Microsoft verbessert Verschlüsselung für Outlook.com

Als einer der letzten großen Mail-Provider bringt nun auch Microsoft die Verschlüsselung seiner Mail-Server auf ein zeitgemäßes Niveau. Ein Kurztest zeigt, dass die Basisfunktionen stimmen. Fast jedenfalls.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen
Lesezeit: 2 Min.

In den letzten Tests von c't zur E-Mail-Sicherheit fiel Microsofts Outlook.com glatt durch. Nun hat der Konzern nachgebessert und bietet auf allen Servern Verschlüsselung als Transportsicherung an – auf den meisten sogar inklusive Forward Secrecy.

Wer seine Mail auf Outlook.com liest, verrät dem Absender nicht nur, dass er eine Mail gelesen hat, sondern auch wann, wo und womit.

Damit reagiert Microsoft als einer der letzten großen Mail-Provider auf die Kritik an den deutlich unterentwickelten Schutzvorkehrungen, die ein massenhaftes Mitlesen von E-Mails etwa durch die Schnüffelei der Nachrichtendienste in den Netzwerkaustauschknoten verhindern können. Ein soeben durchgeführter Kurztest von heise Security bestätigte, dass zumindest die IMAP- und SMTP-Server von Outlook.com jetzt TLS mit Forward Secrecy anbieten – was Konkurrenten wie Google bereits seit einigen Jahren tun. Allerdings beschränkt sich Microsofts POP-Server (pop-mail.outlook.com) nach wie vor auf eine mangelhafte Verschlüsselung mit 3DES und ohne Forward Secrecy (DES-CBC3-SHA).

Und auch das Webmail-Frontend ist noch nicht auf dem Stand der Technik: Unser Test zeigte beim Lesen von Mails im Browser weder Forward Secrecy noch das als Schutz gegen Man-in-the-Middle-Angriffe wünschenswerte HSTS. Darüber hinaus leuchtete auch beim Test auf Tracking-Funktionen sofort beim Öffnen einer E-Mail im Webfrontend ein roter Alarm auf, der nicht nur die Tatsache bestätigte, dass die E-Mail gelesen wurde, sondern auch wo (lokalisierbare IP-Adresse) und auf welchem Gerät (Browserkennung). Microsoft hat also immer noch einiges an Arbeit vor sich, wenn die Firma zur Konkurrenz aufschließen will. (ju)