Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Ungesicherte Einsichten

Seite 8: E-Mail mit Android

Inhaltsverzeichnis

E-Mail mit Android, aber sicher!

Die meisten Android-Telefone enthalten den E-Mail-Client von Google oder den Mail-Client der HTC-Sense-Oberfläche, mit denen man auf beliebige Mailserver zugreifen kann. Aber Vorsicht: Deren Voreinstellung ist eine unverschlüsselte Verbindung, über die die Login-Daten im Klartext wandern. Wem Passwort und E-Mails lieb sind, der muss die Verbindungseinstellung TLS oder SSL setzen. Beide Verschlüsselungsoptionen gibt es bei „E-Mail“ mit dem Zusatz „Alle Zertifikate akzeptieren“, mit der das Programm zwar eine verschlüsselte Verbindung aufbaut, aber auf Zertifikatchecks verzichtet. Mit einem MITM-Angriff konnten wir Daten und Passwörter abgreifen. Das Schlimme: Der Nutzer hat keine Chance, den Angriff zu bemerken. Von diesem Zusatz sollte man daher unbedingt die Finger lassen.

Lassen Sie sich von dem Verschlüsselungszusatz „falls verfügbar“ nicht in die Irre führen: Er deaktiviert sämtliche Sicherheits-Checks und macht die Verschlüsselung im Ernstfall wertlos.

Wer einen privat betriebenen Mailserver nutzen möchte oder auf den Firmenserver zugreifen will, schaut mit „E-Mail“ in die Röhre, wenn diese ein selbstsigniertes Zertifikat verwenden. Eine sichere Verbindung ist zu solchen Servern nicht möglich. „Mail“ bietet bei unbekannten Zertifikaten zwar die Option „Ignorieren“, aber das funktionierte im Test unzuverlässig und ist daher nicht empfehlenswert. K-9 Mail – gewissermaßen die Entwicklerversion von Android E-Mail mit verbessertem IMAP-Support und einer Reihe erweiterter Konfigurationsmöglichkeiten – bietet dem Anwender bei unbekannten Serverzertifikaten die Möglichkeit, unbekannte Zertifikate dauerhaft zu akzeptieren und trotzdem zu überprüfen. Die Option zum Akzeptieren beliebiger Zertifikate heißt bei K-9 irreführend „falls verfügbar“ – auch hier gilt: Finger weg!

Beim Einrichten des E-Mail-Kontos kann es auch zu Problemen kommen, wenn der angegebene Servername nicht mit dem im Zertifikat übereinstimmt. Verwendet man beispielsweise analog zur @gmx.de-Adresse als Server für eingehende Mails imap.gmx.de, meckert der Mailer das Zertifikat als ungültig an, weil es auf imap.gmx.net ausgestellt ist. Schauen sie in solchen Fällen in der Dokumentation ihres E-Mail-Providers nach den korrekten Servernamen, aber lassen Sie sich nicht zu dazu hinreißen, den Zertifikatscheck oder gar die Verschlüsselung komplett abzuschalten.

(cr)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten