SSL-Verschlüsselung beim E-Mail-Verkehr

Einige Provider lassen die Nutzung von Postfächern mit IMAP/POP3 und SMTP nur über eine SSL-Verschlüsselung zu. Wie wir das handhaben, beschreiben wir in diesem Artikel.

Wird die Verschlüsselung des E-Mailverkehrs bei domainFACTORY erzwungen?

Nein. Wir empfehlen die Nutzung einer SSL-Verschlüsseung beim E-Mailverkehr, erzwingen es aber nicht.

Was ist SSL-Verschlüsselung beim E-Mail-Verkehr?

Nutzt man ein E-Mailprogramm wie z.B. Outlook oder Thunderbird, verbindet sich dieses vom lokalen Computer zum Mailserver bei uns im Rechenzentrum.
Webmail ist ausgenommen, da es sowieso immer eine verschlüsselte Verbindung verwendet.

Öffnet man also das Mailprogramm und ruft die Mails ab, fragt das Mailprogramm beim Server in unserem Rechenzentrum nach, ob neue E-Mails vorhanden sind. Ist das der Fall, holt das Mailprogramm die Nachrichten ab. Dem Nutzer am Rechner werden dann die Mails im E-Mailprogramm angezeigt.

Beim Versand einer E-Mail funktioniert das ähnlich:
Man schreibt eine E-Mail und klickt auf „Senden“. Das Mailprogramm gibt die E-Mail dann zu unserem Server im Rechenzentrum, der diese dann an den Server des Empfängers weitergibt.

E-Mailverkehr

Das E-Mailprogramm holt sich also E-Mails vom Server bei uns ab und sendet Mails zum Server. Das erfolgt bei einer „normalen“ Nutzung unverschlüsselt.

Würde jemand die Mails abfangen, wären sie für den Angreifer lesbar.
Werden die Mails verschlüsselt zwischen dem E-Mailprogramm und dem Server übertragen, wären sie unbrauchbar, wenn sie unterwegs „abgefangen“ werden würden.
Daher empfehlen wir die Nutzung einer SSL-Verschlüsselung.

Wie genau eine SSL-Verschlüsselung technisch funktioniert, kann z.B. hier nachgelesen werden.

Wie können E-Mails mit SSL-Verschlüsselung empfangen und gesendet werden?

Damit das E-Mailprogramm sich zum Server verbinden kann, müssen die Servernamen für Posteingang und Postausgang in das E-Mailprogramm eingetragen werden.

Um SSL-Verschlüsselung beim E-Mail-Verkehr zu verwenden, muss man die Servernamen unserer verschlüsselten Server eintragen.

Posteingang

Der Servername für den Posteingang lautet:

sslin.df.eu

Zusätzlich muss die Option „SSL verwenden“ angehakt sein. (Die Bezeichnung der Option kann auch etwas anders lauten, z.B. nur „SSL“ oder „SSL aktivieren“.)

Aktiviert man die Option zur Nutzung von SSL, ändern die meisten Mailprogramme den Port automatisch korrekt wie folgt:

IMAP: 993
POP3: 995

Wird weiterhin als Port für den Posteingang 143 (IMAP) oder 110 (POP3) angezeigt, muss der Port von Hand wie oben beschrieben geändert werden.

Postausgang

Der Servername für den Postausgang lautet:

sslout.df.eu

Auch hier muss die Option für die Nutzung von SSL angehakt werden.

Als Port für den Postausgang tragen Sie bitte folgendes ein:

SMTP: 465

(Wurde bislang eine unverschlüsselte Verbindung genutzt, sind Port 25 oder 587 eingetragen, an dieser Stelle muss der Port auf 465 geändert werden.)

Detaillierte Anleitungen zur Einrichtung von SSL im E-Mailprogramm

Detaillierte Anleitungen zur Einrichtung von E-Mailaccounts mit verschlüsselter Verbindung in den gängigsten E-Mailprogrammen haben wir hier, in unseren FAQ, bereitgestellt.
Unser Kundenservice hilft dabei natürlich auch immer gerne weiter!

End of article

Anna Philipp

Über den Autor

Anna Philipp

Anna arbeitet seit 2006 bei DomainFactory. Als Social Media und Content Manager vertritt sie DF in den sozialen Netzwerken (Facebook, Twitter, Googleplus und natürlich im DF-Blog). In ihrer Freizeit findet man Anna - sofern sie mal nicht online ist - höchstwahrscheinlich zwischen Rührschüsseln und Schneebesen am Backofen.

