mailbox.org: Per DANE verschlüsselter E-Mail-Dienst

e-mail 02
Fachbeitrag

Sichere E-Mail-Dienste sind spätestens nach Bekanntwerden der massenhaften Ausspähung durch die Geheimdienste (besonders NSA und GCHQ) sehr gefragt. Wir berichteten bereits über Posteo und StartMail. Heute möchten wir Ihnen eine weitere Alternative vorstellen: mailbox.org.

Der Betreiber

Hinter mailbox.org steckt die Heinlein Support GmbH aus Berlin. Der Dienst des auf Linux, Hosting und Security spezialisierten Consulting-Unternehmens ist bereits im Februar gestartet und hat sich seit dem soweit ausgebreitet, dass bereits für ausländische Kunden ein englischsprachiges Portal gestartet wurde.

Sicherheit wird groß geschrieben

1. Verschlüsselung des Transportweg

mailbox.org stellt hohe Anforderungen an die Sicherheit des E-Mail-Dienstes. Zur Vermeidung sog. „Man in the Middle“ Attacken setzt mailbox.org bei der Verschlüsselung der Verbindungen auf das noch junge Verfahren DANE. DANE heißt ausgeschrieben „DNS-based Authentication of Named Entities“ und erweitert die Transportwegverschlüsselung SSL/TLS dergestalt, dass Zertifikate nicht unbemerkt ausgetauscht werden können. Zudem wird zur Gewährleistung der Authentizität Domain Name System Security Extensions (DNSSEC) verwendet.

Diese Art der Transportwegeabsicherung lässt sich leicht über das für den Browser Firefox verfügbare Plug-In „DNSSEC/TLSA Validator“ überprüfen.

Durch die Verwendung von DANE setzt mailbox.org im Gegensatz zu „E-Mail made in Germany“ auf eine Verschlüsselung des E-Mailverkehrs zu sämtlichen Providern, die DANE nutzen und nicht nur innerhalb eine abgegrenzten, wenn auch weit verbreiteten, Mail-Netzwerks.

2. Obligatorische Verschlüsselung

Anstelle neuer Techniken setzt mailbox.org, wie auch andere Anbieter, auf PGP bei der Verschlüsselung der E-Mails. Neu allerdings ist, dass die Nutzung einer SSL/TLS gesicherten Verbindung nicht optional ist, sondern die Grundeinstellung. Problematisch erscheint in diesem Zusammenhang die Einrichtung von PGP, welche – je nach verwendetem Programm – nicht ganz trivial ist und mit Sicherheit bisher ein Grund für die eher schwache Verbreitung unter den „normalen“ Endanwendern darstellt. Abhilfe schafft hier ein sog. „Stiftfilm“, welcher die Implementierung von PGP anwenderfreundlich erklärt.

3. Keine allumfassende Sicherheit

Auf der eigenen Seite erklärt mailbox.org die Funktionsweise von PGP und schreibt hierzu in einer letzten FAQ:

„Ist damit alles sicher?

Ja und Nein. Aus technischen Gründen können Absender, Empfänger und Betreff der Nachricht NICHT verschlüsselt werden. Darum transportieren wir von mailbox.org Ihre Daten wann immer es geht über zusätzlich verschlüsselte Verbindungen zum Empfänger.

Trotzdem sollten Sie den digitalen Briefumschlag einfach zukleben. Schließlich wollen auch wir von mailbox.org Ihre E-Mails gar nicht erst lesen können.“

Dies zeigt, dass E-Mails per verschlüsselter Verbindung an den Empfänger versendet werden, sofern dessen Provider wiederum diese Möglichkeit bietet. Wenn das nicht der Fall ist, so wird der Versand wohl über eine unverschlüsselte Verbindung erfolgen.

Dieses Problem besteht allerdings solange, wie nicht sämtliche E-Mail-Provider an einem Strang ziehen. Nur wenn das der Fall ist, kann gewährleistet werden, dass ein sicherer E-Mailversand zum Standard wird.

4. secure.mailbox.org

Wie bereits beschrieben können auch bei mailbox.org E-Mails mit anderen Providern nur dann per SSL/TLS ausgetauscht werden, sofern der Empfänger-Provider dieses Verfahren ebenfalls anbietet.

