Meldungen

„Aktuelle Meldungen rund um Posteo: Neuigkeiten, Entwicklungen, Hintergrundinfos, Medienbeiträge über Posteo - das ganze Spektrum.“

Meldungen

SPD, Congstar & Co: Was tun bei unsicheren Servern?

Erstellt am 21.Juli 2016, 19:00 Uhr | Kategorie: Blog

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir haben in den vergangenen Tagen viel positives Feedback zu unserer neuen TLS-Versand-Garantie erhalten: Hierfür möchten wir uns herzlich bedanken. Es freut uns, wie gut Sie die neue Sicherheits-Funktion annehmen. Innerhalb weniger Tage haben rund 20 Prozent unserer Kunden die neue Funktion aktiviert. Bei aktivierter TLS-Garantie werden Ihre E-Mails nur dann versendet, wenn sie über einen verschlüsselten Transportweg an den Empfänger übertragen werden können.
Da wir aktuell zahlreiche Nachfragen erhalten, gehen wir hier auf einige unsichere E-Mailserver ein und zeigen auf, welche Optionen Sie nach einem Versandstopp haben.

Zunächst ein Beispiel, zu dem wir zahlreiche Nachfragen erhalten: Die SPD.

Die E-Mail-Server der offenbar weit verbreiteten Domain “@spd.de” sind tatsächlich nicht abgesichert. Sie unterstützen auch drei Jahre nach dem NSA-Skandal noch keine TLS-Verschlüsselung beim Empfang von E-Mails. Das können wir bestätigen. Wir hatten von zahlreichen Kunden mit aktivierter TLS-Versand-Garantie Nachfragen zur Sicherheit von “@spd.de” erhalten.


Einige andere SPD-Domains, zum Beispiel von Landesverbänden, scheinen hingegen nicht betroffen zu sein.

Die derzeitige Konfiguration ist unsicher und stellt ein Sicherheitsrisiko dar. Ob Sie sensible Inhalte dennoch weiterhin mit “@spd.de”-Adressen austauschen möchten, ist Ihre persönliche Entscheidung. Sie können Ihre TLS-Versand-Garantie für das Versenden ggf. kurzzeitig deaktivieren. Bitte beachten Sie jedoch: Aufgrund der fehlenden Absicherung von “@spd.de” kann diese Kommunikation von unbefugten Dritten, wie Kriminellen und Geheimdiensten, mitgelesen werden. Daten Dritter sollten Sie an spd.de-Adressen aus Gründen des Datenschutzes nicht versenden: Darüber sollten diese Personen selbst entscheiden können.

Wir haben auf die IT der SPD keinen Einfluss. Sie können sich aber an den Parteivorstand wenden, dem diese Domain laut DENIC gehört – und der für sie verantwortlich ist.
Es ist für Administratoren von E-Mailservern in der Regel kein größerer Aufwand, die TLS-Verschlüsselung an ihren Servern zu aktivieren.
Wir gehen davon aus, dass die Domain zeitnah abgesichert wird, wenn Beschwerden eingehen. Denn die fehlende Absicherung stellt ein gravierendes Sicherheitsrisiko dar. Dann können Sie auch bei aktivierter TLS-Versand-Garantie wieder E-Mails an spd.de-Adressen versenden.

Keine Verschlüsselung auch bei Amazon Marketplace und Congstar

Wir bitten auch alle Kunden, die sich wegen der nicht TLS-fähigen E-Mail-Server von @marketplace.amazon.de, @kabelbw.de, @congstar.de, @gewobag.de und anderen (weiter unten aufgeführten) Domains an uns gewendet hatten: Wägen Sie im Einzelfall ab, ob Sie eine E-Mail an das unsichere E-Mailsystem versenden möchten. Für alle nicht TLS-fähigen Server gilt: Die Kommunikation mit solchen veralteten E-Mail-Systemen ist unsicher.


Nach einem Versandstopp haben Sie grundsätzlich folgende Möglichkeiten:
- Sie informieren den Empfänger (ggf. auf einem anderen Weg) darüber, dass ein sicherer E-Mail-Versand an seine Adresse nicht möglich ist und bitten ihn um das Mitteilen einer anderen E-Mail-Adresse.
- Sie deaktivieren die Posteo-TLS-Versand-Garantie kurzzeitig und versenden die E-Mail sicher, indem Sie die Nachricht mit einer Ende-zu-Ende-Verschlüsselung versehen.
- Sie deaktivieren die Posteo-TLS-Versand-Garantie kurzfristig und versenden die E-Mail ausnahmsweise unverschlüsselt bzw. unsicher.

Den Domaininhaber um eine bessere Absicherung bitten

Wenn Sie möchten, können Sie den Inhaber einer Domain auch bitten, die TLS-Verschlüsselung auf seinen Servern zu aktivieren. So tragen Sie dazu bei, eine bessere Absicherung des E-Mailverkehrs insgesamt zu erreichen.

So finden Sie mit wenigen Klicks die Inhaber von .de-Domains:
Rufen Sie die Internetseite www.denic.de auf. Klicken Sie oben rechts auf “Domainabfrage”.
Geben Sie den Domainnamen ein, er steht hinter dem @. Bei einer @spd.de-Adresse geben Sie also z.B. nur spd.de ein. Dann klicken Sie auf Abfrage starten.
Unten erscheint eine Sicherheitsfrage. Geben Sie die angezeigten Buchstaben ein und klicken auf Absenden.
Ihnen werden nun der Domaininhaber und die dazugehörigen Kontaktdaten angezeigt.

Insgesamt lässt sich sagen, dass heutzutage meist nur noch veraltete und schlecht gewartete E-Mailserver kein TLS unterstützen. Aktivieren Sie die TLS-Versand-Garantie, wird es deshalb im Alltag in der Regel nur selten vorkommen, dass eine Ihrer E-Mails aus Sicherheitsgründen nicht versandt wird.

Zum Schluss haben wir für Sie beispielhaft einige E-Mail-Domains mit größerer Reichweite zusammengestellt, die erstaunlicherweise noch kein TLS unterstützen – und zu denen wir in den vergangenen Tagen Rückfragen erhalten haben:

- United Nations Office at Geneva: @unog.ch
- SPD: @spd.de
- Kabel Baden-Württemberg: @kabelbw.de
- Congstar: @congstar.de
- Amazon Marketplace: @marketplace.amazon.de
- Karl-Franzens-Universität Graz: @uni-graz.at
- Deutsche Internetapotheke: @deutscheinternetapotheke.de
- Stadt Halle an der Saale: @halle.de
- Stadt Saarbrücken: @saarbruecken.de
- SWB-Gruppe, Bremen: @swb-gruppe.de
- Deutsche Oper Berlin: @deutscheoperberlin.de
- Gewobag: @gewobag.de
- QVC: Teleshopping @qvc.de

Viele Grüße
Ihr Posteo-Team