mailbox.org zeigt bereits bei der Eingabe des E-Mail-Empfängers dessen Sicherheitsverschlüsselung an

Das Thema Sicherheit bei E-Mail- und Messenger Diensten haben wir ja des Öfteren zum Thema gehabt. Vielleicht erinnert Ihr Euch an eine Meldung von vor wenigen Wochen, in der mehr oder weniger erstmals offiziell bekannt wurde, dass Google offenbar bei seinen Diensten nicht sonderlich viel von sicherer SSL-Verschlüsselung hält. Solche Meldungen sind es, die uns das Wort Sicherheit immer mehr ins Gehirn prägen und uns auf die Suche nach sicheren Alternativen umschauen lassen.

mailbox.org_mailtext

Der E-Mail Anbieter mailbox.org möchte ein leuchtendes Beispiel auf diesem Feld sein und gibt nun laut eigener Aussage noch vor dem Versand einer E-Mail Auskunft über das Sicherheitslevel der Empfänger. Bereits bei der Eingabe einer E-Mail-Adresse des Empfängers soll klar erkennbar sein, ob die E-Mail nach dem Versand über eine SSL-verschlüsselte Verbindung gesichert übertragen wird.

Um es dem Versender vereinfacht darzustellen, führt mailbox.org eine drei Stufen-Klassifizierung mit entsprechenden Symbolen ein. Ein rotes offenes Schloss-Icon soll davor warnen, dass das Zielsystem keine Verschlüsselung anbietet. Eine normale SSL-Verschlüsselung wird über einen grünen gesicherten Briefumschlag symbolisiert. Und wenn das Zielsystem schlussendlich den höchsten Sicherheitsstandards inklusive DANE und DNSSEC-gesicherter Verbindung entspricht, erscheint ein Briefumschlag mit Siegel.

 

mailbox.org selbst setzt beim Versand der E-Mails ausschließlich auf PGP-Verschlüsselung, die zwei unterschiedliche Sicherheitsschlüssel erzeugt. Der Public Key, dessen Zweck es ist, empfangene E-Mails so zu verschlüsseln, dass sie nicht mehr entschlüsselt werden können und der Private Key, mit dem ausschließlich der Empfänger entschlüsseln kann, was andere gesendet haben.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

36 Kommentare

  1. Nach Posteo soll auch bei Mailbox.org das komplette Postfach verschlüsselt werden.
    https://twitter.com/mailbox_org/status/604393768268255233

  2. Ich kann hier ebenfalls Posten sehr empfehlen!!

  3. Posten = Posteo

  4. Worauf bezieht sich die Spitze gegen Google?

  5. ich hoffe aber sehr, dass Anbieter, die Verschlüsselung nutzen, auf TLS und nicht SSL setzen…

  6. GMAIL setzt doch auf TLS oder habe ich da was verpasst?

  7. und sogar die Google Suche läuft mittlerweile eigentlich nur noch über https

  8. Ich nutze das Angebot auch schon eine Weile und bin sehr zufrieden damit 🙂 vorallem das man viele Aliase im OfficePaket erstellen kann 😀

  9. Der letzte Absatz ist aber etwas missverständlich und vermischt Inhaltsverschlüsselung und Transportverschlüsselung. Die ganze Story und die Symbole drehen sich um Transportverschlüsselung. PGP für Inhalte ist wie mit jedem anderen Anbieter auch bei mailbox.org möglich. Zusätzlich dazu bietet mailbox.org noch an, dass man alle eingegangen E-Mails nachträglich noch mit PGP verschlüsselt, sodass sie auf dem Server von mailbox.org nicht im Klartext liegen. Hat aber weder mit dem einen noch dem anderen was zu tun.

  10. @ted es ist ein Unterschied ob die Verbindung von deinem Mailprogramm/Browser zum Server verschlüsselt ist oder ob die E-Mails, die du da abschickst, auf dem Weg zum anderen Mailserver verschlüsselt übertragen werden. Hier geht es um letzteres (aber auch da bietet Google verschlüsselte Transportmöglichkeiten an).

  11. Tolles Feature mit Alleinstellungsmerkmal… Transparenz vom feinsten.
    Schön zu sehen wie die beiden Berliner Unternehmen hier kontinuierlich die Messlatte anheben. 1€ pro Monat kosten beide – da ist die Wahl Geschmacksache… (mailbox.org klingt hier etwas internationaler und cooler als posteo.de wobei posteo recht hip „Posteo Lab“ usw. daherkommt).
    Da muss fastmail.com als bisher bester E-Mail Provider (imho) dringend nachziehen, die Berliner sind nun um längen voraus..

