Microsoft verbessert Verschlüsselung für Outlook.com
Als einer der letzten großen Mail-Provider bringt nun auch Microsoft die Verschlüsselung seiner Mail-Server auf ein zeitgemäßes Niveau. Ein Kurztest zeigt, dass die Basisfunktionen stimmen. Fast jedenfalls.
In den letzten Tests von c't zur E-Mail-Sicherheit [1] fiel Microsofts Outlook.com glatt durch. Nun hat der Konzern nachgebessert und bietet auf allen Servern Verschlüsselung als Transportsicherung an – auf den meisten sogar inklusive Forward Secrecy [2].
Damit reagiert Microsoft als einer der letzten großen Mail-Provider auf die Kritik an den deutlich unterentwickelten Schutzvorkehrungen, die ein massenhaftes Mitlesen von E-Mails etwa durch die Schnüffelei der Nachrichtendienste in den Netzwerkaustauschknoten verhindern können. Ein soeben durchgeführter Kurztest von heise Security bestätigte, dass zumindest die IMAP- und SMTP-Server von Outlook.com jetzt TLS mit Forward Secrecy anbieten – was Konkurrenten wie Google [3] bereits seit einigen Jahren tun. Allerdings beschränkt sich Microsofts POP-Server (pop-mail.outlook.com) nach wie vor auf eine mangelhafte Verschlüsselung mit 3DES und ohne Forward Secrecy (DES-CBC3-SHA).
Und auch das Webmail-Frontend ist noch nicht auf dem Stand der Technik: Unser Test zeigte beim Lesen von Mails im Browser weder Forward Secrecy noch das als Schutz gegen Man-in-the-Middle-Angriffe wünschenswerte HSTS [4]. Darüber hinaus leuchtete auch beim Test auf Tracking-Funktionen sofort beim Öffnen einer E-Mail im Webfrontend ein roter Alarm auf, der nicht nur die Tatsache bestätigte, dass die E-Mail gelesen wurde, sondern auch wo (lokalisierbare IP-Adresse) und auf welchem Gerät (Browserkennung). Microsoft hat also immer noch einiges an Arbeit vor sich, wenn die Firma zur Konkurrenz aufschließen will. (ju [5])
URL dieses Artikels:
https://www.heise.de/-2244080
Links in diesem Artikel:
[1] https://www.heise.de/news/Schutz-fuer-E-Mails-Kleine-Mail-Dienste-ueberzeugen-2098281.html
[2] https://www.heise.de/hintergrund/Zukunftssicher-Verschluesseln-mit-Perfect-Forward-Secrecy-1923800.html
[3] https://www.heise.de/news/Google-mit-besserer-Langzeit-Verschluesselung-1384441.html
[4] https://www.heise.de/news/HTTP-Strict-Transport-Security-als-Internet-Standard-1754184.html
[5] mailto:ju@ct.de
Copyright © 2014 Heise Medien