STARTTLS

Was ist STARTTLS?

STARTTLS bezeichnet ein Verschlüsselungsverfahren für E-Mails und File-Transfers. Genauer gesagt, leitet STARTTLS die Verschlüsselung einer Kommunikation via Transport Layer Security (TLS) ein. Diese Verschlüsselungstechnik existiert für SMTP, IMAP, POP und FTP. SSL ist für den sicheren Versand von E-Mails inklusive Anhang demnach ebenso geeignet wie für die Sicherheit von Websites.

Das Funktionsprinzip von STARTTLS

SMTP steht für Simple Mail Transfer Protocol; dabei handelt es sich um den Internet-Standard für den E-Mail-Versand. Das Protokoll stammt aus dem Jahr 1982. Im Jahr 2001 wurde das SMTP erweitert und als ESMTP (Extended SMTP) bezeichnet. Bei der ESMTP-Verbindungsaufnahme zwischen SMTP-Client und -Server oder analog zwischen SMTP-Servern wird die E-Mail-Verschlüsselung eingeleitet. Antwortet der Server mit STARTTLS, zeigt er an, dass sowohl die folgende Kommunikation per E-Mail als auch der Transfer der Datenpakete verschlüsselt stattfinden.

Das Verfahren wurde schon kurze Zeit später auch für IMAP (Internet Message Access Protocol) und POP (Post Office Protocol) festgelegt. Das Schlüsselwort lautet hier allerdings STLS.

Bei einer älteren Methode mit gleicher Funktionsweise setzte die Verschlüsselung bereits beim Aufbau der Verbindung ein. Dazu wurden die entsprechenden Ports adressiert. Die abgesicherte Variante wird bei Standardports jeweils durch das S hinter den Protokollbezeichnungen angezeigt:

  • SMTP: Port 25 und 587; SMTPS: Port 465
  • IMAP: Port 143; IMAPS: Port 993
  • POP3: Port 110; POP3S: Port 995

Im Vergleich dazu: Beim STARTTLS-Verfahren beginnt eine Verbindung immer unverschlüsselt, und zwar auf dem Port, der für Klartext vorgesehen ist. Erst nach Eingabe des STARTTLS-Befehls wird die Verschlüsselung vereinbart. Nach der Verschlüsselung wird keine neue Verbindung hergestellt. Dies hat den Vorteil, dass die Verbindungspartner (Peers) beiderseits die technischen Rahmenbedingungen aushandeln können. Der Aufbau einer Klartext-Verbindung auf einem dedizierten SSL-Port wird zwangsläufig abgebrochen. Mit STARTTLS erkennt der Client, dass der Server die benötigte Erweiterung anbietet, und nimmt diese automatisch in Anspruch. Der Nachteil besteht darin, dass Firewalls bereits auf der Anwenderebene auf unverschlüsselte und verschlüsselte Verbindungen analysieren müssen. Ein weiterer Nachteil besteht darin, dass ein Großteil der E-Mail-Programme eine Standardeinstellung verwenden, nämlich “TLS wenn möglich”. Für den Nutzer ist damit nicht erkennbar, ob die Verbindung zum Mailserver nicht bzw. nicht mehr verschlüsselt ist.

Möglichkeiten und Kosten der Nutzung

Im Prinzip kann jeder Betreiber eines Mail-Servers STARTTLS verwenden. In der Regel reicht es, TSL im System zu aktivieren. Die anschließende technische Einrichtung und Konfiguration gestaltet sich recht einfach, wobei der einzuplanende Aufwand auch vom jeweiligen Mail-Server abhängt.

Kosten entstehen lediglich der via Certification Authority (CA) signierte Zertifikat. Grundsätzlich sollte die Verschlüsselung ausschließlich bei verifizierbaren Zertifikaten aktiviert werden. Selbst signierte Zertifikate sind durch so genannte Man in the Middle-Attacken extrem gefährdet.

Der Sicherheitslevel von STARTTLS

Auch mit diesem Verfahren ist der Transfer von E-Mails und angehängten Dateien nicht zu einhundert Prozent abgesichert. Dritte mit Zugriff auf den Netzwerkverkehr können das Kommando STARTTLS nach unverschlüsselten Mails filtern und diese unbemerkt mitlesen. Dies passierte im Dezember 2008 beim Mobilfunk-Anbieter O2.

STARTTLS kann nicht verhindern, dass Login-Daten im Klartext gesendet werden, wenn eine Client-Software dieses Verfahren nicht kennt. Werden dedizierte, also speziell zugordnete Ports für TLS verwendet, ist dies ausgeschlossen. Nach wie vor sind die dedizierten Ports für IMAP und POP3 mit TLs bei der Internet Assigned Numbers Authority registriert.

Schwachstellen von SSL und TLS

Das Standardverfahren bringt eine Reihe von Schwächen mit, die eine effektive Verschlüsselung und Authentifizierung verhindern. Die Schwachstellen beginnen mit labilen, aber weit verbreiteten Implementierungen und enden bei durchschaubaren Zertifizierungen. Wie vertrauenswürdig eine Certification Authority ist, liegt grundsätzlich im Ermessen der Software-Hersteller. Der Anwender hat keinerlei Einfluss darauf, welche Zertifizierungsstellen die Hersteller in ihre Listen aufnehmen. Die CAs durchlaufen einen Audit-Prozess. Geprüft werden der Registrierungsablauf und die Sicherheit. Eine reale Kontrolle gibt es nicht; die Zertifizierungsstelle muss lediglich den Hersteller von ihrer Vertrauenswürdigkeit überzeugen. Erst bei Bekanntwerden von Unstimmigkeiten, Problemen etc. wird den CAs das Vertrauen entzogen.

Ohnehin sind CAs beliebte Ziele für Hacker und andere Angreifer. Wer Zugriff auf die Zertifizierungsstelle hat, kann beliebige Zertifikate generieren, unabhängig vom Webserver. Geht eine CA bei der Ausstellung von Zertifikaten nicht sorgfältig genug vor, ist es dem Angreifer möglich, sich für einen fremden Host ein geltendes Zertifikat ausstellen zu lassen. Manche CAs stellen angeblich auf Anfrage von Regierungen und deren Organisationen Zertifikate für Man in the Middle-Abhöraktionen aus. Dem Nutzer ist es nicht möglich zu prüfen, ob die Zertifizierungsstelle die Inhaber der Zertifikate überprüft bzw. die auferlegten Prüfpflichten einhält.

Einige Zertifizierungsstellen bieten einen zweifelhaften Service an: Sie stellen nicht nur das Zertifikat aus, sondern erzeugen gleich das passende Schlüsselpaar dazu. Wird dieses Schlüsselpaar dem Kunden per E-Mail zugestellt, könnte diese abgefangen oder aufzeichnet werden. Damit sind das Zertifikat und das Schlüsselpaar wertlos geworden. Grundsätzlich sollte ein Schlüsselpaar auf dem Rechner erzeugt und gespeichert werden, auf dem es eingesetzt wird. Eine Übertragung vom Admin-Rechner auf den Server sollte ausschließlich über das lokale Netzwerk erfolgen.

Bei TLS ist für die Anwender eine gewisse Unsicherheit hinsichtlich der Verschlüsselung nicht von der Hand zu weisen.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenlose SEO Analyse


Weitere Inhalte

Kostenloses SEO Tool Performance Suite