So kaputt ist die E-Mail (und sie wird trotzdem nicht sterben) | c't 3003

Die E-Mail ist älter als das Internet und viele Sicherheitsmerkmale, die bei anderen Systemen absoluter Standard sind, kommen nicht verpflichtend beim System E-Mail vor. Und trotzdem ist die E-Mail eines der wichtigsten Kommunikationsmittel unserer Zeit. Wie kann das sein und wird das vielleicht noch ändern? c't 3003 erklärt die Anfänge und Probleme der E-Mail.

Transkript des Videos

(Hinweis: Es handelt sich hier um einen Bonusinhalt für Menschen, die das Video oben nicht schauen können oder wollen. Die Informationen auf der Bildspur gibt das Transkript nicht wieder.)

Guckt mal hier, wie krass, ich schreibe eine E-Mail. Das machen wir sogar wöchentlich als c’t 3003-Newsletter und E-Mail ist aus dem Arbeitsalltag von fast allen Menschen nicht wegzudenken. Und bei Betreffzeilen gilt je mehr Re: Re: WG: AW: desto besser. Eine E-Mail-Betreffzeile ist erst dann richtig gut, wenn sie nicht mehr in die Vorschau auf das Smartphone-Display passt.

Und natürlich gehören E-Mails auch privat absolut zum Alltag. Kino-Karten bestellt? Klar, kriegst du eine E-Mail. Spiel auf der Playsi gekauft? Klar, kriegst du eine E-Mail. Technik-News-Updates? Kriegst du eine E-Mail. Und natürlich Spam. Kriegst du ganz viele E-Mails.

Aus technischer Sicht ist die E-Mail vor allem so erfolgreich, weil sie dezentral funktioniert. Also du hast komplett die Wahl: Du kannst entweder deinen eigenen Mail-Server betreiben, Mainstream bei Google-Mail sein oder OG gmx.de. Du kannst allen eine Mail schreiben, die eine Mail-Adresse haben. Also ganz anders als bei zentralisierten Diensten, wie WhatsApp, Signal oder Telegram. Da kann man keine eigenen Server betreiben und man hat auch keine Wahl, wo man den eigenen Account registriert.

Ja, aber leider hat E-Mail auch ganz viele Nachteile, dummerweise auch welche, die sich prinzipbedingt nicht reparieren lassen; vor allem, was die Sicherheit angeht. Deshalb wäre es jetzt einfach zu sagen: Die Zeit ist gekommen, E-Mail stirbt bald. Das haben ja auch schon viele Leute gesagt. Wir sagen aber: E-Mail ist nicht totzukriegen. Warum das so ist, seht ihr in diesem Video. Und auch, warum E-Mail eigentlich total kaputt ist. Bleibt dran!

Liebe Hackerinnen, liebe Internetsurfer, herzlich willkommen hier bei …

Ja, die E-Mail ist tatsächlich älter als das Internet. Also genau genommen das Protokoll dahinter: SMTP, Simple Mail Transfer Protocol, das stammt nämlich aus dem Jahr 1982 und war eigentlich für ARPANET gedacht, also dieses US-Forschungsnetzwerk, aus dem dann später das Internet hervorgegangen ist. Warum ist das wichtig? Weil sich dadurch einiges erklären lässt, womit sich die E-Mail heute noch herumschlägt. ARPANET war nämlich ganz anders als das Internet, quasi so ein Friede-Freude-Eierkuchen-Netzwerk. Weil es nur von einer kleiner Forschungs- und Militär-Bubble benutzt wurde, gab es da keine kriminellen Angriffe, Spam und Betrugsmaschen.

Und dieses SMTP-Protokoll verwenden Mail-Server noch heute, um miteinander zu kommunizieren. Bei SMTP sind nicht Benutzer oder Organisationen im Mittelpunkt, sondern Prozesse auf Computern. Das Ganze ist im Prinzip super simpel, das erklärt euch jetzt mal Sahin, der normalerweise hinter der Kamera arbeitet: Okay, also der User ist ein möglicher Auslöser, der dem sendenden SMTP-Prozess den Auftrag zum Senden einer Nachricht gibt. Dieser Prozess baut dann eine Verbindung zum empfangenden Mailserver auf und stellt sich dort mit dem Befehl HELO, die Abkürzung von HELLO vor.