31 Kommentare

Bitte füllen Sie das Captcha aus : *

Reload Image

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Simon
    Simon - 7. März 2014 um 12:01 Uhr

    Bringt die Verschlüsselung überhaupt was, wenn die Email NACH eurem Server dann in Klartext durch die Welt geht oder wird die Email auch danach noch verschlüsselt übertragen?

  • Arne
    Arne - 7. März 2014 um 12:22 Uhr

    @Simon
    Ob die Mail „danach“ verschlüsselt übertragen wird, hängt vom empfangenden Mailserver ab. Domainfactory versucht zunächst, eine verschlüsselte Verbindung zum empfangenden Mailserver aufzubauen. Sollte das fehlschlagen (weil der Empfänger bspw. keine Verschlüsselung unterstützt), wird eine unverschlüsselte Verbindung genutzt.

  • Florian
    Florian - 7. März 2014 um 12:32 Uhr

    Deswegen E-Mails immer mittels S/MIME oder GPG verschlüsseln. Die Einrichtung ist gar nicht so schwer.

    Leider nutzen aber in meinem Umfeld viel zu wenige diese Möglichkeit.

  • Andreas G.
    Andreas G. - 7. März 2014 um 12:35 Uhr

    Sofern die anderen Mailserver auch SSL Verschlüsselung unterstützen wird die Emails verschlüsselt übertragen.
    Tun sie das nicht ist sie im Klartext unterwegs.

    Transportverschlüsselung ersetzt keine Ende zu Ende Verschlüsselung. Daher sollte man wenn möglich immer seine Emails selbst verschlüsseln z.B. mit PGP oder S/MIME.

  • Denis Jörger
    Denis Jörger - 7. März 2014 um 14:13 Uhr

    Ich hab in letzter Zeit häufiger das Problem das ich eine Fehlermeldung wegen einer Zeitüberschreitung beim Verbindungsaufbau zu sslmailpool.ispgateway.de erhalte. Hatte ich früher quasi nie, in den letzten 1-2 Monaten dagegen häuft es sich.

  • Steffen Gebert
    Steffen Gebert - 7. März 2014 um 15:18 Uhr

    In der Hinsicht bin ich etwas von dF enttäuscht. Wurde vor wenigen Tagen noch über den Sicherheitsgewinn durch das Telefonpasswort gebloggt, hier zeigt sich das Gegenteil.
    Zweifelsohne ist die Einführung einer erzwungenen SSL/TLS-Verschlüsselung ein immenser organisatorischer Aufwand (für dF wegen Kundenaufklärung und (gefühlt) für die Nutzer von Mailadressen, die nicht verstehen wollen, warum das wichtig ist).

    Trotzdem finde ich es fatal, wie viele Leute mit ihren Smartphones sich in öffentliche, unverschlüsselten WLANs einloggen und fröhlich ihre Mails checken – über den Prozentsatz, wie viele davon wirklich Mails verschlüsselt abrufen, und bei wie vielen das Passwort im Klartext durch die Luft geht kann ich nur spekulieren, aber ich gehe davon aus, dass man da bequem massenhaft an jedem Hotspot Daten abgreifen kann.

    Das einzige was den 95% der technisch nicht versierten bzw. sich für Verschlüsselung nicht interessierenden Kunden/Nutzer da helfen würde wäre ein Provider, der endlich mal erzwingt, Verschlüsselung zu aktivieren.
    Von daher Hut ab vor den Großprovidern, die diese organisatorische Hürde auf sich nehmen! Schade, dass dF diesmal nicht vorne dabei ist.

    Steffen

  • Knut Pankrath
    Knut Pankrath - 7. März 2014 um 16:24 Uhr

    Mal wieder ein guter Beitrag, der mich darin bestätigt, den richtigen Dienstleister gewählt zu haben. Nach der – letztlich nicht notwendigen – Überprüfung der Einstellungen die Abrufzeit von 10 auf 15 Minuten hoch gedreht. Das werde ich nicht merken und es erzeugt weniger nicht so notwendigen Traffic.

  • Anna
    Anna - 7. März 2014 um 16:34 Uhr

    @Denis Jörger – sind die Ports richtig eingestellt? Haben Sie vielleicht eine Firewall, die den Abruf stört?
    @Knut, danke schön, das freut uns! 🙂

  • Adrian
    Adrian - 7. März 2014 um 18:17 Uhr

    @Simon: Auf jeden Fall ist der Transport schon mal auf dem Weg zu df verschlüsselt, was das Mithören zB in offenen WLAN verhindert.

