Was Sie schon immer über E-Mail wissen wollten…

Wie sagte Ladar Levison, Ex-Betreiber des Ex-Mailanbieters Lavabit, doch kürzlich?

If you knew what I know about email, you might not use it either.

Die meisten von uns wissen sicher weniger über E-Mail als Mr. Levison, aber in diesen Zeiten kommen wir nicht umhin, jeden Tag etwas hinzuzulernen – und nicht immer ist das Gelernte erfreulich. US-Firmen geben mehr oder weniger freiwillig mehr oder weniger tiefen Zugang zu den Mails ihrer Kunden, Telekom, GMX & Co. erzählen uns das Sommermärchen von der sicheren E-Mail made in Germany, und (Pofalla-Alarm!!!) unsere Regierung erklärt, dass das, worüber sich die halbe Welt aufregt, doch überhaupt kein Grund zur Aufregung ist, weil es so ohnehin nie stattgefunden hat, und man fragt sich, was schlimmer ist: dass unsere Regierung glaubt, uns so für dumm verkaufen zu können, oder dass sie es womöglich selber glaubt.

Unterdessen sitzt im Berliner Südwesten einer (= ich), der sich Gedanken darüber macht, ob seine Empfehlungen – die immer mehr Leser anlocken, Google sei Dank! – auch korrekt sind.

Wir erinnern uns (ist ja nicht schwer, weil erst ein paar Tage her): Ich hatte vorgeschlagen, bei Bedarf den Mail-Anbieter zu wechseln, weg von amerikanischen Anbietern oder solchen, die enge Verbindungen in die USA haben, hin zu kleinen europäischen Anbietern, die besonderen Wert auf sichere Speicherung und sicheren Transport ihrer Kundendaten legen.

Ein solcher Anbieter ist Posteo, der in der gedruckten c’t als einziger deutscher Anbieter immerhin eine 1- (und in einer nachgeschobenen Heise-Meldung sogar eine glatte 1) bekommen hatte, und heute in einem Blogeintrag damit angab darauf hinwies. In diesem Eintrag fand ich auch den Link zu einem Tool, das alle Sicherheitsaspekte eines Webservers (und alle großen und auch die kleinen Mail-Anbieter betreiben auch Webmail), soweit von außen abfragbar, bewertet. Selbstverständlich (sonst hätte Posteo es wohl nicht erwähnt) bekam der grüne Anbieter aus Kreuzberg auch hier die Note 1 (bzw. A nach amerikanischem Notenschema).

Weil ich kürzlich aber auch runbox.com, einen norwegischen Anbieter empfohlen hatte (unter anderem weil er in Norwegen und damit außerhalb der EU und dem Wirkungsbereich eventueller schmutziger Ansinnen bez. Vorratsdatenspeicherung liegt), ließ ich auch den… oha!

Note F für runbox.com
Note F für runbox.com

Zertifikate – OK. Schlüssel-Austausch – OK. Cypher-Stärke – OK. Aber bei den Protokollen hakt es. Neben der aktuellen SSL-Version 3.0 wird auch die veraltete und wenig sichere Version 2.0 noch unterstützt, und – ohne zu sehr mit technischen Details zu langweilen – gegen einen „Man in the middle“-Angriff ist ausgerechnet der Server mit dem Namen secure.runbox.com nicht gesichert.

Eine von mir daraufhin angestoßene Diskussion in einem Runbox-Forum erbrachte das Ergebnis, dass rmm6.runbox.com, der Server, über den das Webmail-Angebot von Runbox läuft, genauso gut abschneidet wie der von posteo.de. Wer Runbox im Browser nutzt, ist also gesichert; der POP- und IMAP-Server dagegen, also der, den man mit einem Desktop-Mailprogramm oder einem mobilen Client erreicht, ist der oben bewertete secure.runbox.com. Die Antwort von Runbox:

We are aware of the lower security specification of secure.runbox.com and why this isn’t as it should be. We are planning to upgrade the server and the SSL certificate in the near future.

Aha. Ich dachte, ich sollte das angesichts meiner Empfehlung von letztem Freitag zumindest erwähnen.

Bei dem SSL-Test schneidet übrigens GMX, einer der Miterfinder von E-Mail made in Germany, mit einem B (Note 2) ab, während T-Online, ein anderer der Miterfinder, sich der Bewertung verweigert. Deren Server hat einfach nicht geantwortet.

Update, keine zwei Monate später: Runbox hat Wort gehalten und seine Sicherheitseinstellungen für alle Server aktualisiert; seit dem 1. Oktober gibt es auch hierfür die SSL-Bestnote.

4 Gedanken zu „Was Sie schon immer über E-Mail wissen wollten…“

  1. Thank you for following up on *Runbox*, I appreciate your comments on their current – minor – security issue.

    BTW, I’m sure you’ve already seen that Kim Dotcom’s *Mega* is promising to take up the slack : http://www.zdnet.com/mega-to-fill-secure-email-gap-left-by-lavabit-7000019232/ and that Phil Zimmermann seems to have given up on secure email altogether : http://www.tuaw.com/2013/08/12/pgp-inventor-doesnt-use-pgp-because-it-doesnt-run-well-on-a-m/

    Just in case you have some spare time on your hands to do some further investigation, here are 2 more items you may find interesting :
    https://cryptocloud.com/ and https://crypto.cat/ The former seems Linux compatible (commercial though) and the latter is a browser addon.

    • Peter,

      Thank you for pointing out that this is a minor issue. Webmail users can feel safe, assumed that they access the service through rmm6.runbox.com. And for IMAP users, too, this is more a theoretical risk; still it is something Runbox rightfully is about ti fix.

Kommentare sind geschlossen.

Mentions