Microsoft verbessert Verschlüsselung für Outlook.com
Als einer der letzten großen Mail-Provider bringt nun auch Microsoft die Verschlüsselung seiner Mail-Server auf ein zeitgemäßes Niveau. Ein Kurztest zeigt, dass die Basisfunktionen stimmen. Fast jedenfalls.
In den letzten Tests von c't zur E-Mail-Sicherheit fiel Microsofts Outlook.com glatt durch. Nun hat der Konzern nachgebessert und bietet auf allen Servern Verschlüsselung als Transportsicherung an – auf den meisten sogar inklusive Forward Secrecy.
Damit reagiert Microsoft als einer der letzten großen Mail-Provider auf die Kritik an den deutlich unterentwickelten Schutzvorkehrungen, die ein massenhaftes Mitlesen von E-Mails etwa durch die Schnüffelei der Nachrichtendienste in den Netzwerkaustauschknoten verhindern können. Ein soeben durchgeführter Kurztest von heise Security bestätigte, dass zumindest die IMAP- und SMTP-Server von Outlook.com jetzt TLS mit Forward Secrecy anbieten – was Konkurrenten wie Google bereits seit einigen Jahren tun. Allerdings beschränkt sich Microsofts POP-Server (pop-mail.outlook.com) nach wie vor auf eine mangelhafte Verschlüsselung mit 3DES und ohne Forward Secrecy (DES-CBC3-SHA).
Und auch das Webmail-Frontend ist noch nicht auf dem Stand der Technik: Unser Test zeigte beim Lesen von Mails im Browser weder Forward Secrecy noch das als Schutz gegen Man-in-the-Middle-Angriffe wünschenswerte HSTS. Darüber hinaus leuchtete auch beim Test auf Tracking-Funktionen sofort beim Öffnen einer E-Mail im Webfrontend ein roter Alarm auf, der nicht nur die Tatsache bestätigte, dass die E-Mail gelesen wurde, sondern auch wo (lokalisierbare IP-Adresse) und auf welchem Gerät (Browserkennung). Microsoft hat also immer noch einiges an Arbeit vor sich, wenn die Firma zur Konkurrenz aufschließen will. (ju)