  • jan
    jan - 7. März 2014 um 19:05 Uhr

    Ihr Beitrag mag zwar inhaltlich völlig korrekt und stimmig sein, aber er suggeriert den gleichen Bullshit den allen voran die grossen Massenmailanbieter verbreiten. Das hätte ich von df nicht erwartet.

    Statt dessen hätte ich erwartet, dass Ihr sagt, was wirklich dran ist, nämlich dass dadurch hauptsächlich das Passwort zum Mailaccount und die email auf einem sehr kleinen Weg durchs internet sichert, die aber sonst problemlos für alle lesbar ist.

    Natürlich ist Aufklärung nicht Eure Aufgabe und dieser Blog ist nur eine Werbeplattform. Entschuldigt meinen Kommentar.

  • Stefan Berger
    Stefan Berger - 7. März 2014 um 20:00 Uhr

    Ihr könntet ja – im Hinblick auf den Aufhänger dieses Artikels – auch einmal erklären, warum ihr die Verschlüsselung NICHT erzwingt und damit wenigstens für etwas mehr an Sicherheit sorgen würdet, bzw. Euren Nutzern die Entscheidung abnehmt.

    Eure Größe und damit verbundener Support kann es nicht sein, denn die „einigen Provider“ sind nochmal deutlich größer als DF und scheinen die möglichen Nachfragen nicht zu scheuen..

    Aber es fügt sich ins Bild, mit den Kennworten für E-Mail Postfächer und FTP/SSH-Logins, die bei DF auch im Jahr 2014 im Klartext bzw. reversibel verschlüsselt gespeichert werden und worauf seit mehreren Jahren von Euren Kunden hingewiesen wird aber hier nichts unternommen wird.

  • Steffen Gebert
    Steffen Gebert - 7. März 2014 um 20:25 Uhr

    Mein Kommentar wird wohl nicht freigeschaltet?

  • Sebastian Brinkmann
    Sebastian Brinkmann - 7. März 2014 um 22:26 Uhr

    Ja, spannende Frage, warum DF die SSL-Verbindung nicht zur Pflicht macht. Und, Antwort? 🙂

  • Christoph Schmid
    Christoph Schmid - 7. März 2014 um 23:14 Uhr

    Hi.
    Mich würde auch interessieren,was DF zu dem Kommentar von Steffen Gebert sagt…

  • Nils Dornblut
    Nils Dornblut - 8. März 2014 um 07:56 Uhr

    Etwas in diesem Bereich zu erzwingen ist kommunikations- und ablauftechnisch problematisch. Vor einigen Monaten wurde eine sehr alte Methode SMTP-after-POP abgeschaltet. Mit großem Aufwand haben wir dies kommuniziert und viele Anleitungen dazu geschrieben, um das entsprechend abzumildern.

    Dieser Fall zeigte, dass es massive Ängste gibt, dass man plötzlich ohne Kommunikationsmöglichkeit dasteht und es gab entsprechend viele Anfragen dazu. Es wäre natürlich denkbar, dass auch für Postfächer zu machen, nur wären hier die Auswirkungen vermutlich um ein Vielfaches größer, da hier noch viel mehr Nutzer betroffen wären. Von daher muss ein solcher Schritt sehr überlegt sein und die Notwendigkeit allgemein anerkannt werden. Es geht uns nicht darum, dass wir Angst vor den Anfragen hätten. Diese wäre ja recht gleich. Allerdings sehen viele Kunden das nach unseren Erfahrungen als Eingriff in Ihren persönlichen Bereich und würden kurz gesagt uns das übel nehmen. Auch würden vermutlich viele Kunden nicht verstehen, dass dies nicht beispielsweise pro Postfach oder Auftrag einstellbar ist aus technischen Gründen. Einen solchen Schritt ohne jedwede Alternative anzuberaumen ist sehr problematisch und würde von vielen Kunden als negativ eingestuft werden.

    Bitte betrachten Sie auch, dass bei den diesen Schritt aktuell durchführenden Anbietern vermutlich der überwiegende Teil der Kunden dort keine E-Mail-Clients, sondern eher ein Webmail nutzen. Das entschärft die Situation natürlich recht deutlich und macht einen Vergleich zu einem Webhoster wie uns schwierig.

    Wir werden natürlich schauen, ob wir solche Schritte für die Zukunft als Option in Betracht ziehen. Hierfür muss aber in jedem Fall eine umfassende Aufklärungskampagne erfolgen, wie wir es beispielsweise hier im Blog machen.

