Dieser Artikel ist Teil unseres Guides: Grundlagen der E-Mail-Sicherheit

Welche Protokolle sind wichtig für die E-Mail-Sicherheit?

Die auch heute noch intensiv genutzten E-Mail-Dienste wurden entworfen, ohne ihre Absicherung zu beherzigen. Aber es gibt einige Sicherheitsprotokolle, die diese Aufgabe erledigen.

Nicht lange nachdem die ersten Internetprotokolle für E-Mails entwickelt worden waren, hat der bekannte Computerwissenschaftler Andrew S. Tanenbaum einen denkwürdigen Satz gesagt, der bis heute gilt: „Das Schöne an Standards ist, dass man so viele zur Auswahl hat.“

Er lag damit nicht falsch. Obwohl die ursprünglichen Internetprotokolle sich kaum um Sicherheitsprobleme gekümmert haben, gibt es mittlerweile so viele Protokolle, die sich mit dem Thema Sicherheit bei E-Mails befassen, das man schon wieder den Überblick verlieren kann. Das liegt daran, dass es bei E-Mails sehr viele Aspekte zu berücksichtigen gibt. Sie reichen vom Verschlüsseln von Daten in Bewegung, über das Verhindern von Domain Spoofing bis zum Authentifizieren der Nutzer. Nur so kann beispielsweise sichergestellt werden, dass bestimmte Nachrichten auch wirklich von legitimen Domains aus versendet wurden.

Lassen Sie uns daher die folgenden E-Mail-Security-Protokolle ergründen und auf die Frage eingehen, welche Rolle sie beim sicheren Versenden und Empfangen von E-Mails spielen:

  • SSL und TLS für HTTPS-Verbindungen
  • SMTPS
  • STARTTLS
  • SMTP MTA-STS
  • SPF
  • DKIM
  • DMARC
  • S/MIME
  • OpenPGP
  • Digitale Zertifikate

SSL und TLS für HTTPS-Verbindungen

Das Protokoll Secure Sockets Layer (SSL) wurde bereits 1995 erstmals vorgestellt. Nachdem aber immer wieder Schwachstellen in dem Protokoll gefunden worden waren, wurde 1999 die damals gültige Version SSLv3 durch den Nachfolger Transport Layer Security (TLS) ersetzt. Der Wechsel dauerte mehrere Jahre. Seit 2015 soll SSLv3 nun endgültig nicht mehr eingesetzt werden. Viele Menschen bezeichnen übrigens den Nachfolger TLS immer noch als „SSL“.

Auch wenn die Protokolle SSL beziehungsweise TLS keine direkte Rolle bei der Absicherung von E-Mails spielen, werden sie doch meist für HTTPS-Verbindungen (Hypertext Transfer Protocol Secure) benötigt. HTTPS wird für nahezu alle Verbindungen zum sichereren Übertragen von E-Mails zwischen Servern und Anwendern verwendet.

HTTPS nutzt TLS, um die Daten zwischen den Clients und Servern zu verschlüsseln. Am eigentlichen Verschlüsseln von E-Mails ist es aber nicht direkt beteiligt. Allerdings wird HTTPS auch beim Zugriff auf Webmailer genutzt.

SMTPS

SMTP Secure (SMTPS) funktioniert wie HTTPS für SMTP. Es verwendet TLS zur Verschlüsselung des Nachrichtenaustauschs zwischen Clients und Servern. Verschlüsselter TLS-Verkehr wird jedoch am Zielort entschlüsselt, so dass Nachrichten im Klartext auf E-Mail-Servern zugänglich sein können, wenn die Nachrichten weitergeleitet werden, es sei denn, ein anderes Verschlüsselungsprotokoll wie STARTTLS wird verwendet.

STARTTLS

STARTTLS ist eine Erweiterung für SMTP, die eine sogenannte opportunistische Verschlüsselung zwischen Mail-Servern und Endgeräten ermöglicht. Sobald die STARTTLS-Extension aktiviert wurde, handeln die miteinander kommunizierenden Mail-Systeme den Einsatz geeigneter Verschlüsselungs- und Authentifizierungs-Verfahren aus. So sichern sie die Übertragungen. Auf diese Weise lassen sich sogar nicht nur die Inhalte der Nachrichten, sondern auch ihre Metadaten verschlüsseln. Erst auf dem Endgerät werden die Daten dann entschlüsselt.

