T-Online bietet SSL – und drängt zu IMAP

7. November 2013 um 18:09 Uhr von Sabine Becker

Bereits seit 2002 nutze ich eine E-Mail-Adresse auf einem Mailserver, der den verschlüsselten Abruf von E-Mails erlaubt. Der Betreiber wies mich damals auch explizit darauf hin und bat mich ausdrücklich, diese Möglichkeit zu nutzen.

Als ich 2006 den Mailserver auf meinem ersten eigenen Server einrichtete, bekam dieser selbstverständlich die Möglichkeit des verschlüsselten Abrufs, und ich habe alle meine Mailkonten darauf entsprechend eingerichtet.

Nun haben wir November 2013, und die Telekom kommt schon auf die Idee, das auch endlich mal anzubieten. In der E-Mail, die ich heute Morgen bekam, wird das so beschrieben:

Die Initiative „E-Mail made in Germany“ hat es sich zum Ziel gemacht, hohe Sicherheits- und Datenschutzstandards bei der E-Mail-Kommunikation zu gewährleisten – ohne zusätzliche Kosten für Sie:

Oh, wie edel. Eine Dienstleistung, die sonst nahezu überall eine Selbstverständlichkeit ist, wird mit jahrelanger Verspätung eingeführt und dann auch noch extra als kostenfrei angepriesen – was bei anderen Anbietern noch nie anders war. Oder kennt Ihr einen Anbieter, der für E-Mail per SSL extra die Hand aufhält? Mir wäre das neu.

Nun denn, also klickte ich mich in die Anleitungen und fand die Umstellungsanleitung für Thunderbird, den ich in der Version aus Debian GNU/Linux nutze (er heißt hier icedove, aber es ist dasselbe Programm).

Dort wird nun interessanterweise dazu geraten, den Account auf IMAP umzustellen, wenn man das nicht schon getan hat.

2. Wenn dort eine der folgenden Serverkombinationen eingetragen ist (E-Mail-Abfrage über POP3), empfehlen wir Ihnen, Ihr Konto auf IMAP umzustellen

Danach geht die Anleitung unter der Prämisse weiter, daß man dieser Empfehlung gefolgt sei. Der Benutzer soll wohl aufgrund dieser Formulierung zu dem Schluß kommen, auf IMAP umstellen zu müssen, obwohl die SSL-gesicherten POP3-Server für Mail-Ein- und -Ausgang im selben Absatz genannt werden.

Daß man SSL auch mit POP3 zusammen nutzen kann, wird hier also so ein bißchen versteckt. Es ist erkennbar, daß die Kunden auf IMAP gedrängt werden sollen; die Umstellung auf SSL bietet sich offenbar dazu an, den Kunden auch gleich IMAP unterzujubeln.

Wo ist da nun der Unterschied?

Beim Protokoll POP3 werden die E-Mails nach der Abholung vom Server grundsätzlich gelöscht (es gibt allerdings die Möglichkeit, den Server anzuweisen, nach einer Abholung nicht zu löschen). Die E-Mails sind also nach der Abholung nicht mehr auf dem Server vorhanden; so wird das Protokoll zumindest üblicherweise verwendet.

Vorteile:

  • Der Serverbetreiber kann die Mails nicht (legal) sammeln und später darin Einsicht nehmen (oder Dritten Einsicht gestatten).
  • Ein Datenverlust auf dem Server beschränkt sich für den Nutzer auf die E-Mails, die seit dem letzten Abruf eingegangen sind; alle anderen hat man ja bereits auf dem eigenen Rechner (ob sie dann beim Serverbetreiber schon im Backup sind, weiß man ja nicht).
  • Wie sicher und wie lange die Mails auf Dauer gelagert werden, bestimmt der Benutzer, nicht der Serverbetreiber.
  • Wird in den Server eingebrochen, dann kann der Angreifer nur die E-Mails sehen, die seit dem letzten Abruf eingegangen sind, und erhält keine komplette Übersicht.

