E-Mail Eingangsverschlüsselung mit PGP und S/MIME
07:23 Uhr Verfasst von Michael Kliewe
Jede eingehende E-Mail, die noch unverschlüsselt ist, kann nun optional verschlüsselt werden, so dass nur noch der Besitzer des privaten Schlüssels die E-Mails lesen kann.
Die PGP- und S/MIME-Eingangsverschlüsselung verschlüsselt optional jede eingehende E-Mail, die nicht bereits vom Absender verschlüsselt wurde, sodass die eingehende E-Mail verschlüsselt im Postfach abgelegt wird. Nur mit dem passenden privaten Schlüssel (PGP oder S/MIME) kann die E-Mail dann noch auf dem Computer des Kontobesitzers entschlüsselt und gelesen werden. Die Eingangsverschlüsselung bietet folgenden Schutz:
- Sollte das Konto-Passwort geknackt/erraten werden, kann der Angreifer nur verschlüsselte E-Mails sehen. Ohne den privaten PGP- oder S/MIME-Schlüssel können die E-Mails nicht entschlüsselt werden.
- Sollte es eine Polizeianfrage bzgl. des Postfaches geben, dann können wir nur die verschlüsselten E-Mails zur Verfügung stellen.
Heutzutage ist es der Normalfall, dass eine E-Mail vom Absender unverschlüsselt versendet wird, so dass jede Stelle auf dem Transportweg (jeder beteiligte Mailserver) die E-Mail mitlesen kann, und natürlich auch der Empfänger. Der Transportweg zwischen zwei Mailservern ist heutzutage bei 83% (ausgehend) bzw. 69% (eingehend) der Verbindungen verschlüsselt, sodass ein "Mitlauscher im Internet" in den meisten Fällen nur eine verschlüsselte Kommmunikation sieht. Die beteiligten E-Mail-Anbieter des Absenders und des Empfängers jedoch sehen die E-Mail immer unverschlüsselt, wenn der Absender die E-Mail nicht Ende-zu-Ende verschlüsselt versendet hat. Der Mailserver des Empfängers legt die E-Mail unverschlüsselt in das Postfach des Kunden, sodass dieser die E-Mail mit einem E-Mail-Programm oder dem Webmailer lesen kann. Dieser letzte Schritt kann nun verschlüsselt werden.
Wir möchten darauf hinweisen, dass die Eingangsverschlüsselung nicht die Ende-zu-Ende-Verschlüsselung ersetzen kann, bei der bereits der Absender die E-Mail verschlüsselt. Folgende Punkte werden durch die Eingangsverschlüsselung nach wie vor nicht abgesichert (weil es technisch nicht in unserer Hand liegt):
- Der E-Mail-Anbieter des Absenders hat die E-Mail noch im Klartext gesehen
- Wenn die Verbindung zwischen dem Mailserver des Absenders und mail.de nicht transportverschlüsselt wurde, konnte jeder dazwischen "mitlauschen"
Ersteres kann nur behoben werden, wenn der Absender die E-Mail bereits auf seinem Computer verschlüsselt (Ende-zu-Ende). Dies ist die optimale Lösung, denn dadurch kann niemand außer dem Empfänger den E-Mail-Inhalt lesen. Kein E-Mail-Anbieter und kein Mitlauscher dazwischen.
Zweiteres ist leider noch zu häufig der Fall. mail.de bietet (natürlich) eine verschlüsselte Möglichkeit zum E-Mail-Empfang an, sogar mittels DNSSEC und DANE abgesichert, aber wenn der Mailserver des Absenders dies nicht möchte oder beherrscht, dann überträgt der Anbieter die E-Mail im Klartext durch das Internet. Einzige Abhilfe ist hier den E-Mail-Anbieter des Absenders dazu zu bringen, ausgehende E-Mails verschlüsselt zu versenden. Dazu helfen Kundenanfragen und direkte Beschwerden beim betreffenden Versender.
Mit der PGP- und S/MIME-Eingangsverschlüsselung können mail.de Kunden ihr Postfach sicherer machen, und nur noch sie selbst haben Zugriff auf die Inhalte Ihrer E-Mails. Selbst wenn jemand anderes ihr Kontopasswort in die Finger bekommt, einzig der private Schlüssel kann die Inhalte entschlüsseln. Deshalb ist es auch immens wichtig, dass der private PGP- oder S/MIME-Schlüssel eine starke Passphrase besitzt und sicher aufbewahrt wird.
Durch die sehr flexible Einbindung als Aktion in den Regeln kann detailiert gesteuert werden, welche E-Mails mit der Eingangsverschlüsselung verschlüsselt werden sollen und welche nicht. Es ist kein globaler An-/Aus-Schalter. Außerdem versenden wir 7 Tage vor Ablauf der Gültigkeit des öffentlichen PGP- oder S/MIME-Schlüssels eine Benachrichtigungs-E-Mail, damit nicht aus Versehen E-Mails unverschlüsselt abgelegt werden, wenn die Gültigkeit abläuft. Der öffentliche Schlüssel muss dann aktualisiert werden, damit eine durchgängige Verschlüsselung gewährleistet ist.
Um die E-Mails lesen zu können, wird für die S/MIME-Eingangsverschlüsselung ein E-Mail-Programm benötigt das S/MIME beherrscht. Bei den verbreiteten E-Mail-Clients wie Outlook, Thunderbird und Apple Mail ist es bereits eingebaut. Für die PGP-Eingangsverschlüsselung ist ein PGP/MIME-fähiges E-Mail-Programm auf dem Computer oder Smartphone nötig. Zu den am häufigsten genutzten Programmen befinden sich Anleitungen in unserer Hilfe:
- Mozilla Thunderbird mit installiertem Enigmail-Addon
- Microsoft Outlook mit dem Zusatzprogramm Gpg4win
- Apple Mail mit der GPGSuite
In unserer Hilfe befindet sich ebenfalls eine ausführliche Anleitung und Erklärung zu PGP-Eingangsverschlüsselung sowie ich zur S/MIME-Eingangsverschlüsselung.
Wir wünschen viel Spass bei der Verschlüsselung Ihrer E-Mails!