Beiträge

Verschlüsselte E-Mail Kommunikation dank StartTLS

Sichere Verschlüsselung dank StartTLS

Der Wunsch nach einem verschlüsselten E-Mail Austausch ist nicht neu und erhält auf Grund der zurückliegenden Enthüllungen geheimdienstlicher Aktivitäten im IT-Bereich zusätzliche Dynamik.

Gleichzeitig verlangen Anwender und Unternehmen nach Lösungen, die keinen zusätzlichen Verwaltungsaufwand mit sich bringen und die Funktionalität der E-Mail Kommunikation in keiner Weise einschränken.

Hier bietet das StartTLS Verfahren einen sicheren und zugleich praxistauglichen Ansatz.

Im Gegensatz zu einer End-zu-End Verschlüsselung, wie sie das PGP-Verfahren oder S/MIME bieten, wird beim Start-TLS Verfahren nur die Server-zu-Server Kommunikation verschlüsselt. Daher sind an den E-Mail bzw. Groupware-Clients keine Konfigurationsänderungen oder Software-Installationen erforderlich.

Wie funktioniert StartTLS?

StartTLS wird von den meisten E-Mail Servern unterstützt und muss lediglich aktiviert werden. Weiterhin ist ein Verschlüsselungs-Zertifikat erforderlich, wie es auch für den verschlüsselten Zugriff auf Webseiten (https://) genutzt wird. Das Zertifikat sollte von einer vertrauenswürdigen und verbreiteten Certification Authority (CA) stammen, damit es von allen Gegenstellen akzeptiert wird. Umgekehrt sollte der SMTP-Server auch nur Verbindungen mit Zertifikaten von vertrauenswürdigen öffentlichen CAs akzeptieren.

Bei einem selbst signierten Zertifikat besteht grundsätzlich das Risiko eines Man-in-the-Middle Angriffs. Mit einem gewissen technischen Aufwand könnte eine Instanz im Netz eines der beteiligten Internet-Provider vortäuschen, der Server des Nachrichtenempfängers zu sein und die Kommunikation entschlüsseln. Diese Gefahr ist bei einer vertrauenswürdigen CA – also einem gekauften Zertifikat – äußerst gering.

Damit die Nachrichtenübertragung auch tatsächlich verschlüsselt erfolgt, müssen die Mailserver des Senders und des Empfängers StartTLS unterstützen. Tut einer dies nicht oder gelingt der Aufbau einer sicheren Verbindung aus einem anderen Grund nicht, werden die Nachrichten über eine unverschlüsselte SMTP-Verbindung übertragen.

Für den Benutzer ist im Vorfeld nicht erkennbar, ob der Versand verschlüsselt erfolgt. Dies kann erst in der empfangenen Nachricht anhand des Mail-Headers festgestellt werden.

Mandatory TLS

Da die Verschlüsselung über StartTLS nur funktioniert, wenn beide Partner mitspielen, gehen größere Organisationen, die Wert auf Datensicherheit legen, mittlerweile dazu über, verschlüsselten E-Mail Verkehr von und zu Ihren Geschäftspartnern zu erzwingen.

Man spricht hier auch vom Mandatory TLS Verfahren. Die SMTP-Gateways des Mailsystems werden so konfiguriert, dass die SMTP-Kommunikation an bestimmte Ziel-Domains ausschließlich TLS-verschlüsselt erfolgt. Gelingt es nicht, einen verschlüsselten Kanal aufzubauen, werden die betreffenden Nachrichten nicht versandt, sondern bleiben für eine gewisse Zeit in der Ausgang-Warteschlange stehen. Die Partnerunternehmen werden meist im Rahmen eines standardisierten Prozesses eingebunden und müssen Ihre Systeme entsprechend konfigurieren.

Hat das Unternehmen einen Serviceprovider mit dem Betrieb des Groupware-Systems beauftragt oder nutzt einen Dienst aus der Cloud, wie z. B. Hosted Exchange, so kümmert sich der Outsourcing Partner um alle notwendigen Schritte.

Das Thema Transport Layer Security (TLS) im Zusammenhang mit der E-Mail Kommunikation wurde in der Vergangenheit von Unternehmen aus dem Automotive-Bereich stark vorangetrieben. Wer als Geschäftspartner die geforderten Standards nicht umsetzen kann, verliert gegenüber großen Auftraggebern schnell an Attraktivität.

