RFC8314 verpflichtet zum verschlüsselten Mail-Versand

RFC8314 verpflichtet zum verschlüsselten  Mail-Versand

Der RFC8314 gibt Empfehlungen für E-Mail-Anbieter zur Absicherung der Kommunikation im Sinne der E-Mail-Benutzer.

Darin wird für alle Mail Protokolle IMAP, POP3, SMTP die implizierte/unbedingte TLS-Verschlüsselung vorgesehen. Darunter versteht man, dass die Verschlüsselung bei Verbindungsaufbau erfolgt und nicht nach Verbindungsaufbau durch einen Protokoll-Befehl. Bei IMAP ist die implizierte Variante schon länger üblich. Das kommt jetzt auch für SMTP. Das dort übliche STARTTLS ist auf dem für die implizierte SMTP TLS Variante neu zugeordnete TCP Port 465 nicht mehr nötig. Dort muss die Verbindung mit TLS aufgebaut werden.

Klartext Services gelten damit ebenso wie SSL2/3 und TLS 1.0 als veraltet in der E-Mail-Kommunikation und sollten bald nicht mehr angeboten werden.

SubmissionSecure auf TCP Port 465

Etwas Ungereimtheiten gibt es noch mit dem neuen SMTP TCP Port 465 (submissions). Dieser (smtps) wurde schon einmal als veraltet deklariert. Ganz nachvollziehbar steht dazu auf Wikipedia:

"Ursprünglich hatte die Internet Assigned Numbers Authority Anfang 1997 den Port 465 für SMTPS registriert. Ende 1998 wurde dies widerrufen, als STARTTLS spezifiziert wurde. Mit STARTTLS kann derselbe Port ohne TLS und mit TLS genutzt werden. Für SMTP wurde das als besonders wichtig erachtet, weil Clients über dieses Protokoll auch fremde Server ansprechen, von denen sie nicht wissen können, ob sie einen separaten Port für TLS bieten. Im Jahr 2001 wurde Port 465 für URL Rendezvous vergeben, das zu Source Specific Multicast für Audio und Video gehört. SMTPS wurde aber weiterhin auf Port 465 und außerdem auf Port 587 angeboten. Port 587 mit ESMTP und zwingender Authentifizierung ist Internetstandard."

Auf Port 465 ist es vor allem Internet Providern möglich aus dem eigenen Netz einen Versand ohne Authentifizierung zu ermöglichen. Ansonsten unterscheidet er sich jetzt durch den RFC durch die implizierte TLS Verbindung vom Port 587 der erst bei der Authentifizierung durch STARTTLS auf verschlüsselte Verbindung wechselt.

Manchmal scheint es da aktuell Probleme zu bereiten Software zu überreden bei SMTP eine implizierte TLS Verbindung aufzubauen. Der Port 587 steht aber weiterhin zur Verfügung.

Mailprogramme verwenden Port 465 oder 587

Die sogenannten Submission von Mailprogrammen (MUA) wird auf den Ports 465 oder 587 gemacht. Diese Ports sind von E-Mail-Providern dafür optimiert und sollten, wenn verfügbar, bevorzugt verwendet werden.

Alles beim Alten auf Port 25

Der SMTP Port 25 kann dann sogenannten Mail Transfer Agents vorbehalten bleiben und ist Zugangspunkt für nicht authentifizierten E-Mail-Verkehr. Das ist überwiegender Zustellungs-Verkehr von fremden Domains und Netzen.

Zur Sicherstellung der Zustellung und Abwärtskompatibelität bleibt auf Port 25 daher alles beim Alten.

Mail User Agents sollen sicherer werden

MUAs sind hauptsächlich diverse E-Mail-Programme wie Mozilla Thunderbird u.a.

So sollen diese einmal nicht auf unverschlüsselte Verbindungen downgraden bzw. ausweichen, wenn eine verschlüsselte Verbindung vorhanden war.

Unterstützung von TLS 1.1 oder besser ist vorgesehen.

Weiter Schlüssel Zertifikate verpflichtend validieren und vorhandenes Pinning beachten.

Außerdem sollen sie dem Benutzer über die SRV Einträge im DNS von Zeit zu Zeit vorschlagen auf die vom Provider bevorzugte Servereinstellung umzustellen. Dazu ist eine Signierung des DNS mit DNSSEC verpflichtend. Nur so kann man von unveränderten, authentischen Daten im DNS ausgehen.

E-Mail hat Zukunft

Schreib mir doch mal wieder... E-Mail wird somit auf die Zukunft vorbereitet. E-Mail ist dezentral und standardisiert. Bei einem vernünftigen Mail Provider liegen E-Mails sicher, werden sicher übertragen und ebenfalls nicht zu Werbezwecken ausgelesen. Es hat jeder in der Hand welche E-Mail-Adresse er/sie/es verwenden möchte.

Notwendige Verbesserung von Mailprogrammen

Ich knüpfe an meinen vorherigen Artikel an... Dort kritisierte ich die Verbreitung der gekapselten Messengerdienste.

Ein weiterer Grund, dass diese sich so verbreiteten ist die umständliche Befüllung von E-Mails in üblichen Programmen. Neue E-Mail... Absender auswählen... Empfänger eintragen... Betreff... Text... Absenden. Beim Messenger ist das Empfänger auswählen... Text... Absenden.

Eigentlich wäre es ein Leichtes E-Mail-Programme mit viel mehr Komfort für den Nutzer bereitzustellen. Wo sind die (konfigurierbaren) Buttons für häufige Empfänger, der Betreff könnte automatisch aus dem geschriebenen Text erkannt werden und ein anknüpfen an vorausgehende Kommunikation stattfinden. Auch eine Funktion zum Aushandeln von Echtzeit-Kommunikation per WebRTC mit Audio/Video könnte implementiert werden.

Die Technologie gibt es her und das alles mit offenen Standards und Datenhoheit.