  12. „…Vielleicht erinnert Ihr Euch an eine Meldung von vor wenigen Wochen, in der mehr oder weniger erstmals offiziell bekannt wurde, dass Google offenbar bei seinen Diensten nicht sonderlich viel von sicherer SSL-Verschlüsselung hält. “

    Ehrlichgesagt… Nein. Und auf die Schnelle finde ich dazu auch nicht wirklich etwas.

  13. PS: euer Twitter-Account veröffentlicht die letzten Tage irgendwie nicht mehr alle Artikel…

  14. Bei Posteo lassen sich Inhaltsfilter anlegen (man kann nach einem Wort in einer Mail filtern lassen). 2 faktor Authentifizierung lässt sich Mailbox.org mit 35 € bezahlen (Yubikey) …

  15. Diese Einleitung ist nicht nur populistisch und unseriös, sondern Äußerungen wie „… dass Google offenbar bei seinen Diensten nicht sonderlich viel von sicherer SSL-Verschlüsselung hält.“ sind auch schlichtweg falsch. Ironischerweise bestätigt das sogar der in diesem Satz verlinkte Artikel, der ausgerechnet diese Aussage unterstreichen sollte. In jenem Artikel wird nicht ein einziges Mal die SSL-Verschlüsselung erwähnt! Richtig ist vielmehr, dass Google sehr wohl viel von SSL hält und nahezu alle Dienste – auch Hangouts – verschlüsselte Protokolle verwenden. Zudem hat Google niemals von einer Ende-zu-Ende-Verschlüsselung für Hangouts gesprochen oder gar damit geworben. Damit ist auch klar, dass es sich lediglich um eine Punkt-zu-Punkt-Verschlüsselung handelt die per se nur begrenzt sicher ist, da lediglich der Transport vom und zum Server verschlüsselt ist. Dass die Daten danach wieder offen liegen ist allgemein bekannt und kein Grund für derartig unsachliche Bemerkungen.

  16. Die hier leider üblichen Seitenhiebe auf Google sind wieder mal fehl am Platz. Google Mail war sogar einer der ersten eMail-Provider, die bessere Verschlüsselungungstechniken wie z. B. Perfect Forward Secrecy eingeführt haben.

  17. Andreas G. says:

    Die Anzeige basiert auf einer Datenbank. Wenn noch kein Eintrag vorhanden ist kann erstmal nicht angezeigt werden ob die Verbindung zum Zielserver verschlüsselt ist oder nicht.

    Bei kleinen Mailservern kann es sein das noch kein Eintrag vorhanden ist. Normalerweise ist der Eintrag nach der ersten Email nach spätestens 2 Tagen vorhanden. In der Nacht werden die Logs nach neuen verschlüsselten Verbindungen durchsucht und die Datenbank eingetragen.

  18. Ist auch nur PR ohne Mehrwert für den Nutzer. Ich sehe als Nutzer des Dienstes den Status der Transportverschlüsselung, werde aber so oder so meinen Malipartner anschreiben.

  19. Christoph Josten says:

    Benutzte mailbox.org mit Familienacount über eigene Domain. Ich bin, und alle weiteren Benutzter ebenso, sehr zufrieden. Es gibt 2 Kleinigkeiten welche noch nicht behoben sind. Zum einen Betrifft es die Kontakte Verwaltung welche nur über denn Webzugang Änderungen zuverlässig überträgt. Zum anderen gibt es in der Kalenderansicht einen Fehler. Dieser bewirkt das über denn Webzugang nicht mehrere Kalender gleichzeitig zuverlässig angezeigt werden. Beides liegt aber an der verwendeten Software. Ich habe für mich jedoch Wege gefunden mit beide ‚Probleme‘ zu händeln.
    Ansonsten finde ich sehr empfehlen der Anbieter. Endlich komplett weg von denn grossen Bösen privaten E-Mail Anbietern. Und leisten kann sich das wohl fast jeder.

  20. Christoph Josten says:

    @Knut
    Dann ist es aber Deine Entscheidung. Und darauf kommt es für mich an.

  21. Andreas G. says:

    @Knut:

    Ich sehe den Nutzen weniger darin das ich weiß ob ich jetzt verschlüsselt schreibe oder nicht sondern darin das der Kommunikationspartner genervt wird weil bei ihm das Schloss „kaputt“ ist.

