Die einfache Antwort: Ja, ist wie eine Postkarte kann jeder lesen
Aber wie das mit einfachen Antworten immer ist, sie stimmen eigentlich nie so ganz
Wo sind nun die Probleme, gehen wir nach dem Standardfall
- SSL / TLS
Bei einem ordentlich konfiguriertem Mailsystem sollte die SMTP (Simple Mail Transfer Protocol) Verbindung mit TLS Zertifikaten gesichert sein, welche von einer vertrauenswürdigen CA signiert wurden (dazu später mehr), zeitgemäße verfahren und schlüssellängen verwenden
Somit wäre die Verbindung zwischen deinem PC, deinem Mailserver und dem Empfänger Mailserver abhörsicher und zwar grundsätzlich auf dem selben Niveau wie beim online Banking
Beim Abruf der E-Mails durch den Empfänger PC kommt nun IMAP (Internet Message Access Protocol) oder POP3 (Post Office Protocol) hier gilt das Gleiche
In der Praxis ist mir leider schon oft begegnet das zwar ordentlich sichere Zertifikate verwendet werden, dieser aber leider dann selbst signiert sind (also ohne CA und somit nicht überprüfbar) und das viele Mailserver und Clients die Zertifikate tatsächlich nicht überprüfen und oft auch unverschlüsselte Kommunikation zulassen - Vertrauensfrage
Auch wenn die Verbindungen (SMTP/IMAP) verschlüsselt erfolgen, so gilt dies nicht für die E-Mail selbst, daher die E-Mail kann von deinem Mailserverbetreiber und vom Betreiber des Empfänger Mailserver gelesen werden
Wenn du nun eine E-Mail mit deinen persönlichen Daten von deinem GMail Konto an beispielsweise das Arbeitsamt schickst, kann nun GMail diese lesen, die IT vom Arbeitsamt und dein Sachbearbeiter, ob dies nun ein Problem ist muss jeder für sich wissen, den letzten beiden musst du so oder so vertrauen, aber ob du GMail genug vertraust ist deine Sache
Für dieses Problem gibt es im Grunde zwei Lösungsansätze PGP und S/MIME dazu schreib ich evtl. mal was eigenes - Beschissene Mailserver Konfiguration
E-Mail ist ein komplexes zusammen Spiel aus verschiedenen Systemen das aus der IT Steinzeit stammt, dem entsprechend ist das ganze wie so oft in der IT evolutionär gewachsen und als Administrator willst du nicht ständig zu hören kriegen das irgendwelche Mails nicht ankamen
Ich selbst habe das auch schon erlebt beim Kunden man filtert direkt am Mailserver nach zeitgemäßen Standards SPAM und SCAM raus und nach zwei Tagen steht der Chef auf der Matte weil die Partnerfirma aus Singapur keine E-Mails mehr an uns senden kann, nach kurzer Analyse stellt sich raus deren Mailserver ist beschissen konfiguriert
Nun bist du aber schuld weil vorher gings ja - Vertrauenswürdigkeit der Clients
Die Vertrauenswürdigkeit der Endgeräte (PC, Laptop, Smartphone) musst du bei jeder Kommunikation in frage stellen egal ob E-Mail, Whatsapp, Telegramm - Vertrauenswürdigkeit der CA (Certificate Authority)
Wenn wie oben beschrieben, ordentlich TLS verwendet wird kann man schon eine hohe Sicherheit erlangen, diese steht und fällt aber mit dem vertrauen in die CA
Eine CA signiert mit ihrem Zertifikat meist gegen Geld dein Zertifikat und stellt so sicher das die Systeme prüfen können ob dein Zertifikat echt ist
Mal angenommen ein Staat würde druck auf eine CA ausüben, jemand der bei der CA arbeitet würde erpresst oder er selbst gar kriminell sein dann könnte hier ein gefälschtes Zertifikat ausgestellt werden
Und somit wäre es ein leichtes sich in die Kommunikation einzuklinken
An dieser stelle setzt DANE (DNS-based Authentication of Named Entities) an was eine zusätliche Sicherheitsschicht über den für die Domain zuständigen DNS Server bildet
Wie kann man die Situation verbessern, unsere Politische Forderung muss sein ein Gesetz/eine Verordnung ähnlich der DSGVO zu erlassen welche vorschreibt das alle öffentlich erreichbaren Mailserver in der EU verbindliche Mindeststandards umsetzen müssen, diese Mindeststandards wären jährlich zu aktualisieren von Behörden wie BSI (Bundesamt für Sicherheit in der Informationstechnik) oder ENISA (Europäische Agentur für Netz- und Informationssicherheit)
Dazu kämen dann wiederum Bußgelder und automatisierte Tests durch das BSI bzw. ENISA bzw. die jeweilige Landesorganisation (bei anderen EU Ländern), damit wären dann auch Betreiber von Mailservern weltweit gezwungen diese nach aktuellen Standards zu betreiben da sonst keine Kommunikation mit Mailservern in der EU möglich ist
Wer jetzt denkt oh aber solche Tests das macht bestimmt viel Arbeit, dem möchte ich zwei Websites an die Hand geben die genau das machen
https://www.ssllabs.com/ssltest/
Testet ruhig mal selbst wie sicher eure Mailserver sind
