E-Mail-Sicherheitsprotokolle – Was sind sie und was bewirken sie?

E-Mail-Sicherheitsprotokolle sind enorm wichtig, weil sie Ihre digitale Kommunikation sicherer machen. Ohne diese zusätzliche Sicherheit könnte jeder den Inhalt Ihrer E-Mails abfangen.

Email

E-Mail-Sicherheitsprotokolle wurden entwickelt, um Ihre Kommunikation zu schützen, wenn sie zwischen Webmail-Diensten über das Internet übertragen wird. In diesem Blog werfen wir einen Blick auf jedes der häufig verwendeten Sicherheitsprotokolle und erklären, was jedes von ihnen tut, um Ihre E-Mails zu schützen.

Darüber hinaus werden wir hervorheben, welche Art von Sicherheitsprotokoll Sie verwenden sollten, wenn Sie die sicherste Ende-zu-Ende-Verschlüsselung für Ihre E-Mails wünschen.

Weitere Informationen zu verschiedenen Aspekten der E-Mail-Sicherheit finden Sie in unserem E-Mail-Sicherheitsleitfaden.

Übertragungsprotokoll – Was ist SMTP?

Es sei Ihnen verziehen anzunehmen, dass das Simple Mail Transfer Protocol (SMTP) ein E-Mail-Sicherheitsprotokoll ist. Es ist nicht.

SMTP-Protokoll

SMTP ist ein Kommunikationsprotokoll für die Übertragung elektronischer Post, das keine native Sicherheit enthält. Somit macht allein die Verwendung von SMTP Ihre E-Mails völlig anfällig für Lauscher.

Daher ist es wichtig, zusätzlich zu SMTP eine Art E-Mail-Sicherheitsprotokoll zu verwenden, wenn Sie elektronisch kommunizieren möchten, ohne dass der Inhalt von E-Mails für Ihren ISP und jeden anderen, der sie abfängt, leicht zugänglich ist.

Die gute Nachricht ist, dass es verschiedene Sicherheitsprotokolle gibt, die auf SMTP aufbauen, sodass Sie E-Mails versenden können, ohne dass sie für die ganze Welt offen sind.

E-Mail-Sicherheitsprotokolle

Transportschichtsicherheit

TLS-Verschlüsselung

Transport Layer Security (TLS) ist das am häufigsten verwendete Protokoll zur Sicherung von E-Mails bei der Übertragung über das Internet. Es ist ein Protokoll der Anwendungsschicht, das auf SMTP arbeitet, um Sicherheit für Ihre E-Mails zu bieten. Es ist das vorherrschende Protokoll, das von Webclients und -servern zum Verschlüsseln von E-Mails verwendet wird.

TLS funktioniert, indem es eine Reihe von Regeln (bekannt als Sicherheitsframework) bereitstellt, um Ihre SMTP-Nachrichten zu sichern. TLS besteht aus zwei Schichten:

  1. Die TLS-Handshake-Schicht (die die Verbindung initiiert und validiert).
  2. Die TLS-Aufzeichnungsschicht (die Anwendungsdaten mit den während des Handshakes erstellten Schlüsseln sichert).

Im Folgenden haben wir kurz skizziert, wie der Prozess funktioniert:

Das Transmission Control Protocol (TCP) wird verwendet, um einen sicheren Handshake zwischen dem E-Mail-Client und dem E-Mail-Server herzustellen. Dadurch werden diese beiden Endpunkte validiert, sodass der Prozess des sicheren Sendens einer Nachricht beginnen kann.

Sobald der Handshake erfolgt ist, antwortet der E-Mail-Server, indem er das digitale TLS-Zertifikat und den öffentlichen Verschlüsselungsschlüssel des Servers an den E-Mail-Client zurücksendet.

An diesem Punkt verifiziert der Client das Zertifikat und generiert mithilfe des öffentlichen Schlüssels einen Shared Secret Key (SSK), der an den Server zurückgesendet wird. Der Server entschlüsselt dann den SSK, sodass der Client und der Server mit der Übertragung Ihrer privaten E-Mails beginnen können.