  • Steffen Gebert
    Steffen Gebert - 8. März 2014 um 09:29 Uhr

    Sicher, das sind ja genau die Hürden, die ich den anderen Providern groß anrechne, dass sie sie endlich versuchen zu nehmen.
    Die Entscheidung muss man eben halt mal treffen, wie sehr man seinen Kunden etwas sinnvolles aufzwingt, und wie sehr man die Dummheit hinnimmt.

  • mar-e
    mar-e - 8. März 2014 um 12:05 Uhr

    Auch ohne den unverschlüsselten Zugang abzuschalten ließe sich eine Menge machen indem man offensiver informiert.

    Beispiel: Kunden, die noch unverschlüsselt unterwegs sind, regelmäßig eine Mail senden. Auf die Wichtigkeit der Umstellung hinweisen und Hilfe anbieten.

  • Alex R.
    Alex R. - 8. März 2014 um 12:45 Uhr

    Unter Umständen wäre es ja sinnvoll, SSL nicht zu erzwingen, allerdings „nur“ die SSL Variante zu (Kundenmenü, FAQ, etc) kommunizieren.

    Das würde zumindest Neukunden dazu „nötigen“ gleich SSL zu verwenden. EInen Mehraufwand hätte der Kunde dadurch nicht.

    Ich denke da auch an das Kundenmenü, Punkt EMailadressen->Emailadresse bearbeiten->Serveradressen anzeigen.

  • Moritz M.
    Moritz M. - 8. März 2014 um 16:47 Uhr

    Ich sehe das wie Alex R.
    Man könnte im ersten Schritt einfach nur die Anleitung für die unverschlüsselten Verbindungen weniger prominent auflisten, sondern diese für den Nutzer erst nach einem weiteren Klick und einem Sicherheitshinweis einblenden.
    So wären die Benutzer zwar nicht gezwungen die SSL Variante zu verwenden, würden aber auch nicht aus Unwissenheit einfach die unverschlüsselte Verbindung wählen.

  • Denis Jörger
    Denis Jörger - 9. März 2014 um 12:24 Uhr

    @Anna Port 993 ist eingestellt und die Fehlermeldung tritt auch nur sporadisch 2 bis 3 mal am Tag auf.

  • Sven Sevke
    Sven Sevke - 9. März 2014 um 17:30 Uhr

    Ich verwende seit ewigen Zeiten K9 (http://keir.net) als selbstlernenden Spamfilter hinter The Bat!, mit dem ich auf meine DF-Postfächer zugreife.

    Scheint so, dass ich die verschlüsselte Übertragung nicht an K9 durchreichen kann. Kennt jemand einen alternativen selbstlernenden Spamfilter? Danke im voraus.

    (Und ja, für SMTP verwende ich TLS, geht nur um POP3.)

  • Anonymous
    Anonymous - 9. März 2014 um 18:47 Uhr

    @Steffen:

    Kann man.

    Im ersten Semester auf der Uni, ging das sogar bei vielen Informatikern noch. D.h. einfach im Hörsaal ein paar Verbindungen mitschneiden (aus rein akademischen Gründen ;)).

  • Andreas
    Andreas - 9. März 2014 um 20:46 Uhr

    Der Vorschlag von mar-e scheint mir stimmig. Einmal im Quartal User, die den Abruf ohne Verschlüsselung nutzen, per E-Mail aufklären wie sie dies ändern können – vorerst eben ohne Abschaltdatum.

    Warum wird eigentlich für SMTP der deprecated Port 465 genutzt (bei T-Online ebenso) und nicht STARTTLS auf Port 587 genutzt&empfohlen?

  • Anna
    Anna - 10. März 2014 um 08:17 Uhr

    @Steffen Gebert, Ihr Kommentar wurde versehentlich als Spam erkannt, aber selbstverständlich noch freigeschaltet.
    @Denis Jörger könnten Sie uns Screenshots Ihrer Einstellungen an support@df.eu senden? Dann können wir uns das gerne genau ansehen.
    @alle bezüglich der Vorschläge, nur noch die SSL-Server im Kundenmenü anzuzeigen (oder diese deutlicher hervorzugeben): das geben wir intern gerne weiter!

