SMTP, POP3, IMAP, STARTTLS und old-style SSL kurz erklärt

Die Grafik zeigt den Weg einer E-Mail vom Sender zum Empfänger:

In der Regel sind die Rechner der Nutzer nicht direkt mit dem Internet verbunden. Der Zugang erfolgt über ein Zugangsgateway des Providers oder das Gateway der Firma. Die Gateways leiten nur TLS-verschlüsselte Daten weiter und sollte keinen Einfluss haben.

Der 1. Mailserver hostet den Account des Absenders und nimmt die E-Mail via SMTP von Thunderbird entgegen. Die E-Mail wird an den 2. Mailserver gesendet, der den Account des Empfängers hostet. Hier liegt die E-Mail, bis der Empfänger sie via POP3 oder IMAP abruft.

Die Transportverschlüsselung (SSL/TLS) für die gestrichelten Verbindungen zu den Mailservern können die Nutzer durch korrekte Konfigurtion ihres E-Mail Clients erzwingen. Das hat nichts mit einer Verschlüsselung des Inhalts der E-Mail zu tun. Es wird nur die Datenübertragung zum Mailserver verschlüsselt und es wird sichergestellt, dass man wirklich mit dem gewünschten Server verbunden ist.

Auf die Transportverschlüsselung zwischen den Mailservern können die Nutzer in der Regel keinen Einfluss nehmen. Der Transport wird wenn möglich verschlüsselt (opportunistische Verschlüsselung) oder die Daten werden unverschlüsselt übertragen. Wenn die Daten ohne Transportverschlüsselung übertragen werden, können sie an den Internetknoten von den "Diensten" abgeschnorchelt werden.

Einige E-Mail Provider haben spezielle AngeboteVerschlüsselung zwischwn den Providern sicherzustellen, beispielsweise die Mail Adressen name@secure.mailbox.org oder die verschlüsselte Versandgarantie von Posteo.de, die zumindest in eine Richtung die Verschlüsselung garantiert.

SMTP, POP3 und IMAP

Diese Abkürzungen sind für den Laien etwas verwirrend.

SMTP: ist das Kommunikationsprotokoll zum Versenden von E-Mails.
POP3: ist das Kommunikationsprotokoll zum Herunterladen von empfangenen E-Mails auf den lokalen Rechner. Dabei werden die E-Mails auf dem Mailserver üblicherweise gelöscht, sie können aber auch für eine begrenzte Zeit auf dem Server bleiben und erst x Tage nach dem Download gelöscht werden (konfigurierbar).

Hinweis: bei POP3 wird nur der Ordner "Posteingang" vom Mailserver abgerufen. Wenn man im Webinterface des Mailproviders weitere Ordner angelegt hat und mit Filtern E-Mails automatisch sortieren lässt, dann hat man mit POP3 keinen Zugriff auf diese Mails. Die automatische Sortierung muss in Thunderbird erfolgen.
IMAP: ist ein Kommunikationsprotokoll, um die empfangenen E-Mails auf dem Server zu verwalten und nur zum Lesen temporär herunter zu laden. Auch die Kopien der gesendete E-Mails und alle Entwürfe werden bei der Nutzung des IMAP Protokolls auf dem Mailserver des Providers gespeichert.

IMAP bietet damit die Möglichkeit, mit verschiedenen E-Mail Clients von mehreren Rechnern und Smartphones auf den Account zuzugreifen und stets Zugriff auf alle E-Mails zu haben. Die Möglichkeit des weltweiten Zugriffs auf seine Mails erkauft man sich aber mit Einschränkungen des Datenschutzes.

Die auf dem Server des Providers gespeicherten E-Mails unterliegen NICHT mehr dem Telekommunikationsgeheimnis nach Artikel 10 GG, wenn der Nutzer die Möglichkeit hatte, sie zur Kenntnis zu nehmen und zu löschen. Das BVerfG hat diese Rechtsauffassung 2009 in dem Urteil 2 BvR 902/06 bestätigt.

Mit der Reform der Telekommunikationsüberwachung im Dezember 2012 und die im Rahmen des Gesetzentwurfes zur Bekämpfung von Rechtsterrorismus und Hasskriminalität vorgelegten Anpassungen am Telemediengesetz sollen es jedem Dorfpolizisten ohne richterliche Prüfung erlauben, diese Daten abzurufen. Es wäre u.U. unschön, wenn man dort die gesamte Kommunikation der letzten 15 Jahre vorfindet.
Ein Kompromiss ist möglich, um mit mehreren Geräten (PC zuhause, Smartphone unterwegs...) auf einen E-Mail Account zuzugreifen:
1. Das Hauptgerät (PC) greift via POP3 auf den Mailserver zu, holt sich alle E-Mails und archiviert sie. Dieser E-Mail Client löscht alle Mails auf dem Server nach einer oder zwei Wochen oder wenn sie lokal gelöscht werden. So bleiben nur wenige E-Mails auf dem Server, man hat aber trotzdem privat ein vollständiges Archiv.
2. Alle anderen Geräte wie Smartphones u.ä. greifen vie IMAP auf den E-Mail Account zu und können so tagesaktuelle Geschäfte erledigen und E-Mails kurzfristig unterwegs lesen und beantworten.