Also zum Beispiel HELO mail.heise.de und liefert dann, wenn der empfangende Server bereit ist, eine Nachricht ab. Dafür muss er angeben, wie der Absender der Nachricht heißt und an wen sie gehen soll. Also z.B. MAIL FROM: 3003@ct.de RCPT TO: newstips@heise.de. Und ja, das @ Zeichen kam schon 1982 vor.

Was damals aber noch niemand ahnen konnte: Die Möglichkeit selbst anzugeben, von wem eine Nachricht kommt, wird später ausgenutzt für Spam und Spoofing. Spam zu versenden ist mit SMTP super einfach, man braucht nur ein kleines Programm, das massenhaft SMTP-Sitzungen eröffnet und dann Nachrichten bei anderen Servern ablädt. Das ist auch oft bei Malware so passiert. Also du kriegst Schadsoftware und die versendet dann über deinen PC Spam. Da hatten wir ja auch schon mal ein Video zu. Und auch das sogenannte Spoofing ist bei SMTP super einfach: Es kann jeder behaupten, dass die Mail von irgendeinem Absender kommt: Also etwa absender @ bundeskanzleramt.de.

Um dagegen vorzugehen, wurden dann später Verfahren um SMTP herumgebaut, etwa SPF, DKIM und DMARC. Die sollten auf Grundlage von Kryptografie und DNS für mehr Sicherheit sorgen. Aber weil die E-Mail ja möglichst einfach zugänglich sein sollte und es keine zentrale Steuerungsinstanz gibt, wurden diese Sicherheitsmechanismen nie irgendwie verpflichtend eingeführt. Also so als Update von SMTP 1.0 auf 2.0. Selbst Dinge, die heute eigentlich selbstverständlich sind, wie die Transportverschlüsselung TLS, sind nicht verpflichtend. Es weigern sich halt nur immer mehr Mail-Server E-Mails zu empfangen, bei denen die sogenannte “obligatorische Transportverschlüsselung” nicht aktiviert ist.

Auch eine andere Entscheidung von damals hat heute noch Konsequenzen. Der Inhalt einer Mail nach dem damaligen Standard darf nur aus ASCII-Zeichen bestehen. Das sind alle Buchstaben, Zahlen und Zeichen, die man in den USA braucht. Aber eben keine Umlaute wie ä oder ü oder chinesische Schriftzeichen. Das war damals auch okay und schon zeitgemäß. Es ging ja primär darum, kurze Nachrichten zu übermitteln auf textbasierten Terminals oder Nadeldruckern. Und das Ganze in den USA. Aber gut, das hat sich dann offensichtlich später etwas geändert und mit MIME (Multipurpose Internet Mail Extensions) gab es dann neue Spezifikationen, die quasi alles können: Unicode-Zeichen, Anhänge und Verschachtelung von Inhalten.

Ich habs ja anfangs schon gesagt, der große Vorteil an der E-Mail ist die dezentrale Struktur. Aber das ist aber halt auch das größte Problem. Das hat nämlich ab den 2000ern zu einer regelrechten Welle an Spam-Mails geführt, eben weil es alle benutzen und man mit Spam super viele Leute erreicht. Und auch wenn Spam etwas zurückgegangen ist: Laut einer Auswertung von Kaspersky Labs aus dem Jahr 2022 lag der Anteil an Spam-Mails da immer noch bei 45 Prozent. Und alle, die schon mal nen Mail-Server selbst betrieben haben, wissen: Da den Spam zu filtern, ist ganz schön nervenaufreibend und wird jetzt mit KI-Textgeneratoren auch nicht einfacher. Was aber noch schwieriger ist, ist das sicherstellen, dass andere Mail-Server meine Mails auch empfangen. Da hatten wir bei der c’t vor kurzem echte Probleme, weil Google-Mail ct.de als Spamschleuder eingestuft hat.

