Wie sind normale E-Mails verschlüsselt?

[Tanzmusikus]

Hallo allerseits,

mich interessiert brennend, wie sicher normale E-Mails übertragen werden.
Ich beziehe mich ausdrücklich nicht um zusätzliche Ende-zu-Ende Verschlüsselung usw.

Was ich weiß ist, dass E-Mails mittlerweile nur noch über sichere Ports per TLS oder SSL usw. übermittelt werden.
Wie geschieht das genau?

Mir ist klar, dass mindestens die E-Mail Anbieter des Versenders & des Empfängers Zugriff haben.
1. Könnten die E-Mail Anbieter theoretisch den Inhalt einsehen?
2. Könnten auf anderen Servern, welche nur die E-Mail weiterleiten den Inhalt sichtbar machen?
3. oder nur kompromittierte Server?
4. Was gäbe es noch an Angriffsflächen?

Ich bin auf Eure Antworten gespannt.
🙂

 

[wern001]

Ob die Mails verschlüsselt gespeichert werden oder nicht kann dir nur der Dienstleister sagen. Ob er dich anlügt steht wieder auf einem anderen Blatt.
Normal gibt es keine Server die Mails nur weiterleiten. Das wären dann OpenRelay und die werden sofort für Spam misbraucht.

 

[madmax2010]

1. Ja.
2. Ja
3. Sowieso.
4. Das übliche.. Antiviren, schadsofware, gezielte oder ungezielte Angriffe, wie auch immer sie aussehen.

Kommt dann halt auf die jeweilige Infrastruktur an. Öffentlich erreichbare Dienste bieten so ziemlich alles an Angriffsfläche was geht

 

[prian]

Meines Wissens nach ist die Übertragung vom Client zum eigenen Mailserver verschlüsselt (TLS oder SSL), danach geht es ohne Verschlüsselung weiter zum Ziel-Mailsever, dort wird die Verbindung vom Client am Ziel wieder mit TLS oder SSL verschlüsselt.
Somit können alle beteiligten Mailserver auf dem Transportweg die Mail lesen.
Ob Sende-Server und Ziel-Server die Mail verschlüsselt ablegen, das liegt an den Betreibern.

Es findet somit nur Transportverschlüsselung am Anfang und am Ende statt (i.d.R.), dazwischen i.d.R. nicht.

Gurgel mal nach "mail transportverschlüsselung"

 

[Sebbi]

1. ja
2. ja
3. alle
4. alle

Solange die Emai nicht Ende zu Ende verschlüsselt ist, können alle Akteure ab deinen Emailprovider die Email grundsätzlich einsehen.

TLS / SSL verschlüsselt nur die Verbindung von deinen Email Programm zum Server deines Email Providers, sprich damit keiner die Kommunikation in deinen Netzwerk oder bei deinen ISP mitlesen kann.

 

[Roesi]

Meldepflicht

 

[gr3if]

HI,

also generell kannst du im Internet Emails nach wie vor unverschlüsselt senden.
Du kannst deinen Email Server so einstellen, dass er unverschlüsselte Verbindungen ablehnt, aber es gibt da keinen Standard oder einen Zwang. Es gibt nur das Thema: Unverschlüsselt wird eine hohe Ablehnquote haben.

Was heute vor allem benutzt wird ist TLS: also eine reine Transportverschlüsselung.
Basically: Der Server der die Email schicken möchte macht eine verschlüsselte Verbindung mit dem empfangenen Server auf und schickt ihm dann in diesem Tunnel die Mail.
Beide Server haben die Mail im Klartext vorliegen und machen dann Dinge die: Greylisting, Antivirus, Spamschutz, Dmarc usw.

Zu deinen Fragen:
1: Ja weil Klartext da ist
2: E-Mail weiterleiten ist schwierig formuliert: Generell gilt TLS zwischen den beiden Server die eine Mail austauschen. Dazwischen im Internet kann man nur mitlesen wenn man TLS aufkriegt. Ansonsten: Wenn ein Nutzer eine Mail weiterleitet beginnt die Kette von vorne.
3: Kompromittierte Server tun TLS erstmal nichts, aber am Ende ist das so unklar was du meinst
4: Angriffsfläche sind Antispamprovider die falsch konfiguriert sind oder halt Server die nur TLS 1.1 sprechen oder oder. Da gibt es relativ viele.