    Mal so als Vergleich Google Chrome und Zertifikate mit SHA-1 Signatur. Vorher hat es niemanden interessiert ob die Zertifikate mit SHA-1 oder SHA-2 signiert wurden.
    Inzwischen bekommen die Seitenanbieter die Information das ihre Verschlüsselung „kaputt“ ist weil der Chrome Browser „https“ durchgestrichen anzeigt. Die Nutzer verstehen zwar den Hintergrund nicht aber die gewünschte Wirkung wird erreicht. Das Ende von SHA-1 wurde deutlich beschleunigt, auch wenn es mich persönlich nervt weil ich der arme Tropf bin der den Kunden die Zertifikate austauschen darf weil sie das selber nicht hinbekommen.

  22. Andreas G. says:

    @Knut

    Ich sehe den Mehrwert darin das Anbieter die keine Verschlüsselung benutzen von ihre Kunden genervt werden weil der Kommunikationspartner ihnen sagt das das Schloss bei ihnen kaputt ist.

    Das ist so ähnlich wie der Effekt wenn Google Chrome „https“ durchgestrichen anzeigt weil das Zertifikat noch mit SHA-1 signiert ist. Die Nutzer nerven den Anbieter und nervt mich weil er das Zertifikat so schnell wie möglich ausgetauscht haben will.
    Nervt mich zwar aber dafür verschwindet SHA-1 schneller aus dem Internet als das der Fall gewesen wäre wenn einfach 2017 keine neuen Zertifikate mehr mit SHA-1 Signatur ausgestellt worden wären.

  23. Kleines Update von mailbox.org: Ab Montag Nachmittag werden wir auch Details zum verwendeten TLS_Protokoll (TLS 1.0, 1.1, 1.2) und auch zu den jeweils ausgehandelten Ciphers einblenden.

  24. Andreas G. says:

    Was bei meinem Server TLS 1.2 und ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) sein dürfte wenn mein Log stimmt 🙂

  25. Andreas G. says:

    @Knut Ich sehe den Mehrwert darin das Nutzer von mailbox.org die Empfänger ihrer Emails darauf aufmerksam machen können das ihre Provider keine Verschlüsselung nutzen. Genauer gesagt wird die Mitteilung lauten „Dein Schloss ist kaputt“ oder so ähnlich.

    Bei Google Chrome funktioniert die Methode recht gut wenn es darum geht SHA-1 signierte Zertifikat aus dem Verkehr zu ziehen.

    Die Nutzer meckern die Seitenbetreiber an und die meckern mich an das ich ihre Zertifikate bei der CA gegen SHA-2 signierte Zertifikate austausche. Nervt zwar aber damit wurde der Abschied von SHA-1 deutlich beschleunigt.

  26. Wir haben das Angebot heute Nachmittag noch etwas erweitert und zeigen ab sofort auch die von uns ausgehandelte TLS-Version sowie den verwendeten Cipher an.

    Diese Angabe ist rein zu Informationszwecken; wir können nicht garantieren, dass die hier genannten Versionen/Ciphers nicht beim Versand unterschritten werden.

    Schönen Gruß

    Peer Heinlein
    (mailbox.org)

  27. @Peer Heinlein: Das komplett verschlüsselte Postfach ist also in Arbeit. Ist auch ein Zeitrahmen ersichtlich, ob das eventuell noch dieses Jahr online gehen wird? Wird es auch möglich sein, mit (mobilen) Mail-Clients darauf zuzugreifen? Wenn ja: Welche?

  28. Code-Lieferung war zu Ende Mai abgesprochen. Wir rechnen jeden Tag damit und brauchen dann einige Zeit für Testing und Rollout.

    „Dieses“ komplett verschlüsselte Postfach geht auch mit mobilen Clients, das ist dann voll transparent. „Das andere“ verschlüsselte Postfach geht auch zumindest über browser und Co.

    Wartet mal kurz ab, gebt uns noch eine Runde. Wir haben hier ein halbes Dutzend heißer Sachen auf der Zielgeraden.

  29. Besten Dank! 🙂

  30. @Peer Heinlein
    Ich werfe dann nochmal die 2-Faktor-Authentifizierung in den Pott.
    Warum ist diese nicht kostenlos und grundlegendes Feature bei mailbox.org?
    Das schafft sogar Gmail 😉

  31. Steht seit Monaten und Anfang an auf der Agenda. Aber wir schaffen nicht alles gleichzeitig. Und darum müssen wir gewichten, was unserer Einschätzung nach unseren Usern und uns am meisten bringt und Sachen in dieser Reihenfolge abarbeiten. Die Tage sind endlich.

    Das hat irgendwann mit „wollen“ nichts zu tun, sondern ist eine Frage der Prioritätensetzung. Und ich denke, daß das, was die nächsten 6 Wochen kommt, wichtiger ist/war, als eine generische 2F-Authentifizierung.

    Ansonsten ist das in Arbeit — wir halten ja sogar Vorträge über U2F… Aber das, was wir hier betreiben, ist im Zusammenspiel eine hochkomplexe Infrastruktur wo jede Änderung zu *alle* passen muß. Es ist sehr einfach „mal eben“ einen Roundcube mit einem U2F o.ä. aufzusetzen, es ist wesentlich schwieriger das bei uns

    a) in einem Dutzend verschiedener Programme gleichzeitig zu machen,

    b) über all das auch noch konsequentes Sharing von Kalendern/Dateien/Mailfoldern etc. zu berücksichtigen (unsere Konkurrenz hat oft kein Sharing, da fallen viele Probleme weg!)

    c) zu bedenken, was die Zukunft bringt, weil wir nicht heute ein Feature einführen und übermorgen wieder abkündigen können weil es anderen Produkten/Features im Weg steht (beispielsweise: Sharing. Verschlüsselte Kontakte/Kalender sind nett; aber Kontakte/Kalender-Freigaben an Dritte sind auch nett!). Was wir machen muß mit allem, was wir planen, kompatibel sein.

    Insb. Sharings und Freigaben lassen hier vieles/alles anders wirken, als in anderen Lösungen. Es ist sehr, sehr leicht, die INBOX mit dem Passwort des Users zu verschlüsseln. Wir haben aber das Sharing von IMAP-Foldern an andere User. Das geht (eigentlich…) nicht, wenn die INBOX mit dem Passwort des (abwesenden) Haupt-Users verschlüsselt ist. Das sind halt Dinge, die haben andere nicht. Wir kriegen das aber hin, wir haben das gelöst… 🙂

    Ja, wir brauchen manchmal länger; aber wir machen keine Schnellschüsse, sondern substanzielle Lösungen, die zukunftskompatibel sind, echte Lösungen und keine Quick-and-Dirty-Lösungen sind und eine lange Roadmap in die Zukunft verfolgen. Das dauert mal länger, aber dann kommt’s richtig.

    P.S.: Wir suchen Admins, Programmierer und andere Kollegen… Bewerbungen an jobs@heinlein-support.de

  32. Ja, sicherlich alles richtig aus der Entwicklersicht.
    Mich, als einfacher 0-8-15-User, macht es dennoch nervös, wenn jemand mein Notebook klauen würde, dann geschmeidig die Passwörter meiner Mailaccounts ausliest (z.b. aus Outlook), sich anschließend auf der Webseite einloggen kann und mich durch Passwortänderung ausbootet.

  33. Das wohl eine philosophische Frage. Als mailbox.org-Kunde ist mir die Gewichtung auf die Kernausrichtung (E-Mail-Verschlüsselung) und damit das verschlüsselte Postfach erheblich wichtiger als (U)2F – zumindest im Moment. Nicht zuletzt auch, weil das o. g. Szenario wohl auch nur einen äußerst geringen Teil der Benutzer treffen würde. Von diesem neuem Feature dürften wohl deutlich mehr profitieren. Insofern finde ich es gut und richtig wie die Prioritäten verteilt werden. Es ist ja schließlich keine generelle Absage.

  34. @Andreas: Ja, das ist ja sicher (auch) richtig. Es sagt ja auch keiner, daß das unwichtig ist. Aber wir priorisieren beispielsweise höher daß wir zuallererst erstmal dafür sorgen, daß sich ** auf dem Smartphone/Laptop ** die fraglichen Daten nicht im Klartext befinden.

    Was nützt U2F wenn auf dem Handy alles auf der SIM-Karte im Klartext rumfliegt?

    Kommt ja alles noch. Geduld. 🙂

  35. Als mailbox.org-Kunde bin ich hinten übergekippt als ich sah, dass so etwas Basales nicht von Beginn an vorhanden ist/erkauft werden muss. Aber jedem seine Sicherheitsparanoia 😀

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.