Opportunistisches TLS vs. erzwungenes TLS

  • Opportunistisches TLS ermöglicht es einem E-Mail-Client, spontan von einer unsicheren Klartextverbindung zu einer verschlüsselten Verbindung zu wechseln. STARTTLS ist der E-Mail-Protokollbefehl, der vom E-Mail-Client verwendet wird, um den E-Mail-Server nach dieser aktualisierten Verbindung zu fragen. Wenn der Befehl in diesem Setup fehlschlägt, wird die E-Mail trotzdem unverschlüsselt gesendet.
  • Erzwungenes TLS ist eine Protokollkonfiguration, die darauf besteht, dass eine TLS-Verbindung hergestellt wird, bevor eine E-Mail gesendet wird. Wenn in diesem Fall kein verschlüsselter Tunnel zwischen dem E-Mail-Client und dem Server hergestellt werden kann, wird die E-Mail nicht an den Empfänger gesendet.

Digitale Zertifikate

Digitale Zertifikate sind eine Art von Public-Key-Kryptografie, die zum Signieren und Verschlüsseln von E-Mails verwendet werden kann, um sie sicher zu versenden. Digitale Zertifikate funktionieren, indem sie es Menschen ermöglichen, Daten unter Verwendung eines vordefinierten öffentlichen Schlüssels miteinander zu kommunizieren.

digitales Zertifikat

Digitale Zertifikate werden direkt auf Ihrem Computer installiert, wo sie sich befinden, um die Identität Ihres Geräts während des Sendens verschlüsselter elektronischer Daten (in diesem Fall eine E-Mail) zu validieren.

Wenn Sie über ein digitales Zertifikat verfügen, steht der öffentliche Schlüssel jedem zur Verfügung, der Ihnen eine E-Mail senden möchte. Wenn Sie die E-Mail erhalten, entschlüsseln Sie sie mit Ihrem privaten Schlüssel. Diese Art der Kryptografie wird als asymmetrische Verschlüsselung bezeichnet.

S/MIME

Secure/Multipurpose Internet Mail Extensions (S/MIME) ist ein gängiges Protokoll, das verwendet wird, um sichere E-Mails mit Ende-zu-Ende-Verschlüsselung zu versenden. Es wird von der überwiegenden Mehrheit der E-Mail-Dienste und -Clients unterstützt.

S/MIME nutzt Signaturen, die als digitale Zertifikate bekannt sind, um verschlüsselte E-Mails zu authentifizieren und zu senden, die von niemandem außer dem autorisierten Empfänger gelesen werden können. Dadurch sind die E-Mails auf dem Transportweg abhörsicher.

S/MIME verschlüsselt immer den Inhalt Ihrer E-Mail-Nachrichten, bevor sie über das Internet gesendet werden. Im Header enthaltene Metadaten (z. B. Angaben zum Absender, Empfänger – und alle anderen Teile des E-Mail-Headers) bleiben jedoch unverschlüsselt.

Dies führt dazu, dass diese Metadaten möglicherweise von ISPs, E-Mail-Anbietern oder der Regierung gesammelt werden. Wenn Sie diese Tracking-Ebene verhindern möchten, müssen Sie einen E-Mail-Dienst wie Tutanota abonnieren.

S/MIME-Verschlüsselung

Pretty Good Privacy (PGP) und OpenPGP

PGP – und seine häufiger verwendete Open-Source-Variante OpenPGP – ist ein Verschlüsselungsprotokoll, das zum Senden von hochsicheren Ende-zu-Ende-verschlüsselten (E2EE) E-Mails verwendet wird.

Es wird weithin als das sicherste E2EE für E-Mails angesehen und ist der beste Weg, um vollständig private E-Mails zu versenden, auf die nur der beabsichtigte Empfänger zugreifen kann.

OpenPGP ist in einer Vielzahl moderner E-Mail-Clients und -Dienste verfügbar und kann sogar in E-Mail-Clients verwendet werden, die es nicht nativ bereitstellen, indem eine Erweiterung wie Mailvelope oder FlowCrypt verwendet wird.

Das Einrichten und Verwenden von OpenPGP wird von Anfängern manchmal als technisch anspruchsvoll angesehen, da ein persönlicher OpenPGP-Schlüssel erstellt werden muss Paar (die öffentlichen und privaten Schlüssel, die für diese Art der asymmetrischen Verschlüsselung benötigt werden). Das Erstellen dieses Schlüsselpaars und das Speichern/Teilen des öffentlichen Schlüssels ist jedoch tatsächlich eine der einfachsten Möglichkeiten, um eine viel bessere Sicherheit für Ihre E-Mails zu erreichen.