 

[Rickmer]

1. Könnten die E-Mail Anbieter theoretisch den Inhalt einsehen?

ja
Was glaubst du was die machen, wenn da ein Antispam-Check drüber läuft?

2. Könnten auf anderen Servern, welche nur die E-Mail weiterleiten den Inhalt sichtbar machen?

Ja und nein, je nach Korrektheit der Konfiguration von sendenem und empfangenem Server

TLS / SSL verschlüsselt nur die Verbindung von deinen Email Programm zum Server deines Email Providers

Prinzipiell für die Verbindung korrekt.

Aber auch die Verbindung zwischen Mailservern wird durchwegs per TLS ent-to-end verschlüsselt, das ist mittlerweile der Default. Dann können die Serverknoten in der Mitte der Verbindung nicht mitlesen. Nur der Sender und Empfänger kann das, und diese sollten theoretisch / idealerweise vertrauenswürdig sein.

Mit extrem wenigen Ausnahmen wenn irgendein Uralt-Server das nicht kann oder falsch konfiguriert ist. Das hatte ich mir 2018 bei Datenschutz-Untersuchungen schonmal angesehen und auch damals waren nur ganz wenige Server nicht fähig, verschlüsselte SMTP Verbindungen anzunehmen.
Impersonation ist natürlich auch ein Thema, aber das ist perspektivisch ein DNS Problem.

Was nicht heißt, dass aller Mailverkehr verschlüsselt läuft. Grade wenn man bei einem Multifunktionsgerät send-to-mail an einen Anbieter einrichtet kann man schnell mal einen Haken vergessen und dann gehen die Scans unverschlüsselt durchs Netz...

danach geht es ohne Verschlüsselung weiter zum Ziel-Mailsever

Nur bei grob fahrlässiger Fehlkonfiguration

Meldepflicht

Und welchen direkten Zusammenhang zum Thema soll das haben?

Ich beziehe mich ausdrücklich nicht um zusätzliche Ende-zu-Ende Verschlüsselung usw.

Das original SMTP Protokoll ist komplett unverschlüsselt, damals war das noch kein Thema. Alle Mail-Security ist daher zusätzlich drangetackert.

 

[Tornhoof]

1. Könnten die E-Mail Anbieter theoretisch den Inhalt einsehen?
2. Könnten auf anderen Servern, welche nur die E-Mail weiterleiten den Inhalt sichtbar machen?

Nicht nur theoretisch, auch praktisch, Bleistift sind Spamfilter.

 

[Sebbi]

Aber auch die Verbindung zwischen Mailservern wird durchwegs per TLS ent-to-end verschlüsselt, das ist mittlerweile der Default. Dann können die Serverknoten in der Mitte der Verbindung nicht mitlesen. Nur der Sender und Empfänger kann das, und diese sollten theoretisch / idealerweise vertrauenswürdig sein.

ja sollte so sein, verlassen drauf würde ICH mich nicht

 

[Rickmer]

verlassen drauf würde ICH mich nicht

Kannst du im Mail-Header nachschauen
Den kann man aufdröseln z.B. mit diesem Tool: https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx

Beispiel:

Hier zu sehen, dass die relevante Verbindung zwischen Mail-Anbieter des Absender (Exchange Online) und Antispam-Provider des Empfänger (Hornet Seucrity) verschlüsselt wurde mit

cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange secp384r1 server-signature RSA-PSS (2048 bits) server-digest SHA256) (No client certificate requested)

DKIM trägt dann noch seinen Teil dazu bei um sicherzustellen, dass die Mail auch nicht auf Transportweg manipuliert wurde durch man-in-the-middle o.Ä.

 

[Arboster]

Das es noch keiner gesagt hat:

E-Mail ist wie Postkarte. Die kann der Briefträger auch lesen.

 

[Rickmer]

E-Mail ist wie Postkarte. Die kann der Briefträger auch lesen.

Richtig konfiguriert ist Mail wie eine Postkarte in Briefumschlag... die der Briefträger auspackt bevor er sie dir in den Briefkasten wirft und den Umschlag entsorgt.
Außer er hält den Inhalt für Werbung, dann schmeißt er beides in die Tonne falls du ein 'bitte keine Werbung' Schild am Briefkasten kleben hast.

Aber in den Sortierzentren hat keiner die Karte gelesen.

 

[nurmalsoamrande]

Aber auch die Verbindung zwischen Mailservern wird durchwegs per TLS ent-to-end verschlüsselt, das ist mittlerweile der Default. Dann können die Serverknoten in der Mitte der Verbindung nicht mitlesen. Nur der Sender und Empfänger kann das, und diese sollten theoretisch / idealerweise vertrauenswürdig sein.