Nachteile:

  • Man muß sich selbst vollständig um das Backup seiner E-Mails kümmern.
  • Wenn man mehrere Geräte abwechselnd für E-Mail nutzt, wird die Synchronisation schwieriger bis unmöglich. Zwar kann man bei POP3 einstellen, daß die abgeholten E-Mails erstmal trotzdem auf dem Server verbleiben sollen und sie damit nochmal mit einem anderen Gerät abholen. Die selbst abgeschickten E-Mails hat man dann allerdings nur auf dem Gerät, mit dem sie abgeschickt wurden; auf den anderen Geräten fehlen sie.

Bei IMAP sieht das anders aus: Die E-Mails bleiben grundsätzlich auf dem Server liegen. Man kann sie zwar auch da vom Server löschen, aber die Bedienung wird dann etwas umständlicher. Üblich ist also der Verbleib auf dem Server.

Vorteile:

  • Die E-Mails liegen zentral und können von überall her mit jedem Gerät immer wieder abgerufen werden, zum Beispiel auch mit einem Webinterface des Anbieters.
  • Auch die selbst geschriebenen E-Mails sind dann auf allen Geräten verfügbar.
  • Durch die zentrale Lagerung gibt es auch die Möglichkeit eines zentralen Backups.

Nachteile:

  • Der Serverbetreiber speichert alle Mails aller Nutzer auf seinem Server und kann natürlich jederzeit einen Blick hineinwerfen, oder das Dritten erlauben (Merke: SSL/TLS schützt den Transportweg, aber nicht die Lagerung!).
  • Wenn das Backup auf dem Server nicht funktioniert oder es keines gibt, sind alle E-Mails im Fall eines Hardware-Schadens futsch.
  • Der Serverbetreiber bestimmt, wie und wie lange die E-Mails gespeichert werden.
  • Wird in den Server eingebrochen, dann kann der Angreifer alle E-Mails einsehen.

Alles in allem scheint IMAP auf den ersten Blick aus mehreren Gründen bequemer zu sein. Zum Schutz von persönlichen und geschäftlichen Informationen solltet Ihr Euch aber gut überlegen, ob Ihr diese Variante auf dem Mailserver eines Drittanbieters nutzen möchtet. Leider hat sich die Nutzung von PGP/GnuPG für E-Mail-Verschlüsselung noch nicht weit genug durchgesetzt, als daß man seine (dann verschlüsselten) E-Mails bedenkenlos irgendwo liegen lassen könnte.

Wenn POP3 wegen der Nutzung verschiedener Geräte und Programme allzu umständlich erscheint, solltet Ihr daher darüber nachdenken, den dazugehörigen Mailserver selbst zu betreiben und Euch dafür nicht auf einen Dritten zu verlassen; schon gar nicht auf einen, der aufgrund seiner Größe eher ins Visier von Vorratsdatenspeicherungs- und Datensammel-Fans in der Politik gerät.

Ein eigener Mailserver mit allem, was dazugehört: Nameserver-Eintrag, Konfiguration, Backup – das klingt vielleicht für Manche erst einmal nach Overkill. Spätestens, wenn herauskommt, daß der Drittanbieter lustig Staat und Geheimdienste in die Konten gucken läßt oder die Mailinhalte selbst auswertet (wie zum Beispiel GMail), dürfte aber schon klar werden, daß Dezentralität und Eigeninitiative auch an dieser Stelle aus Selbstschutz – und zum Schutz der E-Mail-Partner – notwendig sind.

Wir beraten Euch gern dazu, wie Ihr Eure E-Mails sicher und trotzdem noch so bequem wie möglich versenden und empfangen könnt. Natürlich zeigen wir Euch auch gern, wie Ihr und Eure Kommunikationspartner E-Mails verschlüsseln könnt, damit sie auf jedem Transportweg und auf jedem dazwischen liegenden Mailserver vor neugierigen Blicken geschützt bleiben.

Kommentieren