Gefälschte Absenderadressen in eMails

 eMail & Co.  No Responses »
Aug 282014
 

Haben Sie auch schon eine Mail „von sich selbst“ oder von einer Absenderadresse bekommen, die angeblich aus Ihrem Unternehmen stammt, wobei die angegebene Absenderadresse sicher nicht existiert oder die/der Kollege/in Ihnen sicher keine solche Mail geschickt hat?

Die „Erfinder“ des Internet-Mailsystems waren ehrliche Leute und haben an die Ehrlichkeit ihrer Mitmenschen geglaubt. Deshalb haben Sie im Ursprung keine Möglichkeiten in das System implementiert, eine Absenderadresse zu verifizieren. Hierdurch ist es mit einfachsten Mitteln möglich, eMail-Adressen zu fälschen und Nachrichten mit diesen gefälschten Mailadressen zu versenden.

Glauben Sie also nicht bedingungslos was Sie lesen, wenn Sie eine eMail öffnen.

Selbstverständlich ist das Problem in der Internet-Community mittlerweile mehr als bekannt und es wird seit einiger Zeit an Systemen gearbeitet, solche Nachrichten mit gefälschten Absenderadressen zu erkennen und automatisch und sicher zu verwerfen. Diese Systeme müssen in die Mailserver der „empfangenden“ Mailserver implementiert (SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mails)) werden und arbeiten mittlerweile zuverlässig.

Ich werde beide Verfahren mit Vor- und Nachteilen in gesonderten Beiträgen hier in technischen Artikeln beschreiben. Implementieren können wir eins der Verfahren oder Beide in Ihrem Mailsystem jederzeit.

NSA kann verschlüsselte Nachrichten lesen – Aktuelle Presseberichte

 Allgemeines, eMail & Co.  No Responses »
Sep 062013
 

Heute ist den Medien zu entnehmen, dass die amerikanische NSA in der Lage sei, auch verschlüsselte Mails deutscher Bürger mitzuschreiben, aufzuzeichnen und zu lesen. Dies ist vollkommener Quatsch und kann so nicht stehen gelassen werden. Sind Nachrichten Ende-zu-Ende verschlüsselt, können selbst Geheimdienste diese Mails nicht in großem Stil lesen. Um verschlüsselte Mails, die mit einem Public-Key-Verfahren verschlüsselt sind, zu lesen, muss entweder der private Schlüssel des Empfängers bekannt sein oder dieser Schlüssel muss vom „Hacker“ generiert werden. Aus dem öffentlichen Schlüssel eines Empfängers lässt sich der private Schlüssel nicht generieren: Die gängigen Verfahren sind sicher; darin sind sich die Mathematiker einig.

Zum Verfahren:
Die Ende-zu-Ende-Verschlüsselung von Nachrichten basiert auf einem sogenannten Public-Key-Verfahren. Mit einem sicheren mathematischen Verfahren werden zwei Schlüssel generiert, die einmalig zueinander passen. Die beiden Schlüssel nennt man Public-Key (öffentlicher Schlüssel) und Secret-Key (geheimer Schlüssel). Eine Nachricht, die mit dem Public-Key verschlüsselt wurde, lässt sich nur noch mit dem zugehörigen Secret-Key entschlüsseln. Es gibt keinen zweiten Secret-Key aus einem anderen Schlüsselpaar, dass diese Nachricht entschlüsseln könnte.
Möchte man eine Nachricht an einen Empfänger verschlüsseln, benötigt man also dessen öffentlichen Schlüssel. Der Empfänger kann den Public-Key jedem mitteilen, der ihm eine verschlüsselte Nachricht senden möchte. Niemand ist in der Lage, mit dem Public-Key eine Nachricht zu entschlüsseln. Der Public-Key dient nur der Verschlüsselung. Der Absender wird seine Nachricht nun mit dem öffentlichen Schlüssel des Empfängers verschlüsseln und ihm diese Nachricht (z.B. per eMail) senden. Die verschlüsselte Nachricht könnte man in eine Tageszeitung drucken – sie kann nicht gelesen werden. Der Empfänger der Nachricht kann die Nachricht nun mit der Hilfe seines geheimen Schlüssels entschlüsseln und hat die Nachricht dadurch wieder im Original vorliegen – genau so, wie sie vor der Verschlüsselung ausgesehen hat.