Mit extrem wenigen Ausnahmen wenn irgendein Uralt-Server das nicht kann oder falsch konfiguriert ist. Das hatte ich mir 2018 bei Datenschutz-Untersuchungen schonmal angesehen und auch damals waren nur ganz wenige Server nicht fähig, verschlüsselte SMTP Verbindungen anzunehmen.
Impersonation ist natürlich auch ein Thema, aber das ist perspektivisch ein DNS Problem.

Das ist nicht korrekt. Die TLS-Verschlüsselung von Emails ist NICHT End-to-End, die ist HOP-By-Hop, sprich bei jedem Server, der weiterleitet ist die Mail unverschlüsselt. Am Zielserver sowieso.

Das SMTP selbst sieht auch keine Verschlüsselung vor, die TLS-Verschlüsselung ist nur für den Transport, nicht für die abgelegten Daten. Sprich JEDES Relay kann eine normale EMail lesen.

Von Daher ist "Ich verwende Tuta/Proton/Whatever" eine absolute Fehleinschätzung, jetzt wäre man "sicher". Solange du eine Mail nicht aktiv von deiner Seite aus per PGP/ S/MIME verschlüsselt hast, dann ist deine Mail für JEDEN in deiner Versandkette im Klartext lesbar.

Mag sein, dass DEIN Mailanbieter Zero-Knowledge-Verschlüsselung deines Postfachs anbietet, wenn du aber an eine Yahoo/Outlook/GMAIL-Adresse schreibst, dann ist das für die Katz.

Wenn du wirklich etwas geheimes, was wirklich niemand lesen soll, versenden willst, dann nimm etwas wie Briar, aber keine Email, keine SMS/MMS, keine Imassage, kein RCS und keinen Big-Tech-Messenger.

Kommunikation ist immer nur so sicher, wie das schwächste Glied. Und das ist in 99,9% aller Fälle der Empfänger, egal was DU tust.

Daher, wenn etwas für dich geheim ist und auch bleiben soll, dann Nutze wirklich einen dezentralisierten Messenger oder schreib tatsächlich einen Brief.

 

[Piktogramm]

Richtig konfiguriert ist Mail wie eine Postkarte in Briefumschlag... die der Briefträger auspackt bevor er sie dir in den Briefkasten wirft und den Umschlag entsorgt.

Es gibt keinen Briefumschlag. Als Analog ist es eine Postkarte, die jeder lesen kann, der mit ihr in Kontakt kommt. Nachvollziehbarkeit ob das Ding gelesen wurde gibt es Keine. Ohne weitere Rücksprache zwischen den Endpunkten kann nichtmal festgestellt werden, ob der Inhalt manipuliert wurde.

Was ich weiß ist, dass E-Mails mittlerweile nur noch über sichere Ports per TLS oder SSL usw. übermittelt werden.
Wie geschieht das genau?

Es gibt keine sicheren Ports! Ports sind Teil von TCP bzw. UDP, also der Protokollschicht und tragen nichts zur Absicherung bei. TLS ist wenn dann die Sicherungsschicht. Bitte lies sich ins Schichtenmodell von Netzwerken ein! Sowohl das eher abstrakte OSI-Modell, als auch die reale Implementierung.
Also ohne Scheiß, ohne halbwegs Netzwerkschichten verstanden zu haben, ist jedwede Überlegung zur Absicherung für die Katz.

 

[Scirca]

Also bei Email Verschlüsselung muss man erstmal verstehen was den gerade verschlüsselt wird.
Es gibt einen Email Header Teil (nicht verwechseln mit dem Betreff einer Email), dort stehen nur technische Bewegungsdaten drin.

Dann gibt es ja noch den anderen Part. Also eine normale Email Kommunikation läuft über "4" Geräte, ich lass jetzt mal das Backend Zeug alles weg, das tut für die Übermittlung nichts zur Sache.
Email Client A -> Email Server A <--- Internet ---> Email Server B -> Email Client B

Also ich kann jetzt erstmal nur für den Standard sprechen also Outlook als Email Client und Exchange, hier gibt es ja verschiedene Lösungen( am Markt, da muss man wenn es einen genau interessiert entsprechend nachsehen) Outlook baut zum Exchange via MAPI auf, standardmässig HTTP aber gänig ist das mittlerweile HTTPS. Also verschlüsselt, zwischen den Mail Servern wird zu 99% die Verbindung via TLS (meist 1.3 aber auch mal 1.2) ausgehandelt, also wenn ich in mein Email Gateway reinschaue haben ich hier 99,9998% TLS.