Und wenn ihr jetzt denkt: Schon blöd, dann konnte ja niemand mehr bei c’t an GMail-Adressen Mails versenden. Ja, aber es ist tatsächlich noch viel schlimmer. Denn die Google-Server hosten nicht nur Google-Mail-Adressen, sondern auch die Mails von vielen Unternehmen, die ihre Mails samt Domain einfach von Google verwalten lassen, statt einen eigenen Mail-Server zu verwenden. Das war doof für uns und das passiert auch regelmäßig anderen Firmen, also dass die Reputation ihrer Mail-Domain von Google abrupt runtergestuft wird und keine Mails mehr verschickt werden können.

Der Trend geht auch deshalb zu zentralen Mail-Anbietern wie eben Google. Denn wenn ich jetzt für mein Unternehmen einen eigenen Mail-Server betreibe und dann aber immer Angst haben muss, dass andere größere Mail-Server meine Mails nicht empfangen, das ist nicht so gut. Dann beiß ich halt in den sauren Apfel und gebe z.B. Google Geld dafür, dass die das Mail-Hosting für mich übernehmen und die Mails, dann auch sicher bei Google und den anderen großen Anbietern ankommen. Fällt im ersten Moment auch gar nicht auf, weil ich ja meine eigene Domain verwenden kann. Aber das zerstört natürlich die Grundidee vom dezentralen System E-Mail.

So, man kann ja nicht über die E-Mail sprechen, ohne E-Mail-Clients zu erwähnen. Klar: Viele Mail-Anbieter, wie Google, Microsoft oder Apple bieten einen Browser-Zugang auf die eigenen Mails an und am Desktop ist das inzwischen für viele Leute der gängigste Weg. Für einige geht es aber noch über die klassischen Mail-Programme am Rechner oder Smartphone. Für mich zum Beispiel, ich benutze auf allen Betriebssystemen am liebsten Thunderbird, das ist Open-Source, was ich grundsätzlich bevorzuge, und seit dem “Supernova”-Update sieht es auch wirklich ziemlich gut aus.

Das Problem allerdings mit den unterschiedlichen Clients: Alle machen irgendwas anders und man kann sich nie so genau darauf verlassen, dass die E-Mail beim Empfänger auch wirklich so aussieht, wie man sich das wünscht. Was da helfen kann, ist ein Blick in den Quellcode der E-Mail zu werfen. Da könnt ihr dann beispielsweise sehen, ob die E-Mail einen Anhang hat. Es kommt nämlich immer wieder mal vor, dass Anhänge nicht angezeigt werden, etwa wenn man eine Mail von Apple Mail sendet und die dann mit Outlook.com im Browser geöffnet wird. Was man da sonst noch genau wie herauslesen kann, könnt ihr in diesem c’t-Artikel nachlesen oder ihr benutzt ein Header-Analysetool. In MXToolBox kopiert ihr einfach den Nachrichtenkopf der E-Mail und bekommt dann mehr Informationen zur E-Mail. Also beispielsweise, ob die E-Mail plausibel sein kann, also etwa, ob es ungültige DKIM-Signaturen gibt oder SMTP-Server, die auf einer Blacklist stehen. Wenn ihr euch die einzelnen Bereiche aus der Kopfzeile erklären lassen wollt, dann könnt ihr den Header-Analyzer von Gaijin verwenden. Aber im Zweifelsfall natürlich keine privaten E-Mails in solche Web-Tools kopieren. Zum Überprüfen von Versandbenachrichtigungen oder Werbemails sind die Tools aber gut geeignet. Die c’t-Artikel zum Thema und die beiden Analyse-Tools sind natürlich unten in der Beschreibung verlinkt.

Mail-Clients können aber auch ganz schöne Datenschleudern sein. Das neue Outlook zum Beispiel schickt die IMAP- und SMTP-Zugangsdaten und sämtliche E-Mails auch von nicht outlook.com-Mail-Adressen an Microsoft-Server. Meine Kolleginnen und Kollegen bei c’t konnten beim Anlegen eines IMAP-Kontos mitschneiden, wie Ziel-Server, Log-in-Name und Passwort an Microsofts Server übertragen werden. Zwar TLS-geschützt, aber im Tunnel laufen die Daten dann im Klartext zu Microsoft. Das ist jetzt vor allem blöd, wenn man eben extra nicht bei Microsoft, Google oder einem anderen großen US-Mailanbieter ist, weil man seine Mails nicht in den USA gespeichert haben möchte.

