLS erzwungen. Dort, wo dieses funktioniert, bleibt es dabei. Und ich hatte da noch nie Probleme damit.

Quote

Aber wenn ich über meinen Provider (z.B. GMX) zu einem Empfänger bei Web.de sende, wird die E-Mail dann von mir zu GMX verschlüsselt und anschließend von GMX zu Web.de unverschlüsselt übertragen ?

Das wird dir niemand verraten. Ich kann mir aber schon vorstellen, dass "die Internetwirtschaft" da eine gewisse Sicherheit einbaut. => Also gehen wir davon aus, dass diese Verbindung unverschlüsselt erfolgt (der Glaube ...). Und wie es dann vom letzten Provider zum Empfänger geht, kannst du weder wissen noch beeinflussen.

Quote

3. Wenn 2. zutrifft macht die Übertragung via TLS nur Sinn wenn Sender und Empfänger beim gleichen Provider sind. Dann sollte die E-Mail ja local auf dem E-Mail Server herum gereicht werden ohne den Server zu verlassen.
Wie sieht es bei Großen Providern aus, haben die getrennte SMTP und IMAP Server und die E-Mail wird unverschlüsselt zwischen den Servern übertragen ?. Dann Ist doch TLS nur "Makulatur" ?

Ganz so verbissen darfst du das nicht sehen.
Mit TLS/SSL wird definitiv nur die Verbindung jeweils vom Endkunden zum Provider verschlüsselt. Bei TLS/SSL handelt es sich ja um eine Sicherung des Übertragungsweges. Evtl., wie o.g. betrifft das auch die Verbindung zwischen den Providern.Eine Verschlüsselung auf den Servern ist damit auch nicht zu machen.
Sobald die Mail den Provider des Absenders erreicht, ist sie unverschlüsselt! (Genau so, wie jetzt leider lt. Gesetz auch bei DE-Mail! Aber irgendwo muss doch "Wolfgang" seine "Virenprüfung" durchführen können. )

Wichtig ist, dass "User" über diese Zusammenhänge Bescheid weiß. Wer (wieder mal ...) glaubt, dass ich damit eine Mail sicher von Alice zu Bob schicken kann, ohne dass Wolfgang mitlesen kann, der hat sich geirrt.

Aber trotzdem ist es keine Makulatur!
Die "letzte Meile" ist (abgesehen natürlich von Wolfgangs Möglichkeiten direkt beim Provider) der Ort, wo jeder Amateur mit einem Sniffer Informationen abschöpfen kann. Ob das der Nachbar mit Nutzungsrechten im eigenen WLAN ist, du selber über einen ungesicherten WLAN-Hotspot surfst/mailst oder aus dem Intranet einer Firma wo es angeblich gelangweilte Admins oder "berechtigte Personen" gibt, überall dort schützt dich TLS/SSL vor dem unberechtigten Mitlesen deiner Mails.

Quote

Mir ist schon klar das TLS kein Ersatz für PGP oder S/MIME ist aber einen Sinn möchte ich schon dahinter sehen.

Ich denke mal, den Sinn habe ich dir erklärt.
Und trotzdem => siehe meine Signatur! In meiner eigenen Kommunikation gibt es so gut wie keine unverschlüsselte Mail mehr.

MfG Peter

Hallo Peter,
bist du ganz sicher, dass es unverschlüsselt weitergeht, wenn (Start)TLS nicht funktioniert? Das ist zwar erlaubt, aber nicht zwingend. Wenn also der TB so programmiert ist, dass er bei STARTTLS unverschlüsselte Verbindungen ablehnt, weil der Server nicht kann, ist hier Schluss.

Quote

frog ich meine auch gelesen zu haben das es unverschlüsselt weitergeht.

Wie gesagt, es wäre erlaubt, es ist aber nicht zwingend vorgeschrieben. Was also macht der TB?

Quote

Würde auch Sinn machen. Wofür sollte man sonst erst aushandeln ob verschlüsselt oder nicht.

Man möchte unbedingt eine verschlüsselte Verbindung. SSL ist nicht im Angebot, nur Starttls. Rückfall auf unverschlüsselt will man nicht.

Quote

Dann könnte man ja immer versuchen zu verschlüsseln oder bei nicht Erfolg abbrechen.

Genau.

Quote

Vielleicht ist meine Erwartungshaltung da etwas zu hoch aber es hört sich für mich nicht so sicher an wie TLS.

Das im Artikel erwähnte Problem ist aber eher ein Implementierungsfehler, bei postfix schon gefixt, ansonsten hoffentlich auch bald. SSL/TLS wird mit Sicherheit andere Lücken haben.

Wikipedia sagt das ja recht eindeutig:

Quote

Beim Simple Mail Transfer Protocol zeigt ein Server durch die Antwort STARTTLS an, dass die weitere Kommunikation verschlüsselt erfolgen kann.
...
Im Gegensatz dazu beginnt eine Verbindung nach STARTTLS immer unverschlüsselt auf den normalen Ports und fährt auch nach Einigung und Umschaltung auf Verschlüsselung auf diesen fort. Ein essentieller Vorteil bei STARTTLS ist die Tatsache, dass die Peers die Fähigkeiten aushandeln können;
...
Dank STARTTLS kann zum Beispiel der Client (ohne Userinteraktion) wahrnehmen, dass der Server die Erweiterung bietet und automatisch Gebrauch davon machen.

Es wird also immer nach der sicheren Möglichkeit gesucht.
Ob der Thunderbird bei nicht vorhandener Möglichkeit die Verbindung strikt verweigert, kann ich nicht sagen. Den Fall hatte ich noch nicht. Habe auch keine Verbindung, welche es nicht kann und bei der ich das mit STARTTLS probieren könnte.

MfG Peter

Hi,

ich hab da noch eine Adresse bei gawab.com, und da passiert folgendes:

Quote

Senden der Nachricht fehlgeschlagen.
Fehler beim Senden der Nachricht: Eine sichere Verbindung mit dem SMTP-Server smtp.gawab.com kann nicht mit STARTTLS aufgebaut werden, da der Server diese Funktion nicht angibt. Schalten Sie STARTTLS für diesen Server ab oder kontaktieren Sie Ihren Service-Provider.

Telnet sagt:

telnet smtp.gawab.com smtp
Trying 66.220.20.50...
Connected to smtp.gawab.com.
Escape character is '^]'.
220 info15.gawab.com ESMTP
ehlo Salam alaikum
250-info15.gawab.com
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-PIPELINING
250-8BITMIME
250 SIZE 69905069
STARTTLS
502 unimplemented (#5.5.1)
quit
221 info15.gawab.com
Connection closed by foreign host.

Also eindeutig, TB bricht ab, wenn StartTLS nicht geht - und das ist gut so.