Hintergrund: Sicherheitslücken beim Mail-Transfer via SMTP

Der Weg einer E-Mail vom Sender zum Empfänger hat von Beginn des Internet an bis heute eine entscheidende Schwachstelle: Es gibt nach wie vor keinen generell angewendeten Standard, um die Identität des Absenders zu garantieren. Ursache ist das Simple Mail Transfer Protokol (SMTP). Dieses seit 1982 nahezu unverändert eingesetzte Protokoll legt keinen Authentifizierungsmechanismus fest, weshalb es Fälschern und Spammern grundsätzlich Tür und Tor öffnet.

Um ihre SMTP-Server halbwegs sicher zu machen, ließen sich die Betreiber daher einen Trick einfallen. Sie nutzen die Passwortabfrage für E-Mail-Postfächer gemäß dem Post Office Protocol V3 (POP3) als Behelfslösung. Hier bleibt der der SMTP-Server so lange nicht ansprechbar, bis sich der Nutzer mit seinem Namen und Passwort beim Postfach angemeldet hat, um die E-Mails abzuholen. Genau dann wird ihm (und nur ihm) am SMTP-Server des Dienstes für eine bestimmte Zeit (meist 30 Minuten) ein kleines Türchen geöffnet, über das er seine frisch geschriebenen E-Mails loswerden kann. So soll verhindert werden, das nicht registrierte Personen den Dienst anonym nutzen können.

Dieses "SMTP-after-POP" genannte Verfahren ist aber fehleranfällig und überdies nicht kompatibel mit allen E-Mail-Programmen. Die c't-Hotline kann ein traurig Lied davon singen, dass beispielsweise der weit verbreitete Client Outlook Express von Microsoft auch in der aktuellen Version immer noch nicht in der Lage ist, standardmäßig zuerst die Post abzuholen. Diverse "Workarounds", die im Web kursieren, bezeugen, dass sehr viele Nutzer vor diesem Problem stehen. GMX etwa stellt aus diesem Grund eigens ein kleines Tool zur Verfügung, das nur die Aufgabe hat, den SMTP-Service temporär freizuschalten.

Bereits seit März 1999 existiert allerdings ein neuer Standard in Form des RFC 2554 (SMTP-Auth), der SMTP um den längst überfälligen Passwortschutz erweitert. Aktuelle Versionen vieler E-Mail-Clients sind bereits in der Lage, mit SMTP-Servern auf RFC-2554-Basis E-Mails auszutauschen, so zum Beispiel Outlook Express, Netscape Messenger, Eudora, Pagasus Mail oder Pine. Zusammen mit einer verschlüsselten Passwort-Übergabe via Simple Authentication and Security Layer (SASL) und Transport Layer Security (TSL) gibt es also längst die Möglichkeit der abgesicherten Kommunikation von SMTP-Server- und Client. Warum RFC 2554 gar nicht oder nur sehr zögerlich zum Einsatz kommt, ist allerdings völlig unverständlich.

Ab dem morgigen Mittwoch nun wird der größte deutsche Freemail-Anbieter GMX optional dieses Sicherheitsmerkmal anbieten. Zunächst soll der sichere SMTP-Zugang parallel zum herkömmlichen SMTP-after-POP-Mechanismus laufen. Die bereits registrierten Kunden bekommen eine Anleitung, wie sie ihre E-Mail-Programme entsprechend umstellen; für Neukunden ist SMTP-Auth ab Mittwoch voreingestellt.

Die immanente Sicherheitsschwäche von SMTP sorgt regelmäßig für Missverständnisse. So berichteten in der vergangenen Woche diverse News-Dienste über angebliche Sicherheitslöcher von SMTP-Relay-Servern, insbesondere beim Berliner Webhoster Strato. Dort sei es möglich, so hieß es, dass Absenderdaten in E-Mails gefälscht werden können. Übersehen wurde allerdings, dass dies kein spezifisches Strato-Problem ist, sondern mit hunderten anderen SMTP-Servern genauso funktioniert.

So bemüht sich Strato denn auch zu erklären, dass die bevorstehende Umstellung des Kunden-E-Mail-Services auf die Server-Software qmail nichts mit der aktuellen Diskussion zu tun hat: "Wir wollen die Performance verbessern und unseren Kunden eine bessere Sicherheit bieten. Die Umstellung ist aber bereits seit längerem geplant und hat nichts mit der aktuellen Berichterstattung zu tun", erläuterte Firmensprecher Sören Heinze gegenüber heise online. Noch in diesem Jahr will Strato dann neben SMTP-after-POP auch die Absender-Authentifizierung gemäß RFC 2554 anbieten.

Im Gegensatz zu Strato hielt der zweitgrößte Webhoster Puretec noch nie etwas von der "Krücke" SMTP-after-POP. "Aus unserer Sicht spricht dagegen, dass viele Nutzer damit keine E-Mails mehr versenden können, weil ihre E-Mail-Software diese Technik nicht beherrscht", erklärte Puretec-Sprecher Michael Frenzel. Der Nutzen sei ohnehin gering, weil SMTP-after-POP nicht das Grundproblem der Absender-Authentifizierung löse. "Im Betrugsfall lässt sich auch ohne SMTP-after-POP der Absender anhand der IP-Adresse nachverfolgen." Puretec will ab Anfang des nächsten Jahres "die in die Kritik geratenen Sicherheitslücken schließen" und ebenfalls SMTP-Authentication anbieten.

Bei ePost, dem Freemail-Service der Deutschen Post, hat man bereits Erfahrungen mit der SMTP-Erweiterung gemacht. Seit Juli bieten die Bonner das Feature bereits an, allerdings ohne es marketingtechnisch auszuschlachten. "Das Problem liegt nicht bei unserem Server, sondern vor allem bei den Windows-Clients", betonte ePost-Techniker Alexander Finger im Gespräch mit heise online. E-Mail-Programme wie Outlook Express zeigten sich diesbezüglich alles andere als stabil. Schuld sei wohl die eher rudimentäre Implementierung des SMTP-Auth-Features. (hob)