Wer ganz auf Nummer sicher gehen möchte, nutzt den Dienst secure.mailbox.org. E-Mails, die an diese Mailbox gesendet werden, können nur empfangen werden, wenn sie mittels einer verschlüsselten Verbindung übertragen werden, ansonsten werden sie abgewiesen. Gleiches gilt für den E-Mailversand: Bietet der Provider des Empfängers keinen verschlüsselte Übertragung an, wird die E-Mail nicht abgesendet. Darüber hinaus kann der Nutzer über eine TLS-Policy verschiedene Sicherheitsstufen festlegen, welche verschlüsselten Verbindungen akzeptiert werden.

Kosten

Sicherheit hat ihren Preis. Während kostenfreie Anbieter auf Werbung setzen und man damit rechnen sollte, mit seinem E-Mail-Account selbst die Ware zu sein, setzt mailbox.org ausschließlich auf ein Bezahlmodell. Die Tarife beginnen ab 1 Euro/Monat und unterscheiden sich hinsichtlich der Anzahl der enthaltenen Aliase, E-Mails und Speicherplatz für Mails und Dokumente.

Zusätzliche Leistungen

mailbox.org bietet mehr als ein sicheres E-Mail-Postfach. Neben einem Webmailer sind auch Adressbuch- und Kalenderfunktionen mit an Board. Mit CalDAV / CardDAV ist darüber hinaus auch eine anständige Synchronisation auf mehreren und verschiedenen Geräten gewährleistet.

Fazit

mailbox.org macht vieles richtig, was bei anderen Anbietern nur halbherzig umgesetzt ist. Allen voran ist der verschlüsselte Versand von E-Mails die Voreinstellung. Darüber wird das als sicher geltende DANE als Verschlüsselungsverfahren eingesetzt.

Bei der Gestaltung des Dienstes auf der eigenen Seite leistet mailbox.org ganze Arbeit. Aber auch diese Absicherung kann nur so weit reichen, wie die Kommunikationspartner sich verstehen. Heißt, dass auch der Provider des Empfängers/Senders Verschlüsselung anbieten muss, um eine vollständige Absicherung des E-Mailverkehrs gewährleisten zu können. Diese Aufgabe kann mailbox.org alleine jedoch nicht leisten.

Neben einer vergleichsweise günstigen Tarifstruktur sind zahlreiche Anwendungen und eine gute Synchronisation über CalDAV / CardDAV mit an Board. Mailbox.org bietet die richtige Grundlage, um PGP voranzutreiben.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Hallo,

    „Neu allerdings ist, dass die Nutzung von PGP nicht optional ist, sondern die Grundeinstellung.“

    Falsch. PGP ist weiterhin optional. TLS ist die Grundeinstellung. PGP lässt sich allerdings bei eingehenden E-Mails nutzen. Dann werden die eingehenden Nachrichten mit dem eigenen öffentlichen Schlüssel auf dem Server von mailbox.org verschlüsselt. Theoretisch kann mailbox.org (oder ein Angreifer) die Nachrichten dazwischen natürlich trotzdem lesen. Aber immerhin liegen die E-Mails dann PGP-verschlüsselt auf dem Server von mailbox.org und sind nur noch vom Nutzer mittels Private Key entschlüsselbar. Das ist kein Ersatz für Ende-zu-Ende-Verschlüsselung zwischen Absender und Empfänger. Das Grundproblem bei PGP, dass beide Kommunikationspartner PGP beherrschen müssen, können die E-Mail-Provider nicht lösen.

    „Sicherheit hat ihren Preis.“

    Naja, 1 Euro im Monat bzw. 12 Euro im Jahr sind lächerlich wenig. Das sind zwei Schachteln Zigaretten.

    „Aber auch diese Absicherung kann nur so weit reichen, wie die Kommunikationspartner sich verstehen.“

    Man kann statt Kinogutscheinen auch Gutscheine für privatsphärefreundliche E-Mail-Dienste verschenken.

  2. Ich werde den Dienst mal prüfen. Ein Euro im Monat ist nicht viel und wenn ich im Gegenzug mehr Sicherheit bekomme als bei anderen Anbietern, ist das schonmal sehr gut. Danke für den informativen Artikel und die Vorstellung.

    LG

    Clemens

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.