Also primär kann man sagen es wird wahrscheinlich verschlüsselt übertragen, mit einem S/MIME Zertifikat hast du halt vom Client zum Client alles sauber. So wird halt jeder Step mittlerweile mit seiner eigenen Nr. verschlüsselt, kann aber auch sein das es nicht passiert. Muss man einfach von Fall zu Fall betrachten.

 

[Tanzmusikus]

Kannst du im Mail-Header nachschauen

Ich habe die Möglichkeit durch meinen Mail-Anbieter "Posteo" eine Zustellungsbestätigung bei jedem Versand zu ethalten.

Ich weiß auch, dass Posteo den Weg zu ihren Servern absichern.

Das Ziel ist eine öffentliche Behörde.

---

Was wären die möglichen Verschlüsselungstechnologien, falls von mir wieder erwartet wird, dass ich etwas verschlüsselt übertragen soll?

Ich kenne vom Namen her:

• S/MIME
• PGP o.s.ä.

Muss dafür die Gegenstelle immer einen öffentlichen Schlüssel erhalten ...

... oder geht's auch irgendwie ohne bzw. automatisch?

Vielen Dank euch schonmal bis jetzt!

 

[Rickmer]

Die TLS-Verschlüsselung von Emails ist NICHT End-to-End, die ist HOP-By-Hop, sprich bei jedem Server, der weiterleitet ist die Mail unverschlüsselt. Am Zielserver sowieso.

Die Aussage ist so schlicht falsch.

Die TLS-Verschlüsselung wird zwischen sendenem Mailserver und empfangenem Mailserver ausgehandelt. Wenn da zig Server, Router und Switche zwischen sind und die Mail einmal über die Internetknotenpunkte in USA und China geroutet wird ist das alles nicht relevant weil zu dem Zeitpunkt verschlüsselt.

Das ist vereinfacht sie Scirca es schreibt korrekt:

Email Client A -> Email Server A <--- Internet ---> Email Server B -> Email Client B

Die Mailserver von Sender und Empfänger können die Mail mit einsehen.
Wenn da noch Zwischenstopps konfiguriert sind für irgendwelche Antispam-Sachen, diese auch.

Aber der Transportweg über Internet ist - korrekte Konfiguration vorausgesetzt - verschlüsselt. Gleichermaßen Zugriff von Client auf Mailserver auf beiden Enden.

Outlook baut zum Exchange via MAPI auf, standardmässig HTTP aber gänig ist das mittlerweile HTTPS.

Ich habe noch nie eine unverschlüsselte MAPI Verbindung gesehen. Wenn ich bei Outlook grade rein schaue:

Was wären die möglichen Verschlüsselungstechnologien, falls von mir wieder erwartet wird, dass ich etwas verschlüsselt übertragen soll?

Die Behörde soll vorgeben was die haben will -_-

... oder geht's auch irgendwie ohne bzw. automatisch?

Automatisch geht sowas nie. Das muss mindestens ein Admin mal konfigurieren. S/MIME Zertifikate schenkt dir keiner kostenlos.
Je nachdem was du machst und wie das gemacht wird, muss da der Enduser bei jeder Mail tätig werden.

Ohne weitere Rücksprache zwischen den Endpunkten kann nichtmal festgestellt werden, ob der Inhalt manipuliert wurde.

Dafür haben wir DKIM.

Außer du willst deinem Mail-Provider unterstellen, dass dieser Mails manipuliert.

 

[Arboster]

Richtig konfiguriert ist Mail wie eine Postkarte in Briefumschlag... die der Briefträger auspackt bevor er sie dir in den Briefkasten wirft und den Umschlag entsorgt.

Die Formulierung ist ausführlicher und gefällt mir. 👍

Ändert aber nichts an der Fragestellung und dem scheinbaren Grund der Frage des TE.
Er kann einer E-Mail keine Daten anvertrauen die kein Dritter erfahren darf.
So wird es darauf hinauslaufen, das er, so wie du es schon selbst schreibst, bei der "Behörde" nachfragen muss über welchen Weg er vertrauliche Daten per E-Mail versenden kann.
Bei uns (öff. Dienst) verwenden wir dafür Cryptshare.