Unterschiede zu einer End-zu-End Verschlüsselung

Im Gegensatz zu einer End-zu-End Verschlüsselung bleiben die E-Mail Nachrichten beim TLS-Verfahren unverschlüsselt in den Postfächern der Anwender liegen. Ein Angreifer, der sich Zugang zu den Mailservern verschafft, auf denen die Postfächer untergebracht sind, kann daher alle Inhalte lesen.

Beim PGP oder S/MIME Verfahren können die Nachrichteninhalte nur gelesen werden, wenn die genutzten Clients mit einer entsprechenden Software, bzw. einem persönlichen Zertifikat ausgestattet sind.

Dies ist mit einem hohen Verwaltungsaufwand und Kosten verbunden. Auch nach einem Austausch der Clients müssen die alten Zertifikate (S/MIME) oder Schlüsselpaare (PGP) wieder eingebunden werden, um ältere verschlüsselte Nachrichten lesen zu können.
Da man nicht (mehr) davon ausgehen kann, dass Daten, die über das Internet zwischen zwei Systemen im Inland übertragen werden, nur die Systeme der Netz-Provider durchlaufen und vor unberechtigtem Zugriff geschützt sind, sollten E-Mails mit vertraulichem Inhalt oder personenbezogenen Daten heute nicht mehr unverschlüsselt versandt werden. Das TLS-Verfahren bietet hierfür eine sichere und zuverlässige Basis.

Als Anbieter von Microsoft Exchange aus der Cloud unterstützt cojama seit mehr als sechs Jahren auf seiner Infrastruktur das StartTLS Verfahren.

 

 

Sie haben Probleme mit Tobit David als E-Mail-Server? Welche Alternativen gibt es zu Tobit David?

Sie nutzen aktuell Tobit David als E-Mail-Server? Sie haben zunehmend Schwierigkeiten, eine leistungsfähige E-Mail-Kommunikation mit Tobit David bereitzustellen? Sie haben Synchronisierungsprobleme mit dem Kalender und des Öfteren Abstürze der David-App? Sie suchen nach einer guten Alternative?

Alternativen zu Tobit David.

Schwierigkeiten, Eigenheiten und Probleme bei Tobit David und Alternativen.

In vielen Foren liest man zu Tobit David von gewissen Eigenheiten bei der Anwendung. Wir haben für Sie einige davon aufgelistet.

So sind z.B. einige Anwender enttäuscht davon, dass Tobit „zu sehr in die Multimedia Schiene investiere“. Ein Forum Nutzer beschreibt den Umstand passend damit, dass es mit einem Update zwar „neue 3D Effekte“ gebe und man nun auch seine MP3s direkt in der Anwendung verwaltet werden könne, aber die wirklich elementaren Dinge wie die E-Mail-Funktionalität nicht ausreichend gewährleistet würden. Selbst Filme, Serien, Sport-oder Wirtschaftsnachrichten kann man sich automatisch aufzeichnen lassen.

Ein weiteres häufig genanntes Problem bei Tobit´s David sei die Synchronisation mit mobilen Endgeräten, die erst umständlich durch das öffnen bestimmter Ports ermöglicht werden müsse.
Somit sei es für den Anwender nicht ohne weiteres möglich seine Mails auch mobil verfügbar zu haben. Einige unserer Kunden berichten uns auch, dass die David-App (für Smartphones u. Tablets) öfters „hängen bleibt“.

Auch im Bereich der Systemverwaltung sehen vor allem die Administratoren Schwachstellen. So sind die Möglichkeiten der Benutzerverwaltung über Gruppenrichtlinien u.Ä. nicht ansatzweise mit der von anderen Mail-Servern wie z.B. Exchange zu vergleichen. Auch in Sachen Zugriffs Sicherheit scheint es hier Probleme zu geben.

Schwachstellen finden sich außerdem beim Maildienst – hier klagen Nutzer über Mailverlust und fehlende Protokollierungsmöglichkeiten. Dabei komme es wohl gelegentlich vor, dass vereinzelte Emails, aber auch ganze Postfächer plötzlich nicht mehr aufrufbar sind. Diese können auch nicht ohne weiteres wiederhergestellt werden.