SSL/TLS oder STARTTLS

Wie einfach es ist, unverschlüsselte Verbindungen zu den Mailservern zu belauschen, die Passwörter zu extrahieren und den Account zu kompromittieren, wurde von T. Pritlove auf der re:publica 2007 gezeigt. Die Aktivierung der Transportverschlüsselung ist also ein Muss.

In der Account Konfiguration kann man wählen, ob man "old-style SSL/TLS" oder das neuer "STARTTLS" Protokoll für die Transportverschlüsselung zwischen E-Mail Client und Mailserver verwenden will. Aus Sicherheitsgründen ist SSL/TLS zu bevorzugen.

Wenn man SSL/TLS: verwendet, wird als erstes eine verschlüsselte Verbindung aufgebaut und danach beginnt die protokoll-spezifische Kommunikation.

Es werden keine Daten über eine unverschlüsselte Verbindung gesendet und der Server muss sich zuerst authentifizieren, bevor der Client irgendwelche Daten sendet.
Wenn STARTTLS: genutzt wird, beginnt die Kommunikation unverschlüsselt. Der E-Mail Client wartet ab, ob der Mailserver in seinen Capabilities mit 250-STARTTLS eine Transportverschlüsselung anbietet. Erst aüßert der Client den Wunsch, verschlüsselt zu kommunizieren, wa der Server nochmals bestätigen muss. Dann erfolgt ein Aufbau der verschlüsselten Verbindung und der Client beginnt nochmal von vorn.

Eine SMTP-Verbindung wird mit STARTTLS wie folgt aufgebaut: Client: unverschlüsselter Connect Server: 220 smtp.server.tld Simple Mail Transfer Service Ready Client: EHLO 192.168.23.44 Server: 250-smtp.server.tld Server: 250-SIZE 100000000 Server: 250-AUTH LOGIN PLAIN Server: 250-STARTTLS Client: STARTTLS Server: 220 go ahead SSL/TLS Handshake zwischen Client und Server Client: EHLO 192.168.23.44 Wie man sieht, können dabei unter Umständen auch private Daten unverschlüsselt gesendet werden. Bei SMTP wird im ersten EHLO Kommando die IP-Adresse oder der Hostname des Rechners aus dem internen Netz unverschlüsselt gesendet. Ein "Lauscher am Draht" kann damit u.U. den Mitarbeiter in einer Firma identifizieren.

Bewusst oder unbewusst könnten Provider als man-in-the-middle die verschlüsselte Übertragung deaktivieren. Es wird einfach die Meldung 250-STARTTLS gefiltert und überschrieben. Scheinbar verfügen alle DSL-Provider über die Möglichkeit, dieses Feature bei Bedarf für einzelne Nutzer zu aktivieren. Einige E-Mail Clients verwenden standardmäßig die Option "STARTTLS wenn möglich". Diese Einstellung ist genau in dem Moment wirkungslos, wenn man es braucht, weil der Traffic beschnüffelt wird.

Das STARTTLS wurde als Erweiterung für bestehende Protokolle entwickelt, um TLS Verschlüsselung für unterschiedliche Domains mit unterschiedlichen Zertifikaten auf einem Server anbieten zu können. Es wurde nicht mit der Zielstellung entwickelt, die Sicherheit von SSL/TLS zu erhöhen. Man sollte sich nicht irritieren lassen und evtl. schlussfolgern, dass "old-style TLS" veraltet sein könnte.

Auch die IETF empfiehlt in RFC 8314 "SSL/TLS" gegenüber "STARTTLS" zu bevorzugen.

Hinweis für Nutzer der Telekom-Router

Die aktuellen Versionen der DSL-Router, die von der Telekom bereitgestellt werden, haben ein Feature, um Spambogs das Versenden von E-Mails zu erschweren. SMTP-Verbindungen auf den Ports 25, 465 und 587 sind nur für eine Whitelist von Mail-Servern erlaubt. Die empfohlenen E-Mail Provider sind nicht alle in der standardmäßigen Whitelist enthalten.

In der Router Konfiguration kann man im Menüpunt "Internet - Liste der sicheren E-Mail-Server" das Feature abschalten oder den SMTP-Server des eigenen Providers hinzufügen.

Dieses Feature wird auch bei einem Update der Firmware älterer Telekom-Router aktiviert. Wenn man trotz korrekter Konfiguration in Thunderbird keine E-Mails mehr versenden kann, sollte man einen Blick in die Konfiguration des Routers werfen.