E-Mail-Programme und Sicherheit
In dieser Übersicht präsentieren wir Ihnen eine kleine Auswahl aktueller E-Mail Programme und deren Unterstützung für verschiedene Sicherheitsmechanismen. Bitte beachten Sie, dass diese Liste weder vollständig ist noch irgendeiner Wertung unterliegt. Bitte scheuen Sie sich nicht, mit uns Kontakt aufzunehmen, wenn Ihnen ein Fehler auffällt oder Sie ein besonderes Programm vermissen.
Informationen zur Konfiguration verschiedener E-Mail Programme mit PGP/GPG finden Sie für Windows und für Mac OS X, technische Details zu E-Mail Protokollen oder Verschlüsselung auf der Seite Technische Infos.
Weitere Informationen zu den SASL-Eigenschaften verschiedener E-Mail Programme finden Sie auf der Seite SASL implementations (Clients).
E-Mail Programm | Betriebssystem | PGP/GPG1 | S/MIME2 | APOP3 | SMTP AUTH4 |
---|---|---|---|---|---|
Microsoft Outlook | Windows | ja | ja | nein | PLAIN |
Microsoft Outlook Express | Windows | ja | ja | nein | PLAIN |
Qualcomm Eudora | Windows | ja | kommerzielle Plugins7 | ja | CRAM-MD5 |
The Bat! | Windows | Plugin | ja | ja | CRAM-MD5 u.a. |
Pegasus Mail | Windows | PMPGP8 | PMSMIME8 | ja | CRAM-MD5 u.a. |
Netscape Mail | Linux/UNIX, Windows, Mac OS | Enigmail | ja | ja | CRAM-MD5 u.a. |
Mozilla Mail, Thunderbird | Linux/UNIX, Windows, Mac OS | Enigmail | ja | ja | CRAM-MD5 u.a. |
pine | Linux/UNIX | pgp4pine | nein | n/a5 | n/a5 |
mutt | Linux/UNIX | ja | ab Version 1.5 | n/a5 | n/a5 |
Gnus | Linux/UNIX,Windows | ja | ja | n/a5 | n/a5 |
Sylpheed | Linux/UNIX | GPGME | nein | ja | ja |
Mac OS X Mail | Mac OS X | GPGMail | ja | ja | CRAM-MD5 u.a. |
Microsoft Entourage | Mac OS X | EntourageGPG | nein | ja6 | CRAM-MD5 |
1 Die vorgestellten E-Mail Programme setzen ein installiertes PGP/GPG voraus (Infos und Download)
2 RFC 2633 und RFC 2632
3 RFC 1939 – weitere Infos unter Weitere Infos / E-Mail Protokolle
4 RFC 2554 – PLAIN versendet Passwörter im Klartext.
5 Unter Linux/UNIX werden E-Mails üblicherweise nicht vom E-Mail Programm versendet, sondern vom lokalen Mailsystem (z.B. sendmail/fetchmail).
6 Entourage verwendet standardmäßig APOP
7 S/MIME-Unterstützung ist nur über kommerzielle Plugins möglich. Infos
8 Weitere Plugins für Pegasus Mail unter http://www.dendarii.co.uk/FAQs/pmail-addons.html
Warum nicht SSL?
Während SSL (Secure Sockets Layer) im WWW als Sicherheitsprotokoll (HTTPS) eine bedeutende Rolle spielt, stellt die Verwendung von SSL-basierten E-Mail Protokollen (z.B. POPS) keine ausreichende Sicherheitsmaßnahme dar. Im Gegensatz zum WWW, in dem über SSL eine verschlüsselte End-zu-End-Kommunikation möglich ist, sichern SSL-basierte E-Mail Protokolle lediglich Teilstrecken des E-Mail Versandes (bei POPS z.B. nur das Abholen von E-Maila beim POP3-Server des Providers). Der zu schützende Text einer E-Mail kann nur durch Verschlüsselung (PGP oder S/MIME) adäquat gesichert werden.
Beim Abholen von E-Mails (POP3) und beim Versenden (SMTP) sollte die Aufmerksamkeit im Wesentlichen dem Schutz des Passwortes gelten. Dies ist durch die Verwendung von APOP oder AUTH CRAM-MD5 ausreichend gewährleistet.
Bei der Verwendung von IMAP werden E-Mails auf dem Server gespeichert und vorgehalten. Anders als bei POP3 dient der Mailserver hier nicht als Zwischenspeicher, von dem E-Mails einmal abgeholt und danach gelöscht werden. IMAP ermöglicht den bequemen Zugriff auf archivierte E-Mails von einem beliebigen Arbeitsplatzrechner und sollte daher immer über SSL gesichert werden (IMAPS).
Generell spricht bei der Kommunikation über POP3 und SMTP nichts gegen die Verwendung von SSL, bedenken Sie aber bitte die mangelhafte Absicherung. Verwenden Sie beim Versenden von E-Mails mit sensitiven Inhalten immer ein aktuelles Verschlüsselungsverfahren (PGP oder S/MIME).
Verschlüsselung von Viren und Würmern
Unterstützt durch E-Mail Programme, die tief im Betriebssystem verankert sind und über komplexe Skriptverarbeitungssysteme verfügen (z.B. Outlook und Outlook Express), verbreiten sich Viren und Würmer vom Laien unbemerkt über teilweise automatisch versendete E-Mails.
Bitte beachten Sie, dass die Verschlüsselung von E-Mails nicht nur deren Inhalt vor dem Lesen durch Unbefugte schützt, sondern u.U. auch unfreiwillig angehängten »bösartigen Code« (malicious code, also Viren oder Würmer) verschlüsselt und so unbemerkt an den Virenscannern der Mailserver (sofern vorhanden) vorbeischleust.
Verfügt Ihr Provider (oder der Provider Ihres Kommunikationspartners) über einen Virenscanner für durchgehende E-Mails, können unverschlüsselte kontaminierte Nachrichten erkannt und isoliert werden. Verschlüsselungsverfahren wie PGP oder S/MIME verhindern dieses serverseitige Erkennen von Viren und Würmern sehr effektiv. Lediglich lokale Virenscanner (bei Absender und Empfänger) können die dort unverschlüsselt vorliegenden E-Mails auf malicious code untersuchen.
Um die dadurch entstehenden Probleme einzugrenzen, empfehlen wir folgende Strategien:
- Verzichten Sie auf den Einsatz von E-Mail Programmen, die auf Betriebssystemfunktionen zugreifen können und/oder über komplexes Scripting verfügen (Durch einen generellen Verzicht auf derartige Programme könnte die Anzahl verbreiteter Viren und Würmer drastisch reduziert werden.).
- Verwenden Sie Verschlüsselung immer willentlich (keine automatische Verschlüsselung).
- Signieren Sie Ihre E-Mails digital (die Signatur erfordert i.d.R. die Eingabe eines Passwortes und sollte nicht automatisiert werden).
- Verwenden Sie einen lokalen Virenscanner mit aktuellen Virensignaturen.
- Arbeiten Sie mit einem Betriebssystem, das eine strenge Rechteverwaltung besitzt und Benutzern keinen schreibenden Zugriff auf systemkritische Komponenten erlaubt.
- Sichern Sie regelmäßig Ihre Daten.
Ein guter Einstiegspunkt zu Informationen über Viren und Würmer sind die heise Security Anti-Virus-Bookmarks von heise online.