Microsoft hat sich inzwischen zu der c’t-Recherche geäußert und erklärt etwas schwammig, dass die E-Mail-Daten an die eigenen Server gesendet werden, um das Benutzererlebnis zu verbessern. Die Daten sollen zwar immerhin verschlüsselt bei Microsoft gespeichert werden, aber auch nur mit dem BasicAuth-Verfahren, das für IMAP eigentlich unüblich ist. Und ja, es mag technische Gründe dafür geben, aber die Reaktionen vieler Leute zeigen, dass ihnen gar nicht klar ist, dass Microsoft Nutzerdaten überträgt und Mails auf die eigenen Cloud-Server überträgt.

Und wenn ihr euch jetzt denkt: Alles schön und gut, aber was ist eigentlich mit der DE-Mail, hat die nicht alle Probleme der Mail damals gelöst? Ne. Also das Thema mit dem rechtssicheren Signieren von E-Mails ist besonders in Deutschland immer wieder gescheitert. Das Problem bei der DE-Mail war vor allem, dass für die Benutzung der Zertifikate, die man als Porto kaufen musste, ein teures Lesegerät nötig war. Und auch der neue Ansatz, Zertifikate bei einem sogenannten „qualifizierten Vertrauensdienst“ zu kaufen, um E-Mails rechtssicher unterschreiben zu können, wird sich wahrscheinlich nicht langfristig durchsetzen. Denn schon das kleinste Paket, das die Telekom anbietet, kostet 83,19 Euro im Jahr plus Kartenlesegerät natürlich.

Das Thema E-Mails rechtssicher zu versenden, ist in Deutschland so komplex, dass Gerichte und Anwaltskanzleien ein eigenes System benutzen, namens „besonderes elektronisches Anwaltspostfach“. Und auch im Gesundheitswesen gibt es einfach ein Netz im Netz. Mit der Telematik-Infrastruktur können Kliniken, Ärzte und Apotheken Patientenakten oder Rezepte abhörsicher austauschen. Was es aber leider nicht gibt, ist eine Möglichkeit für ganz normale Leute an Unternehmen und Behörden, rechtssicher E-Mails zu versenden. Und so wie das aktuell aussieht, wird das leider auch noch eine ganze Weile dauern.

Mein Fazit: Also was genau eine E-Mail und das Protokoll darum können muss, war schon vor 40 Jahren recht niedrig angesetzt. Und klar, hat das zu Problemen geführt. Aber das war wahrscheinlich auch der Grund, warum das Ganze so erfolgreich wurde. Denn während sich Computer und das Internet immer wieder verändert haben, ist die E-Mail eine Konstante in dem ganzen Prozedere geblieben. Und genau deswegen ist die E-Mail auch nicht totzukriegen. Sie ist zu einfach zugänglich und zu etabliert. Egal, ob kurze Nachricht an den Kollegen oder förmliche Mail an ein Unternehmen, mit einer Mail kann man halt fast alles an Text-Kommunikation machen. Nur leider ist Mail eben auch unsicher und unzuverlässig, weil keine Sicherheitsmechanismen zwingend vorgeschrieben sind. E-Mail ist das schlechteste Nachrichtensystem, das es gibt, und doch das beste, das wir haben.

Wie ist das bei euch? Sichert ihr eure E-Mails noch mit weiteren Kryptographie-Verfahren ab? Benutzt ihr überhaupt noch Mail oder nur noch Messenger? Glaubt ihr, E-Mail hält nochmal 40 Jahre durch? Schreibts gerne in die Kommentare. Und natürlich gerne abonnieren. Tschüss!

---

c't 3003 ist der YouTube-Channel von c't. Die Videos auf c’t 3003 sind eigenständige Inhalte und unabhängig von den Artikeln im c’t magazin. Die Redakteure Jan-Keno Janssen und Lukas Rumpler sowie die Video-Producer Şahin Erengil und Pascal Schewe veröffentlichen jede Woche ein Video.

(rum)