Naaaaja.
Dieser “Check” prüft
- ob Ihr E-Mail-Anbieter Ihre Nachrichten verschlüsselt versendet,
- ob moderne Sicherheitsprotokolle verwendet werden und
- ob Ihre E-Mails vor Manipulation geschützt sind.
Aber das der E-Mail Anbieter die lesen und auswerten kann und zudem Werbung einspielen kann scheint wohl dem BSI nicht zu interessieren?
Aber das der E-Mail Anbieter die lesen und auswerten kann und zudem Werbung einspielen kann scheint wohl dem BSI nicht zu interessieren?
Das hast du halt immer als Nachteil, solange du keine E2E-Krypto benutzt. Auch wenn du bspw. einen eigenen Mailserver auf einem VPS laufen hast, dein Hoster kann deine VHDs lesen und damit auch /var/spool überwachen.
web.de 7/7 lol
Deren Freemail wurde mir von einen auf den anderen Tag dichtgemacht, konnte mich nicht mehr einloggen. Bis heute keine Ahnung, was da passiert ist, weil Hotline anrufen kostet 4€/Minute.
Ein kostenpflichtiger Kundenservice ist erlaubt. Das hat der EuGH 2017 entschieden. Allerdings dürfen die Kosten der Service-Hotline den Grundtarif eines Telekommunikationsdienstes nicht überschreiten. Dieser liegt aktuell bei rund 3 Cent pro Minute aus dem deutschen Festnetz und 11 Cent pro Minute aus dem Mobilfunknetz.
Klar. Aber wie soll ich Bürgergeldempfänger das einfordern? Da war es weniger Aufwand, mir von Vaddern eine seiner freien Ionos-Adressen geben zu lassen und mich mit ein paar zickigen Stellen auseinanderzusetzen.
Ich bin davon ausgegangen, dass deine Geschichte vor diesem Urteil stattfand und wollte nur darauf hinweisen, dass das mittlerweile nicht mehr zulässig ist.
Ich wünschte ich könnte da meinen eigenen Server durchjagen.
Kannst Du nicht manuell prüfen, ob Dein Server die Kriterien erfüllt?
Maßnahmen zum Schutz der Absenderadresse:
- SPF
- DKIM
- DMARC
Maßnahmen zum Schutz vor Mitlesen und Manipulation:
- DNSSEC
- DANE
- TLS 1.2
- TLS 1.3
Zusätzliche Maßnahmen (nicht gewichtet):
- kein TLS unter 1.2 zulässig
- MTA-STS
- TLS-Reporting
Ja, hab ich auch schon mit anderen Tools. Wäre halt nett das auch vom BSI zu hören.
Meine Meinung zu Mail ist, dass das eh ein kaputtes Protokoll ist, das zu einer Zeit entstanden ist, als man es noch nicht besser wissen konnte. Alle zusätzlichen Maßnahmen sind letztendlich nur Lippenstift am Schwein, man bekommt das Protokoll nicht Ende-zu-Ende sicher nach heutigen Maßstäben.
Witzigerweise wird ja aber dann für sicherheitsrevelante Dinge zum Teil auf noch unsichere Wege zurückgegriffen, wie z.B. SMS.
Meine Meinung zu Mail ist, dass das eh ein kaputtes Protokoll ist, das zu einer Zeit entstanden ist, als man es noch nicht besser wissen konnte. Alle zusätzlichen Maßnahmen sind letztendlich nur Lippenstift am Schwein, man bekommt das Protokoll nicht Ende-zu-Ende sicher nach heutigen Maßstäben.
Das ist zwar wahr, aber nicht konstruktiv. Die Chance dass die Netzgesellschaft auf was anderes umsteigt kannst du vergessen, solange dein neues Mailprotokoll keinen Support für good-old-SMTP hat. Und dann hast du all die Probleme die SMTP hat auch als Beifang.
Insofern ist es sinnvoll, zu testen ob ein Anbieter die üblichen technischen Standards erfüllt.
Das Problem, das ich hier immer sehe, ist, dass hier die Illusion aufgebaut wird, Email könnte irgendwie ein sicheres Protokoll sein. Immerhin hat das BSI z.B. Gmail die perfekte 5/7 gegeben! Oder mit weniger Witz, web.de 7/7. Nirgendwo in dem Text lese ich, dass Email nicht genutzt werden sollte, wenn es um wirklich sicher zu haltende Daten geht.
Dazu kommt noch, dass der Test, den das BSI hier macht, aus meiner Sicht zum Teil gar nicht relevant ist:
E-Mails sind immer noch der beliebteste Angriffsweg für viele gängige Methoden der Cyberkriminalität. Täter versuchen, mit Phishing-Mails Daten zu erbeuten und Schadsoftware zu verteilen. Sie fangen E-Mails auf dem Weg von Ihrem E-Mail-Postfach zum Empfänger ab - ähnlich wie ein Brief, der während der Zustellung geöffnet werden könnte. Nicht zuletzt verwenden Cyberkriminelle gestohlene Zugangsdaten, um sich in Accounts einzuloggen, mit denen sie Daten und Geld beschaffen, online betrügen oder weitere Straftaten begehen.
Meines Erachtens nach ist der gängigste Weg, dass sich Zugriff zur internen IT verschafft wird und dann E-Mail-Konten von Firmen gekapert werden. Auch Phishing lässt sich mit den Methoden nicht komplett verhindern, was aber ein Problem ist, das alle Protokolle haben, die Nachrichten von beliebiger Quelle erlauben. Das tatsächliche Abfangen von Mails wird sich allerdings für die meisten gewöhnlichen Kriminellen als schwierig erweisen. Nur die Absicherung von Accounts z.B. mit Hardware-Token ist wirklich etwas, was tatsächlich Sicherheit bringt.
Die Absicherung von E-Mail auf dem Transportweg ist ein Securitytheater. Es kann prinzipiell nicht funktionieren. Wenn man Mails so behandelt, ist das auch OK. Aktionen wie diese hier tragen aber zum Gegenteil bei.
Wat?
Diese United Internet Kacke mit voller Punktzahl?
Womit haben die sich das denn herbei bestochen? Die Server von denen sind doch DIE Spamschleudern in Westeuropa…