Wie bei S/MIME-geschützten E-Mails ist es erwähnenswert, dass OpenPGP-verschlüsselte E-Mails es Dritten wie ISPs, E-Mail-Anbietern und Regierungsbehörden weiterhin ermöglichen, E-Mail-Metadaten auszuspionieren, die im Header enthalten sind (z. B. die Identität des Absenders und des Empfängers). .

Sender Policy Framework (SPF)

Sender Policy Framework (SPF) ist eine E-Mail-Authentifizierungsmethode, die verwendet wird, um das Fälschen einer Absenderadresse während der Übertragung einer E-Mail zu verhindern.

Dadurch werden Spammer daran gehindert, Nachrichten zu senden, die scheinbar von der Domäne einer anderen Person stammen, und Personen vor Phishing und böswilligen Anhängen zu schützen (die unweigerlich erfolgreicher sind, wenn ein Cyberkrimineller eine legitime Domäne fälschen kann).

Das Sender Policy Framework besteht aus drei Kernkomponenten:

  • Der Rahmen
  • Eine Authentifizierungsmethode
  • Ein E-Mail-Header – wird verwendet, um die Informationen zu übermitteln

Beim Versenden einer E-Mail kann anhand des DNS-Eintrags im Header („Envelope from“) überprüft werden, ob die Ursprungs-IP-Adresse zum Versenden der E-Mail berechtigt war. Wenn dies nicht der Fall ist, weiß der E-Mail-Client, dass er die E-Mail als verdächtig behandeln und ablehnen muss.

Fingerabdruck

DomainKeys Identifizierte E-Mail (DKIM)

DKIM ist eine weitere Authentifizierungsmethode, die verwendet wird, um gefälschte Absenderadressen zu erkennen. Wie bei SPF ermöglicht DKIM einem E-Mail-Server, zu überprüfen, ob der Absender einer E-Mail tatsächlich der ist, für den er sich ausgibt. Dadurch kann DKIM Spam und Phishing verhindern.

DKIM versieht eine E-Mail mit einer digitalen Signatur, die überprüft wird, um sicherzustellen, dass sie von der richtigen Domäne stammt. DKIM hilft auch bei der Überprüfung, ob der Absender berechtigt war, eine E-Mail von der betreffenden Domain zu senden (um Spoofing zu verhindern).

DMARC

Domain-Based Message Authentication, Reporting & Conformance (DMARC) ist ein E-Mail-Authentifizierungsprotokoll, das auf DKIM und SPF aufsetzt. Es wurde auch entwickelt, um Benutzern die Möglichkeit zu geben, ihre Domain vor E-Mail-Spoofing zu schützen.

DMARC kann nur zur Authentifizierung verwendet werden, wenn sowohl SPF als auch DKIM eingerichtet wurden. Nach der korrekten Implementierung kann das Tool DMARC Analyzer verwendet werden, um auf DMARC-Berichte zuzugreifen, die Informationen darüber enthalten, wer E-Mails von einer Domäne sendet.

DMARC tut dies, indem es den „Header from“-Domänennamen mit dem „Envelope from“-Domänennamen vergleicht, der während der vorherigen SPF-Prüfung definiert wurde. In Kombination bieten diese drei Sicherheitselemente einen zuverlässigeren Schutz vor dem Versand nicht autorisierter E-Mails von Ihrer Domain.

Warum sind E-Mail-Sicherheitsprotokolle wichtig?

Jeder, der E-Mails versendet, ohne E-Mail-Sicherheitsprotokolle zu nutzen, gibt seine Daten preis. Dadurch könnten ihre E-Mails abgefangen und die darin enthaltenen sensiblen Daten gestohlen werden.

Neben der Sicherung der in E-Mails enthaltenen Daten gibt es Sicherheitsprotokolle, die Cyberkriminelle daran hindern, E-Mails zu versenden, die scheinbar von Ihrer Domain stammen.

Um sicherzustellen, dass dies nicht passiert, empfehlen wir Ihnen, die SPF-, DKIM- und DMARK-Authentifizierung für Ihre persönliche E-Mail-Domain einzurichten. Und wenn Sie starkes E2EE für Ihre Nachrichten wünschen, empfehlen wir Ihnen, sich für einen sicheren E-Mail-Dienst zu entscheiden, der OpenPGP-Kompatibilität bietet.