Abhörsicherheit: Web.de sichert Mail-Transport zusätzlich per DANE ab
Der Schritt ist bedeutsam, weil Web.de nicht nur einer der großen deutschen Freemail-Dienste ist, sondern, weil der Mutterkonzern United Internet auch zur Initiative "E-Mail made in Germany" gehört – um die es zuletzt freilich still geworden ist.
Der Konzern United Internet ist seinem Plan, den Mail-Transport aller seiner Mail-Angebote per DANE (DNS-based Authentication of Named Entities) abzusichern, einen großen Schritt nähergekommen. Seit kurzem sind zwei SMTP-Mailserver des großen Freemailer-Dienstes Web.de auf die DANE-Technik aufgerüstet und somit besser gegen Abhörangriffe auf der Transportstrecke abgesichert.
Zuvor hatte United Internet erfolgreiche Feldversuche mit seiner kleineren Domain mail.com absolviert. Nun stehen noch die Aufrüstungen für GMX- und 1und1-Mailserver aus. Wann man damit rechnen kann, ist derzeit offen, eine Anfrage an United Internet läuft.
Mail-Sicherheit
Wenn auch die Mail-Server von GMX und 1und1 per DANE abgesichert sind, hat der Konzern seine Ankündigung vom August 2015 umgesetzt und eine der Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllt. Gemäß den BSI-Richtlinien müssen neu oder re-zertifizierte Mail-Anbieter beim Mail-Transport DANE einsetzen. Hosting-Kunden von United Internet steht diese Technik vorerst nicht zur Verfügung. Der Konzern gab zuletzt an, bei Hosting-Angeboten Microsoft Exchange einzusetzen, welches bisher nicht für DANE ausgelegt ist.
Mittels DANE lassen sich Man-in-the-middle-Angriffe auf den Mail-Transport verhindern, weil es SSL/TLS-Zertifikate anders als bisher üblich, validiert, bevor sie zum Aufbau der Verschlüsselung herangezogen werden. Ohne eine Zertifikats-Validierung können Dritte, also etwa Ermittlungsbehörden, Mails trotz Verschlüsselung lesen. Weitere Verfahren, den Mail-Transport abzusichern, haben kürzlich Teilnehmer der IETF 95 – teils kontovers – diskutiert. Letztlich geht es darum, möglichst auch den Mail-Verkehr von Nutzern so weit wie möglich vor unbefugten Augen zu schützen, die aus welchem Grund auch immer, keine Ende-zu-Ende-Mailverschlüsselung einsetzen.
Stille um EmiG
United Internet setzt aber mit den beiden Marken Web.de und GMX weiterhin auch auf "Inter Mail Provider Trust". Das ist ein Verfahren, das das Unternehmen zusammen mit Partnern wie der Telekom und Strato im Rahmen der Initiative "E-Mail made in Germany" entwickelt hat (EmiG).
Auch Inter Mail Provider Trust gewährleistet die Authentizität von Zertifikaten, aber es skaliert schlecht und ist nur wenig verbreitet. Zudem sind damit nur die Mails auf dem Übertragungsweg gegen Abhören abgesichert, die die Mitglieder der Initiative "E-Mail made in Germany" untereinander austauschen. Außer United Internet setzt bisher keiner der EmiG-Partner DANE auf seinen Mail-Servern ein. Um EmiG ist es zuletzt freilich still geworden. Zu den Mitgliedern der Gründungsgruppe ist laut der EmiG-Teilnehmerliste nur noch das hannoversche Unternehmen Hornetsecurity hinzugekommen.
Viktor Dukhovni, einer der DANE-Spezialisten bei der Internet Engineering Task Force, lobt derweil die bisherige DANE-Implementierung von United Internet. Demnach seien die im DNS publizierten Web.de-Zertifikat-Daten (TLSA-Records) vorbildlich und entsprechend einem Beispiel für die Implementierung mit SMTP-Server-Zertifikaten von Let's Encrypt aufgesetzt.
[Update]: 18.4.206, 16:25: Thilo Haertel, Junior PR Manager bei 1und1 erklärte auf Nachfrage, dass für die Mail-Server von 1&1 eine Umsetzung der Mail-Transport-Absicherung mit DANE geplant sei. Ein konkretes Datum könne das Unternehmen aber noch nicht nennen. Für die Hosting-Kunden sei DANE aktuell "nicht geplant". (dz)
