WG: [Posteo-Blog] SPD, Congstar & Co: Was tun bei unsicheren Servern?

[Daniel]

Huhu,

zum Thema TLS Zwang noch anbei News Beitrag von Posteo.

Auch als News bei Golem
http://www.golem.de/news/starttls-keine-verschluesselung-mit-der-spd-1607-122291.html

Auch DNSBL wie Spamcop akzeptieren kein TLS. Schon echt erstaunlich, dass manche selbst mit Starttls überfordert sind.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: no-reply at posteo.de [mailto:no-reply at posteo.de] 
Gesendet: Freitag, 22. Juli 2016 14:37
Betreff: [Posteo-Blog] SPD, Congstar & Co: Was tun bei unsicheren Servern?

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir haben in den vergangenen Tagen viel positives Feedback zu unserer neuen
TLS-Versand-Garantie erhalten: Hierfür möchten wir uns herzlich bedanken. Es
freut uns, wie gut Sie die neue Sicherheits-Funktion annehmen. Innerhalb
weniger Tage haben rund 20 Prozent unserer Kunden die neue Funktion aktiviert.
Bei aktivierter TLS-Garantie werden Ihre E-Mails nur dann versendet, wenn sie
über einen verschlüsselten Transportweg an den Empfänger übertragen werden
können. Da wir aktuell zahlreiche Nachfragen erhalten, gehen wir hier auf
einige unsichere E-Mailserver ein und zeigen auf, welche Optionen Sie nach
einem Versandstopp haben.

Zunächst ein Beispiel, zu dem wir zahlreiche Nachfragen erhalten: Die SPD.

Die E-Mail-Server der offenbar weit verbreiteten Domain “@spd.de” sind
tatsächlich nicht abgesichert. Sie unterstützen auch drei Jahre nach dem NSA-
Skandal noch keine TLS-Verschlüsselung beim Empfang von E-Mails. Das können
wir bestätigen. Wir hatten von zahlreichen Kunden mit aktivierter TLS-Versand-
Garantie Nachfragen zur Sicherheit von “@spd.de” erhalten. Einige andere SPD-
Domains, zum Beispiel von Landesverbänden, scheinen hingegen nicht betroffen
zu sein.

Die derzeitige Konfiguration ist unsicher und stellt ein Sicherheitsrisiko
dar. Ob Sie sensible Inhalte dennoch weiterhin mit “@spd.de”-Adressen
austauschen möchten, ist Ihre persönliche Entscheidung. Sie können Ihre TLS-
Versand-Garantie für das Versenden ggf. kurzzeitig deaktivieren. Bitte
beachten Sie jedoch: Aufgrund der fehlenden Absicherung von “@spd.de” kann
diese Kommunikation von unbefugten Dritten, wie Kriminellen und
Geheimdiensten, mitgelesen werden. Daten Dritter sollten Sie an spd.de-
Adressen aus Gründen des Datenschutzes nicht versenden: Darüber sollten diese
Personen selbst entscheiden können.

Wir haben auf die IT der SPD keinen Einfluss. Sie können sich aber an den
Parteivorstand wenden, dem diese Domain laut DENIC gehört – und der für sie
verantwortlich ist.  Es ist für Administratoren von E-Mailservern in der Regel
kein größerer Aufwand, die TLS-Verschlüsselung an ihren Servern zu aktivieren.
Wir gehen davon aus, dass die Domain zeitnah abgesichert wird, wenn
Beschwerden eingehen. Denn die fehlende Absicherung stellt ein gravierendes
Sicherheitsrisiko dar. Dann können Sie auch bei aktivierter TLS-Versand-
Garantie wieder E-Mails an spd.de-Adressen versenden.

Keine Verschlüsselung auch bei Amazon Marketplace und Congstar

Wir bitten auch alle Kunden, die sich wegen der nicht TLS-fähigen E-Mail-
Server von @marketplace.amazon.de, @kabelbw.de, @congstar.de, @gewobag.de und
anderen (weiter unten aufgeführten) Domains an uns gewendet hatten: Wägen Sie
im Einzelfall ab, ob Sie eine E-Mail an das unsichere E-Mailsystem versenden
möchten. Für alle nicht TLS-fähigen Server gilt: Die Kommunikation mit solchen
veralteten E-Mail-Systemen ist unsicher.

Nach einem Versandstopp haben Sie grundsätzlich folgende Möglichkeiten: 
- Sie informieren den Empfänger (ggf. auf einem anderen Weg) darüber, dass ein
sicherer E-Mail-Versand an seine Adresse nicht möglich ist und bitten ihn um
das Mitteilen einer anderen E-Mail-Adresse. 
- Sie deaktivieren die Posteo-TLS-Versand-Garantie kurzzeitig und versenden 
die E-Mail sicher, indem Sie die Nachricht mit einer 
Ende-zu-Ende-Verschlüsselung versehen. 
- Sie deaktivieren die Posteo-TLS-Versand-Garantie kurzfristig und versenden 
die E-Mail ausnahmsweise unverschlüsselt bzw. unsicher.

Den Domaininhaber um eine bessere Absicherung bitten

Wenn Sie möchten, können Sie den Inhaber einer Domain auch bitten, die TLS-
Verschlüsselung auf seinen Servern zu aktivieren. So tragen Sie dazu bei, eine
bessere Absicherung des E-Mailverkehrs insgesamt zu erreichen.

So finden Sie mit wenigen Klicks die Inhaber von .de-Domains: Rufen Sie die
Internetseite <http://www.denic.de> auf. Klicken Sie oben rechts auf
“Domainabfrage”.  Geben Sie den Domainnamen ein, er steht hinter dem @. Bei
einer @spd.de-Adresse geben Sie also z.B. nur spd.de ein. Dann klicken Sie auf
Abfrage starten.  Unten erscheint eine Sicherheitsfrage. Geben Sie die
angezeigten Buchstaben ein und klicken auf Absenden. Ihnen werden nun der
Domaininhaber und die dazugehörigen Kontaktdaten angezeigt.

Insgesamt lässt sich sagen, dass heutzutage meist nur noch veraltete und
schlecht gewartete E-Mailserver kein TLS unterstützen. Aktivieren Sie die TLS-
Versand-Garantie, wird es deshalb im Alltag in der Regel nur selten vorkommen,
dass eine Ihrer E-Mails aus Sicherheitsgründen nicht versandt wird.

Zum Schluss haben wir für Sie beispielhaft einige E-Mail-Domains mit größerer
Reichweite zusammengestellt, die erstaunlicherweise noch kein TLS unterstützen
– und zu denen wir in den vergangenen Tagen Rückfragen erhalten haben:

- United Nations Office at Geneva: @unog.ch 
- SPD: @spd.de 
- Kabel Baden-Württemberg: @kabelbw.de 
- Congstar: @congstar.de 
- Amazon Marketplace: @marketplace.amazon.de 
- Karl-Franzens-Universität Graz: @uni-graz.at Deutsche
- Internetapotheke: @deutscheinternetapotheke.de 
- Stadt Halle an der Saale: @halle.de 
- Stadt Saarbrücken: @saarbruecken.de 
- SWB-Gruppe, Bremen: @swb-gruppe.de 
- Deutsche Oper Berlin: @deutscheoperberlin.de 
- Gewobag: @gewobag.de
- QVC Teleshopping: @qvc.de

Viele Grüße 
Ihr Posteo-Team