TLS 1.2 bei Mails

[Ratsuchender02]

Wenn ich über TLS 1.2 mit meinem Mailpartner kommuniziere, dann ist die Mail selbst verschlüsselt.

Wenn ich an die Mail jetzt aber z. B. ein unverschlüsseltes Word- oder PDF-Dokument oder jpg dranhänge als Anhang und die Mail dann versende, ist der Anhang dann auch automatisch über TLS 1.2 verschlüsselt?

Ich meine nicht...

 

[BlubbsDE]

Nein, die Mail ist nicht verschlüsselt. Die Mail bleibt unverschlüsselt. Nur die Übertragung geschieht verschlüsselt. Das gleiche gilt für die Anhänge.

 

[Ratsuchender02]

Ja, das meine ich. Die Mail ist bei der Übertragung verschlüsselt und nicht durch Dritte einsehbar.
Ist der Anhang dann auch gegen Einsicht von Dritten geschützt, auch, wenn er vom Absender vorher nicht verschlüsselt wurde?

 

[forceafn]

Bei der Übertragung Ja. Auf dem Mailserver nicht.

 

[Ratsuchender02]

Der Anhang der Mail (jpg, PDF usw.) ist bei der Übertragung auch automatisch verschlüsselt?

 

[forceafn]

Ja, hab ich doch gerade geschrieben.

 

[Helge01]

Wenn deine Verbindung zum Mailserver verschlüsselt ist, dann ist der komplette Mailverkehr von deinem Client zum Mailserver über das Internet verschlüsselt. Dein kompletter Mailverkehr wird aber bei deinem Mailprovider wieder entschlüsselt und auf deren Servern unverschlüsselt abgelegt. Um das zu verhindern gibt es zusätzliche E2E Verschlüsselung über PGP oder S/MIME. Das ist um so wichtiger, da man nicht weiß ob der Client der die Mail erhält auch verschlüsselt zum Mailserver kommuniziert. Gibt es zwar kaum noch aber wenn, dann wäre deine Mail auf dem Mailserver und auf dem Weg zu deinen Mail Partner unverschlüsselt.

@forceafn Deinen Befehl im Avatar werde ich gleich mal im Terminal auf einer Linux Maschine eingeben.

 

[cloudman]

Wenn TLS verwendet wird ist alles bis zum ersten smtp server verschlüsselt. Allerdings kannst du nicht sicher sein ob der smtp server deines mail provider auch wieder TLS verwendet um die mail an den Empfänger smtp zu schicken.
Also wenn der Inhalt wirklich sensibel ist reicht TLS nicht

 

[Ratsuchender02]

Ja, hab ich doch gerade geschrieben.

Ja, das habe ich gerade gelesen.

Ich wollte nur noch mal die anderen hier fragen und eine zweite Meinung einholen.

Ist ja nicht so, dass sich in Foren immer alle einig sind...

 

[Bob.Dig]

Ist ja nicht so, dass sich in Foren immer alle einig sind...

Apropos, gibt es irgendwo einen Generator für Accounts auf CB?

 

[Ratsuchender02]

. Das ist um so wichtiger, da man nicht weiß ob der Client der die Mail erhält auch verschlüsselt zum Mailserver kommuniziert. Gibt es zwar kaum noch aber wenn, dann wäre deine Mail auf dem Mailserver und auf dem Weg zu deinen Mail Partner unverschlüsselt.

In unserem Fall weiß ich das, da Emails nur an Empfänger versandt werden, die auch TLS 1.2 unterstützen (GMX, web.de,) ansonsten wird der Versand verweigert.

Genauso werden nur Mails empfangen, wenn der Absender auch TLS 1.2 unterstützt.

 

[forceafn]

In unserem Fall weiß ich das, da Emails nur an Empfänger versandt werden, die auch TLS 1.2 unterstützen (GMX, web.de,) ansonsten wird der Versand verweigert.

Genauso werden nur Mails empfangen, wenn der Absender auch TLS 1.2 unterstützt.

Das glaubst auch nur Du

 

[Helge01]

@forceafn Das funktioniert schon. In Firmenumfeld kommunizieren die Clients nicht direkt mit dem Mailprovider, sondern über den eigenen Firmen Mailserver. Diesen kann man dann auf TLS required einstellen.

 

[Ratsuchender02]

Das glaubst auch nur Du

Nein, auch andere...

 

[el.com]

Was er damit meint ist, dass du keine Kontrolle darüber hast wie andere Mailserver die Mails weiterleiten. Wenn du deinen eigenen Mailserver so konfiguriert hast, dass er nur mit Servern kommuniziert die TLS unterstützen, ist das schön und gut. Wenn aber der Mailserver auf der Gegenseite die Mail an einen zusätzlichen Server (oder Client) weiterleitet, kann das durchaus auch unverschlüsselt passieren. Darauf hast du keinen Einfluss.

 

[BeBur]

Das geht ja so:
Sender *--> ServerA --> ... --> ServerZ *--> Empfänger
Und nur die Verbindungen mit * sind dann auch wirklich mit TLS verschlüsselt Über den Rest weiß man es nicht.
ServerA und ServerZ können die E-Mail + Anhang natürlich ebenfalls lesen. Nur damit es keine Missverständnisse gibt. Geschützt ist nur der Weg dahin bzw. von da.

 

[Helge01]

Ich kenne das im Firmenumfeld so, dass man nur Mailserver die man kennt zulässt und wo TLS required eingestellt ist. Da kann man schon davon ausgehen das die Verbindung verschlüsselt ist, sonst hat man aber keinen Einfluss darauf.

 

[cloudman]

... abgesehen davon willst du so eine Entscheidung nicht aufgrund von Ratschlägen in einem Forum treffen.
Man sollte auch nicht annehmen dass alle beteiligten Server richtig konfiguriert sind auch wenn man es erwarten sollte.

Im Gegenteil wenn Security in dem Anwendungsfall wichtig ist sollte man davon ausgehen, dass irgendjemand in Kette geschlampt hat. Wenn deine geheimen information doch geleakt werden nützt ein '... Aber der mail provider hätte doch dafür sorgen müssen' wenig

Ich hoffe es ist mehr Neugier und nicht die Notwendigkeit sicher zu sein dass die Mails definitiv verschlüsselt sind bis sie beim Empfänger ankommen (sind sie nicht)

 

[Ratsuchender02]

und nicht die Notwendigkeit sicher zu sein dass die Mails definitiv verschlüsselt sind bis sie beim Empfänger ankommen (sind sie nicht)

Ich weiß.

Was ist heute schon 100% sicher?
Selbst ein iPhone kann heute von einer israelischen Firma geknackt werden...

 

[BeBur]

Also meine Überlegung wäre:

TLS 1.2+ o.ä. Hop-To-Hop
a) kostet Geld
b) ist komplett unsichtbar für den Nutzer
und daher würde ich davon ausgehen, dass
c) werden die meisten es vermutlich nicht verwenden