Das Verfahren ist sicher – wo ist der Haken?
Das eventuelle Problem beim Public-Key-Verfahren liegt nicht im Verfahren selbst – es liegt beim Benutzer, speziell beim Empfänger der Nachricht. Absender und Empfänger von verschlüsselten Nachrichten mit dem Public-Key-Verfahren können sich nur dann sicher sein, dass kein Dritter die Nachricht lesen kann wenn:

  • 1. Der geheime Schlüssel wirklich geheim und niemandem Dritten bekannt ist und
  • 2. Die Schlüssellänge groß genug ist

Um eine Nachricht zu entschlüsseln, muss der geheime Schlüssel bekannt sein. Kenn man den geheimen Schlüssel nicht, so kann man verschiedene Schlüssel ausprobieren. Erwischt man dabei zufällig den geheimen Schlüssel, so kann man die Nachricht entschlüsseln. Das Verfahren des „Ausprobierens“ nennt man Brute-Force-Attacke. Dabei füttert man einen Computer mit der verschlüsselten Nachricht und lässt den Computer versuchen, die Nachricht zu entschlüsseln. Dabei wendet der so programmierte Computer nacheinander alle möglichen Kombinationen von Zeichen als Secret-Key an und testet nach jedem Entschlüsselungsversuch den Erfolg. Lässt man den Computer lange genug probieren, wird er irgendwann den geheimen Schlüssel erwischen und kann die Nachricht entschlüsseln. Die Zeit, die er benötigt hängt maßgeblich von der der Geschwindigkeit des Computers (der Anzahl der Versuche pro Zeiteinheit) und der verwendeten Schlüssellänge ab. Verwendet man einen Schlüssel mit zwei Bit (was unsinnig ist und nur als Beispiel dient) gibt es genau vier (2²) mögliche Kombinationen. Nach spätestens vier Versuchen hätte unser „Hacker-Computer“ die Nachricht also entschlüsselt. Ist die Schlüssellänge drei Bit würde er maximal 8 (2³) Versuche benötigen. In der Regel verwendet man beim Public-Key-Verfahren eine Schlüssellänge von 2048 Bit. Dies bedeutet, dass der „Hacker-Computer“ bis zu 2 hoch 2048 Kombinationen (das ist ungefähr eine 3 mit 616 Nullen) ausprobieren muss – dafür benötigen auch die Supercomputer der Geheimdienste Jahre bis Jahrzehnte. Selbstverständlich ist es möglich, die Schlüssellänge auf 4096 oder 8192 oder beliebig viele Bits zu erhöhen Die Zeit, die dann die „Hacker-Computer“ benötigen würden, wachsen exponentiell mit der Schlüssellänge.

Natürlich wissen das auch die Geheimdienste und werden nicht erst versuchen, jede verschlüsselte Nachricht zu entschlüsseln. Es wäre chancenlos bei der Menge der Mails, die durch das Internet sausen.

Das andere Problem bei dem Verfahren ist, wie schon oben angemerkt, den geheimen Schlüssel wirklich geheim zu halten. Bei der Ende-zu-Ende-Verschlüsselung ist das noch relativ leicht möglich. Man kopiert sich den Schlüssel auf einen USB-Stick, sichert ihn auf einen Zweiten, den man in einen Safe legt, und verwendet den Stick nur dann, wenn man gerade Nachrichten entschlüsseln möchte. Achtet man gut auf seine Schlüssel,, sind die Nachrichten auch gut vor den Geheimdiensten geschützt.

Anders ist das bei den großen eMail-Providern. Diese werben mit Verschlüsselung von eMail, können aber keine Ende-zu-Ende-Verschlüsselung anbieten. Die Verschlüsselung dieser Provider greift nur zwischen den Servern der Provider und die Schlüssel müssen zwingend mit auf den Servern liegen, da diese ja die verschlüsselten Mail automatisch wieder entschlüsseln müssen, um sie den Benutzern zu präsentieren. Selbstredend ist dies unsicher und hat den Namen „Verschlüsselte Nachrichten“ nicht verdient.

Automatisch verschlüsselte Mails der freien eMail-Anbieter in Deutschland

 eMail & Co.  No Responses »
Aug 092013
 

Nach der Aufdeckung der Abhöraktivitäten der NSA in Deutschland wollen web.de, t-online.de und yahoo.de automatisch verschlüsselte eMails anbieten. Als Marketing-Aufreißer für die Unternehmen nützlich, für die Sicherheit der Nachrichten der Nutzer ist eine automatische Verschlüsselung völlig ungeeignet.
Warum:
Um eine elektronische Nachricht sicher zu verschlüsseln, bedarf es eines sogenannten „Public Key“-Verfahrens. Das Public Key-Verfahren basiert auf drei Regeln (und zwei Schlüsseln):

  • 1. Einem privaten (geheimen) Schlüssel.
  • 2. Dem öffentlichen Schlüssel, den der Eigentümer des Schlüssels jedem Absender einer Nachricht „öffentlich“ zur Verfügung stellt. Dieser Schlüssel ist nicht geheim.
  • 3. Der private und der öffentliche Schlüssel sind einmalig und passen dementsprechend einmalig zueinander.

