Update unseres Jabber-Chat-Servers
Donnerstag, den 05. Juni 2014 - 23:07 Uhr Verfasst von Michael Kliewe
Das Jabber-Protokoll (XMPP) ist der weltweite Standard um mit anderen zu chatten. Wir haben unsere Software immer auf dem aktuellen Stand gehalten, um Ihnen einen sicheren, stabilen Dienst bieten zu können. Aber nun wurde es Zeit für ein größeres Update.
Im Zuge der Sicherheitsdebatten haben sich letztes Jahr viele Jabber-Server-Betreiber zusammen getan und beschlossen, Jabber noch sicherer zu machen. Jabber ist, genauso wie E-Mail, optional verschlüsselt. Wenn eine Nachricht von dem Programm eines Benutzers an den eigenen Jabber-Server-Anbieter geschickt wird oder zwischen zwei Servern ausgetauscht werden soll, wird die Verschlüsselung genutzt, wenn sich beide Seiten darauf einigen können. Falls nicht, wird die Nachricht im Klartext durch das Internet geschickt. Damit soll nun Schluss sein. Seit Mai sind alle Jabber-Server-Betreiber aufgerufen, die Verschlüsselung zur Pflicht zu machen. Sollte eine Nachricht an einen anderen Server geschickt werden müssen, der keine Verschlüsselung beherrscht, würde die Nachricht gar nicht versendet. Das selbe gilt für die Verbindung vom Jabber-Programm zum Server des Anbieters - ohne Verschlüsselung ist kein Login möglich.
Die optionale Verschlüsselung haben wir von Beginn an unterstützt. Ende Mai haben wir nun die Verschlüsselungspflicht für die Client-to-Server-Verbindungen umgesetzt, sodass sich alle unsere Nutzer nur noch verschlüsselt zu unserem Server verbinden können. Laut unseren internen Statistiken war das bei 98% schon in der Vergangenheit der Fall, da die Verschlüsselung seit geraumer Zeit in allen Jabber-Programmen standardmäßig aktiviert ist. Gleichzeitig haben wir noch einen Wechsel der Software vorgenommen (für die Experten: von ejabberd auf prosody), um die neuesten Verschlüsselungsfeatures nutzen und alte Protokolle deaktivieren zu können.
Bei der Verschlüsselung zwischen den Jabber-Servern haben wir uns nicht durchringen können, diese zur Pflicht zu machen. Das würde aktuell alle Nachrichten zu und von Google-Chat-Nutzern (Hangout) unterbinden. Google ist einer der wenigen großen Anbieter, die gar keine Verschlüsselung anbieten, sodass durch die Pflicht auf unserer Seite keine Nachrichten mehr von und zu Google-Nutzern möglich wären.
Wir möchten Google für diesen Schritt ein wenig mehr Zeit einräumen, dies zu implementieren. Sollte Google nicht in den nächsten 2 Monaten reagieren, werden wir den harten Schnitt machen und müssen dann leider darauf verweisen, dass es an Google liegt, dass keine Verbindung mehr zwischen den Nutzern von mail.de und Google Hangouts zustande kommt. Zu allen anderen Jabber-Servern wird die Verbindung nach wie vor natürlich verschlüsselt, wenn dies möglich ist.
Bei dem Online-Jabber-Sicherheitstest von https://xmpp.net ist unsere Bewertung sowohl bei den Client-to-Server-Verbindungen als auch bei den Server-to-Server-Verbindungen durch diese Änderungen von "A-" auf "A" gestiegen. Wir waren also vorher ziemlich sicher und konnten uns jetzt noch auf die Höchstwertung "A" verbessern.
Eine Anleitung zur Einrichtung unter den verschiedensten Jabber-Clients (iChat, Pidgin, Miranda oder Xabber für Android) finden Sie in unserer Hilfe unter diesem Link: https://mail.de/hilfe/chat-jabber-einstellungen