In Sachen Virenschutz und Spam klagen Nutzer ebenfalls über Einschränkungen. Durch die geringe internationale Verbreitung gebe es einfach keinen Schutz der richtig zu Tobit passt.
Dieser werde daher meist nur durch vorgeschaltete Filter realisiert, wodurch hier oft auch höhere Kosten als bei anderen Lösungen entstehen.

Ein weiterer Kostenfaktor sind die kostenpflichtigen Updates, die man als Kunde erst im Paket buchen muss, um dann oft nur halb fertige oder wenig hilfreiche Updatefunktionen nutzen zu können, so ein Forenteilnehmer.
Kunden kritisieren den oft wenig hilfreichen, jedoch kostenpflichtigen Support. Für jeden Anruf bei der Support-Hotline entfällt eine Supportgebühr, und nicht in jedem Fall leiste der Support dafür eine effektive Hilfestellung.

Zuletzt bleibt natürlich noch die Frage der Investitionen. Oft wird Tobit David als kostengünstige Lösung gesehen. Jedoch warnen viele Nutzer davor sich darauf zu verlassen ohne sich vorher genauestens zu informieren. Oft müssen nämlich noch kostenpflichtig Zusatzpakete hinzugebucht werden, um bestimmte Dienste verfügbar zu machen. Dadurch entstehen unvorhergesehene Kosten und die Kostenspanne kann je nach Bedarf der Dienste weit auseinander gehen.

Als Alternative zu Tobit David sehen viele Administratoren neben GroupWise von Novell und Lotus Notes von IBM vor allem auch den internationalen Marktführer Microsoft Exchange.  Um sich von Microsoft Exchange unverbindlich und kostenfrei überzeugen zu lassen, können Sie hier einen Testzugang anfordern.

Automatischer Download von Bildern in Microsoft Outlook von cojama

Aktivieren/Deaktivieren des automatischen Downloads von Bildern in Outlook 2010/2013

Oft enthalten E-Mails Hyperlinks zu externen Bildern, die in der Mail als unschöner Kasten mit einer Hinweismeldung dargestellt werden.

Herunterladen von externen Bildern in Outlook

Hierbei macht es keinen Unterschied, ob Outlook als Inhouse-Lösung von der eigenen IT gewartet wird oder ob dies extern durch einen Partner via Hosted Exchange geschieht.

Ganz unbegründet ist dieses standardmäßig eingestellte Verhalten nicht: Zum einen reduziert es die Größe der zu herunterladenden Daten der E-Mail, zum anderen nutzen Spammer Junk-Mails als Webbeacon und versuchen so zu verifizieren, ob es sich um eine gültige und aktive E-Mail-Adresse handelt.

Wenn Sie beim Öffnen dieser Junk-Mails also automatisch die verknüpften Inhalte herunterladen, liefern Sie unfreiwillig die Information an den Spammer, dass diese Adresse genutzt wird.

Wenn Sie trotz der Risiken diese Feature abstellen und sich Ihre E-Mails immer direkt inklusive Bilder darstellen lassen wollen, können Sie folgendermaßen verfahren:
Nehmen Sie in Outlook unter „Datei“ → „Optionen“ → „Trust Center“ oder „Sicherheitscenter“ → „Einstellungen für das Trust Center…“ → „Automatischer Download“ das Häkchen bei „Bilder in HTML-Nachrichten oder RSS-Elementen nicht automatisch herunterladen“ heraus.

Automatischer Download von Bildern in Outlook 2010 und Outlook 2013

Falls Sie aber auf dieses Sicherheitsfeature nicht verzichten wollen und sich in Zukunft Ihre E-Mails von bekannten Absendern direkt vollständig anzeigen lassen wollen, können Sie folgende Einstellungen in Ihrem Outlook vornehmen:
Fügen Sie einfach den Absender oder die Domäne des Absenders zu der Liste der sicheren Absender hinzu. Führen Sie dazu einen Rechtsklick auf einer E-Mail dieses Absenders aus und wählen Sie unter „Junk-E-Mail“ → „Absender nie sperren“ oder „Domäne des Absenders (@example.com) nie sperren“ aus.

Junk-E-Mail Optionen in Outlook 2010 und Outlook 2013

Ein Video-Tutorial zum Aktivieren/Deaktivieren des automatischen Downloads in Outlook haben wir Ihnen auf YouTube zur Verfügung gestellt: Zum Tutorial auf YouTube