Der Absender einer geheimen Nachricht wird diese nun vor dem Absenden mit dem öffentlichen Schlüssel des Empfängers verschlüsseln. Nach dem Verschlüsseln kann die Nachricht nur noch mit dem privaten (geheimen) Schlüssel des Empfängers entschlüsselt werden. Eine andere Möglichkeit des Entschlüsselns der Nachricht gibt es nicht!
Dies bedeutet, dass selbst der Absender der Nachricht nicht mehr in der Lage ist, seine eigene Nachricht an den Empfänger zu entschlüsseln um sich z.B. die gesendetete Nachricht später nochmals anzuschauen (Gesendete Objekte). Nur der (rechtmäßige) Empfänger der Nachricht, der über den passenden geheimen Schlüssel verfügt, kann die Nachricht entschlüsseln und demnach „im Klartext“ anschauen.

Sicher verschlüsselte Nachrichten kann man nur an Empfänger versenden, dessen öffentlichen Schlüssel man beszitzt!

Über die öffentlichen Schlüssel Ihrer Kunden und Benutzer verfügen die genannten Provider nicht – die wenigsten Empfänger einer Nachricht haben überhaupt ein Schlüsselpaar. Dementsprechend hat der Versender nicht die Möglichkeit, einem solchen Empfänger eine verschlüsselte Nachticht zu senden.

Deshalb ist es den angesprochenen Providern nicht möglich, eine wirkliche Sicherheit von Nachrichten zu gewährleisten. Sie bieten werbewirksam die Leistung an, dass Mails innerhalb Ihrer Unternehemen (also zwischen den Servern innerhalb der Unternehmen) verschlüsselt durch das Internet übertragen werden. Dies sollte aber schon seit mindestens 10 Jahren zum Standard im Internet gehören.

Warum eine gute eMail-Adresse wichtig ist

 eMail & Co.  No Responses »
Jun 282013
 
Die richtige eMail-Adresse ist wichtig.

Die eMail-Kommunikation über das Internet ist für viele Unternehmer ein Segen. eMails sind schnell getippt, zugestellt und der Empfänger kann, im Gegensatz zum Telefonat selbst entscheiden, wann er die Bearbeitung startet.
Mit einer eMail-Adresse wirbt man für sein Unternehmen – ist die Domäne (der Teil nach dem „@“-Zeichen) gut gewählt, können sich Interessenten die Adresse gut merken und später Kontakt aufnehmen. Ausserdem haben Empfänger die Möglichkeit, ein www. vor der Domäne einzufügen, ins Adressfeld ihres Browers einzutragen und so auf die Website des Unternehmens zu gelangen.
Diesen Vorteil sollte man nicht leichtsinnig verspielen, indem man es sich einfach macht und Adressen von t-online, Aol, web.de, Gmx, Google oder anderen großen Mailprovidern verwendet.

  • Potentielle Kunden bewerten ein Unternehmen unterbewusst nach dem ersten Eindruck. Hat ein Unternehmen eine eigene, aussagekräftige Domäne, assoziiert der Kunde damit ein Unternehmen, dass modern und innovativ ist und sich „Mühe gibt“.
  • Die großen Provider haben Millionen von Kunden mit dementsprechend vielen eMail-Adressen. Man kann also davon ausgehen, dass die einfachen und einprägsamen eMail-Adressen vergeben sind. (Versuchen Sie doch mal info@t-online.de, service@web.de oder sale@aol.de zu registrieren).
  • Hat ein Kunde schlechte Erfahrung mit der Telekom gemacht oder sich gerade über Arcor geärgert, ist er Ihnen mit einer @t-online.de oder @arcor.de-Adresse zu diesem Zeitpunkt unterbewusst sicher nicht wohlgesonnen.

Dabei ist es so einfach und günstig, sich eine eigene Domäne registrieren zu lassen. Einen entsprechenden (virtuellen) Mailserver, mit dem Sie auch Termine und Kontakte im Team verwalten und mit dem Smartphone synchronisieren können, können Sie bei uns kostengünstig ab 10,00 EUR monatlich mieten.

Kleine Investition – Große Wirkung