TÜV Rheinland: Ursache des teils unverschlüsselten Mail-Versands gefunden
Von einer Institution, die die Sicherheit von Anbietern verschlüsselter Mail-Übermittlung zertifiziert, erwartet man, dass sie ihre eigenen Mails ebenfalls verschlüsselt sendet. Zum Start von E-Mail made in Germany klappte das aber nur zum Teil.
Zum Start der Initiative "E-Mail made in Germany" hatte der TÜV Rheinland auf seinen Zertifizierungsdienst mit einer Rund-Mail an zahlreiche Empfänger hingewiesen. Aber nur ein Teil dieser Mails ging mit Transport-Verschlüsselung bei den Mail-Servern der Empfänger ein. Ein anderer Teil hingegen gelangte unverschlüsselt ans Ziel. Beispielsweise erhielt der Mail-Server der heisenetze-Redaktion zwei unverschlüsselte und zwei verschlüsselte Nachrichten vom SMTP-Server der Prüfstelle. Das rief einige Verwunderung hervor, denn von einer Institution, die selbst die Sicherheit von Mail-Providern zertifiziert, welche verschlüsselten Mail-Transport anbieten, erwartet man erst recht, dass sie auch die Pressemitteilung darüber verschlüsselt beim Empfänger-Server einreicht.
Anscheinend handelt es sich jedoch nicht um ein Versäumnis des TÜV Rheinland. Eigentlich, so die Prüfstelle im Gespräch mit heisenetze, sei der Mail-Server so konfiguriert, dass er das TLS-Verfahren (Transport Layer Security) gegenüber der Klartextübertragung bevorzugt (TLS preferred). Für einige Gegenstellen sei die Verschlüsselung sogar verpflichtend eingetragen (TLS required). Untersuchungen hätten aber ergeben, dass die eingesetzte Appliance und der darin verwendete SMTP-Server (MTA, Message Transfer Agent) die Vorgaben nur zum Teil korrekt ausführen.
Stillschweigend unverschlüsselt
Der MTA schaltet fatalerweise bei Mails, die an mehr als 99 Empfänger gerichtet sind, ab der 99sten offenen TLS-Verbindung stillschweigend auf unverschlüsselte Übertragung zurück. Ob und wie schnell diese Anzahl der offenen TLS-Threads erreicht ist, hängt von unterschiedlichen Faktoren ab, zum Beispiel der Performance der Internetanbindung, der Last der Gegenstellen oder der Größe der zu übertragenden Mail. Es war also purer Zufall, dass der Fehler gerade beim Versand an den heise-SMTP-Server sichtbar geworden ist.
Der TÜV Rheinland hat sich nach dem Vorfall an den Hersteller der Appliance und des MTA gewandt und um Klärung gebeten. Die Prüfstelle will den Namen des Herstellers auf Nachfrage jedoch "vorläufig nicht nennen, um ihm Zeit zu geben, eine Lösung anzubieten". Eine Abhilfe liegt immerhin auf der Hand: Bis das Problem behoben ist, behilft sich die Institution damit, Rund-Mails in kleineren Tranchen als 100 zu versenden. (dz)