SMTP MTA-STS

Das Protokoll SMTP Mail Transfer Agent Strict Transport Security (MTA-STS) schützt E-Mails, indem es Mail-Servern eine Verschlüsselung via TLS ermöglicht. Außerdem gibt es Unternehmen einen Mechanismus in die Hände, um unerwünschte Verbindungen zwischen ihren eigenen und fremden Servern zu blockieren, die weder TLS noch vertrauenswürdige Zertifikate nutzen. Durch dieses Erzwingen von vertrauenswürdigen und gültigen Zertifikaten und das Blockieren nicht authentifizierter Server hindern E-Mail-Provider Angreifer daran, gefälschte Domains zum Versenden von Phishing- oder Spam-Nachrichten zu verwenden.

SPF

Zum Sender Policy Framework (SPF) gehört auch ein Protokoll, mit dem die rechtmäßigen Besitzer einer Domain herausfinden können, welche Hosts autorisiert sind, ihre Domain-Namen beim Versehenden von E-Mails zu verwenden. Es legt also fest, wie diese Autorisierung überprüft werden kann. Damit stellt es Domain-Besitzern eine Möglichkeit zur Verfügung, bekanntzugeben, welche IP-Adressen autorisiert sind, im Namen ihrer Domain E-Mails zu verschicken. SPF erschwert es Kriminellen damit, Spam- oder Phishing-Nachrichten mit gefälschten Domains als Absender zu verbreiten. Das Sender Policy Framework wird oft zusammen mit anderen E-Mail-Sicherheitsprotokollen genutzt, um sicherzustellen, dass verschickte E-Mails wirklich von der angegebenen Absender-Domain stammen.

DKIM

DomainKeys Identified Mail (DKIM) baut auf SPF auf und ermöglicht es der Entität, die Eigentümerin der signierenden Domäne ist, sich mit einer digitalen Signatur zu verbinden, die diese Entität authentifiziert.

DMARC

Domain-based Message Authentication, Reporting and Conformance (DMARC) stellt wiederum Mechanismen bereit, um Benachrichtigungen zu versenden und andere Aktionen vorzugeben, wenn sich bestimmte Nachrichten nicht mit Hilfe von SPF und DKIM authentifizieren lassen. Während SPF und DKIM E-Mails als gefälscht einstufen, erlaubt es DMARC den rechtmäßigen Besitzern einer Domain festzulegen, welche Maßnahmen ergriffen werden sollen, falls gefälschte Adressen entdeckt wurden. Die Empfänger können dadurch leichter angemessene Gegenmaßnahmen ausführen.

S/MIME

Secure/Multipurpose Internet Mail Extensions (S/MIME) ist ein Standard, der bestimmt, wie nach MIME formatierte Nachrichten verschlüsselt und authentifiziert werden sollen. Damit lassen sich aber nur die Inhalte von S/MIME-Nachrichten verschlüsseln, nicht jedoch ihre E-Mail-Header. Ein Angreifer kann daher theoretisch herausfinden, wer der Absender einer Nachricht ist und an wen sie gerichtet wurde.

OpenPGP

OpenPGP ist ein Standard für die Verschlüsselung und Authentifizierung von Daten, einschließlich E-Mail-Nachrichten, basierend auf dem Pretty Good Privacy (PGP) Framework. OpenPGP ist interoperabel mit S/MIME, und während Daten geschützt werden können, sind die Metadaten verschlüsselter Nachrichten nicht geschützt.

Digitale Zertifikate

Digitale Zertifikate sind spezielle elektronische Dokumente, mit denen der Besitz eines privaten Schlüssels belegt werden kann. Außerdem lässt sich damit überprüfen, ob ein Absender auch wirklich der ist, der er zu sein vorgibt. Ein digitales Zertifikat kann außerdem genutzt werden, um E-Mails zu signieren und zu verschlüsseln. Sie selbst sind aber eigentlich keine Protokolle. Es gibt jedoch mehrere Protokolle, die bestimmen, wie sich digitale Zertifikate erstellen und teilen lassen.

Allgemeine E-Mail-Protokolle

Für das Senden und Empfangen von E-Mails werden nur einige wenige Protokolle benötigt. Bei ihnen handelt es sich keineswegs um E-Mail-Security-Protokolle. Sie bestimmen, wie Nachrichten übertragen, formatiert und empfangen werden können:

  • Das Simple Mail Transfer Protocol (SMTP) legt fest, wie E-Mails übertragen werden.
  • Das Internet Message Format beziehungsweise der Request for Comments 5322 und die Spezifizierung Multipurpose Internet Mail Extension (MIME) bestimmen, wie Nachrichten ordnungsgemäß zu formatieren sind.
  • IMAP4 (Internet Message Access Protocol) sowie POP3 (Post Office Protocol) definieren, wie Endgeräte Nachrichten von SMTP-Servern abrufen können.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit