Die meisten E-Mailserver unterstützen heutzutage die Verschlüsselung von Transportwegen mit STARTTLS. Das ist eine positive Entwicklung: Denn wenn ein Transportweg verschlüsselt ist, kann niemand Ihre E-Mails auf dem Transportweg ohne Weiteres mitlesen. Noch Anfang 2013, vor den Enthüllungen von Edward Snowden, war das Verschlüsseln von Transportwegen noch nicht besonders verbreitet.

Bei TLS wird eine Verschlüsselung allerdings nicht erzwungen, sondern bei jeder einzelnen Verbindung zwischen den beteiligten E-Mailservern neu ausgehandelt. Es kann durch technische Fehler oder auch durch Angriffe deshalb jederzeit vorkommen, dass auch bei TLS-fähigen Servern keine Verschlüsselung zustande kommt. Und genau aus diesem Grund gibt es bei Posteo keine TLS-Anzeige: Vor dem Verbindungsaufbau für den Versand kann keine seriöse Aussage darüber getroffen werden, dass eine E-Mail an den Empfänger tatsächlich mit TLS verschlüsselt wird.

Eine TLS-Anzeige kann nämlich entweder auf Erfahrungen aus der Vergangenheit beruhen, das lässt aber keine Aussage auf zukünftige Verbindungen zu. Oder sie kann kurz vor dem eigentlichen Versand prüfen, ob TLS zustandekommt. Und auch das kann sich kurz darauf durch eine technische Störung oder einen Angriff geändert haben. Deshalb sind TLS-Anzeigen unserer Überzeugung nach unseriös: Sie täuschen Sicherheit nur vor.

Wenn Sie sicherstellen möchten, dass Ihre E-Mails garantiert nur dann versendet werden, wenn ein verschlüsselter Transportweg auch tatsächlich zustande kommt, können Sie Ihre TLS-Versand-Garantie aktivieren. Die Garantie lässt sich in den Einstellungen Ihres Postfachs im Bereich Mein Konto unter Transportwegverschlüsselung mit einem Klick aktivieren.

Aktivieren Sie Ihre TLS-Versand-Garantie, versenden wir Ihre E-Mails garantiert nur dann, wenn eine Nachricht verschlüsselt ausgeliefert werden kann. Ist ein sicherer Versand über eine verschlüsselte Verbindung nicht möglich, wird die Übertragung der E-Mail gestoppt- und Sie erhalten eine Benachrichtigung von uns. Sollten unbefugte Dritte also eine sichere Verbindung angreifen und den Rückfall auf eine unverschlüsselte Verbindung erzwingen möchten, stoppen wir den Versand.

Warum gibt es bei Posteo im Webmailer stattdessen eine DANE-Anzeige?

Im Posteo-Webmailer wird Ihnen ein kleines “DANE”-Symbol eingeblendet, wenn der Server des Empfängers DANE unterstützt.

Die neue Sicherheitstechnologie DANE zeigen wir deshalb an, weil bei DANE schon vor dem Versand eine seriöse Aussage darüber getroffen werden kann, ob die Technologie beim Versand auch tatsächlich zum Einsatz kommen wird. DANE hat die Probleme von STARTTLS im E-Mailverkehr gelöst. Unterstützen E-Mail-Server DANE, müssen die an der Kommunikation beteiligten Server zwingend untereinander verschlüsseln. Gibt es Störungen beim TLS-Einsatz oder ist die Kommunikation einem Angriff ausgesetzt, wird die E-Mail nicht versendet.

Darüber hinaus führen die Server vor dem Übermitteln von E-Mails eine Überprüfung ihrer Sicherheitszertifikate durch. So stellen sie sicher, dass der andere Server auch tatsächlich das echte Ziel der Kommunikation ist – und kein Man in the Middle, der sich dazwischen geschaltet hat. Deswegen kann mit DANE ein verschlüsselter Versand vorab sicher zugesagt werden. Deswegen bieten wir eine DANE-Anzeige in unserem Webmailer an.

Zusammengefasst bedeutet die Anzeige für Sie: Ihre E-Mail wird garantiert mit DANE sicher über einen verschlüsselten Transportweg an den tatsächlichen Empfängerserver gesendet.

Weiterführende Artikel

• Was ist die TLS-Versand-Garantie und wie aktiviere ich sie?
• Warum erhöht die Technologie DANE/TLSA die Sicherheit?