  • Sepp
    Sepp - 10. März 2014 um 08:47 Uhr

    @Steffen Gebert:
    Zwang ist immer ein sehr zweischneidiges Schwert, denn man schwingt sich damit auf, zu glauben, dass man weiß was für andere gut ist. Natürlich sollte man verschlüsseln, wo es möglich ist, allerdings gibt es bestimmte Anwendungsgebiete, wo die Software das nicht unterstützt und eine Umstellung nicht ohne weiteres möglich ist. Ich kenne z.B. Produktionsanlagen die Statusmeldungen bei Störungen per Mail versenden, deren Client eine Verschlüsslung nicht unterstützt. Ein Zwang würde hier also schon zu Problemen führen. Der Softwarehersteller für diese CNC-Maschine wird nur wegen der Mailfunktion jedoch kein Update ausrollen und auch der Betreiber wird es auch nicht mal so einspielen, da danach immer eine Systemkalibrierung notwendig ist.

    Wie man sieht, das Thema ist sehr komplex und nicht alles was auf den ersten Moment als einfach aussieht, ist es am Ende auch. Gerade ein Premiumanbieter wie dF sollte seinen Kunden die Wahlfreiheit lassen, denn wer hier ist, ist idR. bewusst hier und somit mündig, für sich das richtige Szenario zu realisieren. Ganz so schwarz-weiß wie es zunächst scheint, ist das Thema leider nicht.

  • Rainer.D
    Rainer.D - 10. März 2014 um 09:28 Uhr

    Eine gute Lösung wäre eine generelle Umstellung aller Kunden auf Verschlüsselung und die Option im Kundenmenü diese abzustellen. Damit ist allen geholfen.

  • Nils Dornblut
    Nils Dornblut - 10. März 2014 um 22:08 Uhr

    @Rainer: Es ist aktuell mit vertretbarem Aufwand nicht möglich SSL nur selektiv zu erzwingen und hierfür eine konfigurierbare Lösung zu schaffen.

    @all: Der Weg diesbezüglich kann in unseren Augen nur über eine durch den Nutzer veranlasste und freiwillige Umstellung auf SSL gehen. Es wird nach unseren Erfahrungen auch so von unseren Kunden erwartet. Dass man eine Einrichtung via SSL entsprechend unterstützen kann, steht außer Frage und wird von uns bei Nachfragen auch gerne empfohlen.

    • Korken
      Korken - 14. Februar 2015 um 04:22 Uhr

      Nach einem Jahr noch ein ganz dickes Lob an DF, dass Ihr keinen Zwang daraus gemacht habt!
      Es gibt so viele Gerätschaften an z.B. Scan2Mail Multifunktionsdruckern oder Kameras oder anderer Dinge, die in ihrer Software kein SSL implementiert haben und deswegen auch nicht upgedatet werden. Diese können weiter benutzt werden. Etwas, dass viele gar nicht vor Augen haben.
      Danke, dass DF ihre Kunden nicht entmündigt!

  • Thomas Mugrauer
    Thomas Mugrauer - 15. Mai 2015 um 00:43 Uhr

    Hallo dF-Team,

    ich und mein Unternehmen finden Eure Vorgehensweise bzgl. der möglichen aber nicht erzwungenen SSL-Verschlüsselung SUPER und absolut professionell! Es gibt zahlreiche Hardware-Mail-Produkte weltweit die keine Verschlüsselung unterstützen (in manchen Bereichen VÖLLIG übertrieben und viel zu aufwendig/rechenintensiv), dass ein Erzwingen hier absolut kontraproduktiv wäre.

    Den Service der SSL-Verschlüsselung optional anzubieten, gibt jedem Nutzer die Möglichkeit frei zu entscheiden und bietet somit ein Maximum an Flexibilität. Ein Erzwingen würde garantiert zahlreichen Kunden mit ihren Geräten (ich spreche nicht von PCs oder Handys) vor Probleme stellen.

    Also nochmal, SUPER und weiter so, ich empfehle jedem meiner Kunden derzeit DomainFactory und würde mich sehr freuen wenn ich das auch in Zukunft weiter machen kann.

    • Anna
      Anna - 15. Mai 2015 um 09:40 Uhr

      Hallo Thomas! Vielen Dank für Ihre positiven Worte – darüber freuen wir uns sehr! Und natürlich auch über Ihre Empfehlungen. Wenn Sie uns empfehlen, können Sie auch gleichzeitig immer mit unserem Kunden werben Kunden Programm davon profitieren: 🙂
      https://www.df.eu/blog/2015/04/15/kunden-werben-kunden/

  • Stefan
    Stefan - 13. November 2018 um 11:24 Uhr

    im Namen unseres Unternehmens bedanke ich mich auch! lg Stefan