Thema: Fragen zur E-Mail-Sicherheit

[Bitpicker]

Ein Bekannter hat eine kleine Firma und hat die örtliche Niederlassung eines Weltkonzerns als Kunden. Er hat denen eine E-Mail von seinem popeligen Pop3-Konto geschickt und bekam -wie er sagt- zur Antwort, er möge bitte auf IMAP und TLS-Verschlüsselung umstellen, ansonsten könne man seine E-Mails nicht dulden.

Was für einen Vorteil kann das für den Empfänger der E-Mail haben, und woran merkt man überhaupt, welche Verfahren der andere benutzt?

Robin

[Andreas]

Für gewöhnlich sieht man das, wenn man sich ein wenig auskennt und den erweiterten HEader einer Mail anzeigen lässt.
Sieht ungefähr so aus:

Return-Path: <anonymous@s152++++++xxxxxxxxxxxx.info>
Delivered-To: 3-root@fXXXXXX.de
X-Spam-Checker-Version: SpamAssassin 3.1.8 (2007-02-13) on
   s152++++++xxxxxxxxxxxx.info
X-Spam-Level: **
X-Spam-Status: No, score=2.2 required=7.0 tests=FROM_NO_LOWER,MISSING_SUBJECT,
   NO_RELAYS,REPLY_TO_EMPTY autolearn=no version=3.1.8
Received: (qmail 19422 invoked by uid 30); 28 Apr 2007 17:20:19 +0200
Date: 28 Apr 2007 17:20:19 +0200
Message-ID: <20070428152019.19420.qmail@s152++++++xxxxxxxxxxxx.info>

Ist nur ein Ausschnitt.
Aber in einem kompletten Header sieht man auch, welchen Servertyp der Absender bentutzt und welche Verschlüsselung.

POP Server sind relativ unsicher, Mails leicht abzufangen.
Bei Imap sieht das schon wieder etwas anders aus.

Ob es so viel ausmacht, weiss ich offne gestanden nicht, aber wenn die Firma das so will.

Die meisten Provider bieten ja heute schon nen IMAP an.

[Wodisch]

sowohl POP3, als auch IMAP4 arbeiten unverschlüsselt!
Als Verschlüsselungen gibt es POP3S und IMAPS, jeweils mittels SSL, oder alternativ eben die unverschlüsselten Protokolle über TLS zu schicken.
"Gesehen" werden kann das, wie Korvin schon schrieb, in den Header-Angaben der Mail.
Der Kunde will sich wohl gegen Mail von Servern schützen, auf die ohne Verschlüsselung - also auch ohne vernünftige Authentisierung - zugegriffen werden kann.

Was das Ganze etwas lächerlich macht, ist dagegen, daß ebendieser Kunde NICHT darauf besteht, daß der Mailversand mittels SMTP über TLS geht, sondern daß davon keine Rede ist:
SMTP (das ist das Übertragungsprotokoll zwischen den Mailservern im Internet) selber arbeitet nämlich immer schon und immer noch ohne jede Verschlüsselung, aber sogar auch ohne jede Form von Authentisierung und/oder Autorisierung: jeder kann sich mittels so einfacher Befehle wie

Code: [Auswählen]

telnet smtp.KUNDE.de 25 an deren Mail-Server wenden und dann mit ach so schwierigen Schritten eine Mail von "GWB" an sie senden:

Code: [Auswählen]

helo whitehouse.gov
mail from: president@whitehouse.gov
recipient to: chef@KUNDE.de
data
subject: Oh boy, trust me on this!

Dear Mr Chef,

you are almost as stupid as I am - but you will never be able to beat me there!

Sincerely,
GWB
.

Wer will, kann ja noch zusätzliche Header nach der "subject" Zeile (aber vor der Leerzeile) einbauen, zum Beispiel solche, die behaupten, der Mail-Client hätte die Mail verschlüsselt mit IMAP4 an seinen Mail-Server übertragen...

[Bitpicker]

Danke schön, so ähnlich hatte ich mir das gedacht. Aber es mag durchaus sein, dass der besagte Kunde auf SMTP mit TLS besteht, mein Bekannter ist nicht so firm, dass er Computer-Lingo inhaltlich korrekt wiedergeben kann. Gerade eben erst mailte er mir, dass es wohl Probleme mit dem E-Mailprogramm Firefox gäbe...

Robin