1.5.8 Abhören von E-Mails

Der E-Mail-Dienst wurde für ein Netz entworfen, in dem man sich gegenseitig vertraut. Dadurch wurden die Protokolle SMTPSimple Mail Transfer Protocol, POP und IMAP ohne eine Verschlüsselung der Nachrichten implementiert.

Im Gegensatz zum ebenfalls unverschlüsselten HTTPHyperText Transfer Protocol reicht in diesem Fall jedoch eine Kombination mit der SSLSecure Sockets Layer/TLSTransport Layer Security-Verschlüsselung auf keinen Fall aus, um eine Ende-zu-Ende-Verschlüsselung zu realisieren. Hierzu muss man sich die Übertragung von E-Mails und die Verwendung der Protokolle dabei vor Augen führen. Unter der Annahme, dass Nutzerin Alice an Nutzer Bob eine E-Mail senden möchte und Bob sei Kunde eines anderen Providers als Alice, dann erfolgen drei Schritte.

  • Alice sendet die E-Mail unter Verwendung von SMTP an den Mail Server ihres Providers.
  • Der Mail Server von Alices Provider sendet die E-Mail wiederum per SMTP an den Mail Server von Bobs Provider. Dort liegt die Nachricht dann abholbereit vor.
  • Bob fragt seine E-Mails mit POP3 oder (heutzutag meistens) IMAP ab und erhält dabei die Nachricht von Alice.

Alice und Bob können dabei bei ihrem Mail Programm die Verwendung von SSL/TLS einstellen, die dann mit SMTP und POP3/IMAP kombiniert wird. Damit wird aber nur die Übertragung zum Mail Server des Providers und die Abholung vom Mail Server des Providers verschlüsselt. Die E-Mails liegen auf den Mail Servern der Provider wiederum unverschlüsselt vor und außerdem haben beide keinen Einfluss darauf, ob die Kommunikation zwischen den Providern verschlüsselt erfolgt. Wie im Rahmen der "E-Mail made in Germany"-Initiative deutlich wurde, wurden von großen E-Mail-Providern vor den Snowden-Enthüllungen die E-Mails zwischen den Providern unverschlüsselt ausgetauscht, was nun beseitigt werden soll (siehe Heise.de-Meldung). Google zeigt auf seinen Seiten eine Statistik, mit welchen E-Mail Providern Google mit seinem Gmail-Dienst verschlüsselt kommuniziert.

Um sich zu schützen kann man entweder auf verbesserte Dienste der Anbieter vertrauen oder selbst mit seinen Kommunikationspartnern eine Ende-zu-Ende-Verschlüsselung durchführen.