[Vagabund]

Hallo zusammen,

hätte da mal eine Frage zur SSL-Verschlüsselung zwischen Email-Client (z.B. Thunderbird) und meinem Email-Anbieter (Bluevaria). Ich habe mir nach Bluevaria Vorgabe ein Konto im Thunderbird (SMTP/IMAP) eingerichtet, was auch einwandfrei funktioniert. Wenn ich allerdings bei Ein- und Ausgang SSL-Verschlüsselung aktiviere geht garnichts mehr (wird von Bluevaria nicht angeboten, derzeit). Auf Anfrage wann dies angeboten wird, sagte man mir "da dies schon des öffteren angefragt wurde, werde dies in Kürze folgen". Es wurde mir aber auch mitgeteilt, das dies eigentlich nicht notwendig ist, da die Email im weiteren Verlauf noch über andere Server läuft die nicht verschlüsseln. Das scheint mir klar und wird auch hier http://www.ssl.de/ ausführlich erklärt. Jetzt geht es mir aber eigentlich um den Austausch meiner Verbindungsdaten (Login/Passwort) zum Bluevaria-Server. Werden die irgendwie verschlüsselt, oder ist das garnicht notwendig? Danke schonmal.

Gruß
Michael

[ph030]

Korrekt ist, dass die Daten von Server zu Server meistens unverschlüsselt übertragen werden, da hilft dann nur eine Verschlüsselung der eigentlichen Nachricht, z.B. via GPG/PGP.

Wenn beim Abruf/Verschicken der Mails kein SSL/TLS verwendet wird, wandern die Login-Daten im Klartext über die Leitung, d.h. man kann sie z.B. mit Wireshark mitlesen. Besonders tragisch wäre das in einem öffentlichen WLAN-Hotspot, da dort potentiell jeder weitere Client ein Spion sein könnte. Auch im lokalen Netzwerk kann SSL/TLS einen guten Teil der MITM-Attacken abwehren, wenn auch nicht 100%ig, sofern der Angreifer nicht gerade der Dümmste ist.

D.H., SSL/TLS sind essentiell und man sollte unter keinen Umständen darauf verzichten, wenn man nicht die komplette Kette von Quelle bis Ziel unter der eigenen Kontrolle hat.

Dieser Beitrag wurde von ph030 bearbeitet: 03. Mai 2008 - 15:10

[Vagabund]

Danke für die Erklärung! Ist es also abzuraten per Thunderbird SMTP/IMAP mit dem Bluevaria-Server Kontakt aufzunehmen? Mein Rechner sendet über DSLRouter (LAN) -> M-Net (Provider) die Login-Daten an den Bluevaria-Server.

Gruß
Michael

[ph030]

Also wirklich toll ist das wie gesagt nicht, ich hoffe, du zahlst nicht noch für diesen miesen Service(ich kenne den Anbieter nicht).

Wenn du deine Login-Daten, v.a. das Passwort, nicht auch anderweitig verwendest, könntest du es theoretisch beim aktuellen Stand belassen, dennoch mußt du natürlich wissen, dass jeder an jedem Knotenpunkt nicht nur deine Login-Daten, sondern die komplette Mail lesen kann. Wenn du also nicht möchtest, dass jemand Rückschlüsse auf deine Person bzw. dein Umfeld schließen kann, oder du wichtige/private/arbeitstechnische Informationen versendest, solltest du dir über Verschlüsselung des Mailinhalts Gedanken machen.

Weitere Informationen kannst du z.B. der Wikipedia entnehmen, oder etwas konkretere Fragen mit mehr eigenen Angaben stellen.

[Vagabund]

Ich nutze unter TB schon lange GNUPG, soweit der Empfänger da mitmacht. Das die Email (soweit nicht verschlüsselt) von jedem gelesen werden kann, sollte jedem klar sein (SSL hin oder her). Keiner kann sagen über welche Server die Mail noch so wandert. Das aber die Login Daten unverschlüsselt durchgereicht werden ist nicht akzeptabel. Der Anbieter ist kostenlos und wird derzeit von mir nur angetestet, bin derzeit bei Gmail und werde da auch bleiben.

Gruß
Michael

[ph030]

Wenn du das Konto bei dem Anbieter später dennoch brauchst, kannst du die Mails ja von einem anderen Konto automatisch einsammeln lassen und dort per SSL abholen - gut, das bringt dann beim Versenden nichts, ist aber auch besser als nichts.

Persönlich würde ich ja den einen Euro im Monat ausgeben, dafür bekommt man ja schon Webspace und ordentliche eMail mit eigener Domain.

[Vagabund]

Bin eigentlich schon seit langem auf der Suche nach einem Freemail-Anbieter bei dem ich mir noch eine "seriöse" Email-Adresse sichern kann. Bluevaria / MSN Live und Jubii sind solche Anbeiter weil noch relativ neu und unbekannt. Die Nachteile brauche ich aber nicht aufzuzählen.

Gruß
Michael

[free]

Hier mal eine kleine Liste von Freemail-Anbietern

http://de.wikipedia.org/wiki/Freemail

Ich persönlich kann GMX empfehlen...

Dieser Beitrag wurde von free bearbeitet: 04. Mai 2008 - 08:41

[Vagabund]

Zitat (free: 04.05.2008, 09:41)

Ich persönlich kann GMX empfehlen...

Ich nicht, bietet IMAP nur in der kostenpflichtigen Version. Mein Wunsch-Freemail-Anbieter sollte unterstützen:
- IMAP-Idle (möglichst volle Unterstützung)
- einigermaßen vernünftige Webmailoberfläche (z.B. wie bei AOL)
- SSL/TLS Verschlüsselung
- ausreichend Platz ( > 1GB )
- Viren- und Spamschutz
- eventuelle Nutzung des Speichers für Daten (einschließlich Sharing)
- natürlich meine Wunschadresse vor dem @

Gmail kommt dem ganzen da noch am nächsten. Mal sehen was BlueVaria und Jubii da noch bringen. Nach Rückfrage bei Jubii wurde mir allerdings mitgeteilt, das IMAP erst nächtes Jahr kommt (vielleicht) . Bei BlueVaria kommt mir alles ein wenig spanisch vor (Finanzierung und Zukunftssicherheit).

Gruß
Michael

[webneo82]

Hallo,

mal eine kleine Klarstellung zu E-Mail-Servern, die keine POP3/IMAP-Verschlüsselung anbieten:

Es ist nicht wahr, dass eine unverschlüsselte POP3/IMAP-Anmeldung zur Folge hat, dass auch die LOGIN-Daten unverschlüsselt übermittelt werden. Viele E-Mail-Server unterstützen zwar die NUR-Text-Authentifizierung (PLAIN-TEXT), ist aber bei den meisten E-Mail-Servern abgeschaltet. Das bedeutet, dass zwar die reine E-Mail unverschlüsselt übers Netz geht, so aber nicht die Anmeldedaten. Es gibt zwar diverse Möglichkeiten, diese Authentifizierungsdaten zu knacken, aber das ist ja mit allem so...

[Vagabund]

Habe inzwischen eine Mail vom BlueVaria Admin erhalten. Er schreibt da ebenso, das vom Server keine Reintext Logindaten angenommen werden. Diese werden standardmäßig nur verschlüsselt angenommen. Er meinte auch noch, das trotzdem eine komplett Verschlüsselung in einer Woche umgesetzt wird.

Gruß
Michael