Bei Heise Security hat man Apples iCloud-Mail-Dienste unter die Lupe genommen. Hierbei stellte sich heraus, dass E-Mails von und zu iCloud-Konten im Klartext übers Internet transportiert werden. Die Server von Apple liefern anscheinend E-Mails grundsätzlich unverschlüsselt ab, selbst wenn die empfangenden Mail-Server Verschlüsselung via starttls anboten, haben die Server von Apple diese Option bei den Heise-Tests nicht genutzt.
Die für Adressen mit den Endungen @mac.com, @me.com und @icloud.com zuständigen Mail-Eingangs-Server bieten laut Heise gar kein starttls an. Ein Server, der eine Mail an eine solche Adresse loswerden will, muss diese zwangsläufig ebenfalls im Klartext abliefern. Schlussfolgerung: Wer E-Mail-Verkehr auf den Internet-Backbones einsammelt, hat bei Apples iCloud-Kunden also leichtes Spiel.
Weiterhin heißt es:
Die für die konkrete iCloud-Mail-Nutzung vorgesehenen IMAP- und SMTP-Server verschlüsseln zwar, bieten dabei aber keine Forward Secrecy, nutzen das problematische RC4 und können nur TLS 1.0. Das bleibt weit hinter dem Stand der Technik zurück. Das Webmail-Frontend www.icloud.com kann zwar TLS 1.2 und sogar HSTS, verweigert aber Forward Secrecy, die verhindert, dass verschlüsselt gespeicherte Daten zu einem späteren Zeitpunkt dechiffriert werden können.
Ähnliche gravierende Patzer hat sich auch ein anderer Provider geleistet: Outlook.com von Microsoft.