Eingriff in E-Mail-Verschlüsselung durch Mobilfunknetz von O2
Seit vergangener Woche berichteten O2-Kunden vereinzelt von Fehlermeldungen beim Versand von E-Mail. Wie sich heraus stellte, filterte der Mobilfunk-Provider zeitweise Befehle, die eine Verschlüsselung aktivieren.
- Christiane Rütten
Der Mobilfunkanbieter O2 filterte in seinem UMTS- und GPRS-Netz zeitweise Befehle zur Aktivierung von verschlüsseltem E-Mail-Versand. Der Anbieter macht ein fehlerhaftes Update von Netzkomponenten verantwortlich. Aufgefallen war das Problem durch Fehlermeldungen der Mailprogramme zur Verbindungsverschlüsselung.
Daraufhin durchgeführte Tests von heise Security haben ergeben, dass in SMTP-Verbindungen die Statusmeldung 250-STARTTLS herausgefiltert wurde, die signalisiert, dass ein Mail-Server Verschlüsselung anbietet. Sie wurde durch die Zeichenfolge 250-XXXXXXXA ersetzt, woraufhin viele E-Mail-Clients auf Verschlüsselung verzichten und ihre Mails im Klartext über die Leitung senden. Nur wenn der Einsatz von Transport Layer Security (TLS) als unabdingbar gekennzeichnet ist, kommt es zu einer Fehlermeldung. Das Verhalten war lediglich bei Verbindungen über den Standard-Port 25 für das E-Mail-Versandprotokoll SMTP zu beobachten. Verbindungen über den dedizierten Port 465 für komplett verschlüsseltes SMTP (SMTP über SSL) sowie die Empfangsprotokolle IMAP und POP3 waren von dem Eingriff nicht betroffen.
Auf Anfrage von heise Security erklärte O2-Pressesprecher Albert Fetsch, die beobachteten Unregelmäßigkeiten seien durch ein Software-Update und einen Hardware-Tausch an einem Standort im Core-Netz vor eineinhalb Wochen verursacht worden und nur punktuell aufgetreten. Inzwischen sei das Problem behoben. Tatsächlich erscheint in aktuellen Tests die Zeichenkette STARTTLS wieder ganz normal.
Das Herausfiltern des STARTTLS-Kommandos ist indes kein ungewöhnliches Phänomen. Viele Virenfilter stellen auf diesem Weg sicher, dass sie E-Mails nach Ungeziefer durchforsten können. Dies kann durch einen Proxy lokal auf dem PC oder auch beispielsweise durch eine E-Mail-Security-Appliance oder Firewall geschehen. Es hält sich auch das hartnäckige Gerücht, dass großangelegte Abhörsysteme wie Echelon mit dieser Methode den E-Mail-Verkehr zwischen E-Mail-Servern auf den Internet-Backbones belauschen.
Im Mailer Thunderbird beispielsweise verwenden viele Anwender die unsichere Einstellung "TLS, wenn verfügbar". Wer Wert auf eine zuverlässige Verbindungsverschlüsselung im E-Mail-Verkehr legt, sollte für Versand und Empfang möglichst zur Option "SSL" greifen, sofern sie Server und Client unterstützen. Mit ihr erfolgt selbst die erste Kontaktaufnahme verschlüsselt und Eingriffe in den Datenverkehr sind nicht mehr möglich beziehungsweise erzeugen unweigerlich deutliche Fehlermeldungen. Andernfalls kann man über "TLS" die Aktivierung der nachträglichen Verschlüsselung erzwingen. (cr)
