Beim Versenden einer E-Mail sollte man darauf achten, dass der Versand über eine verschlüsselte Verbindung erfolgt. Insbesondere in einem offenen WLAN hat sonst jeder weitere Nutzer des WLANs die Möglichkeit, den Inhalt der Nachricht zu lesen. Um das zu verhindern, sollte man die verschlüsselten Protokolle TLS oder SSL nutzen, um die E-Mail an den Server des Providers zu schicken. Wie Michael Kliewe nun aber herausgefunden hat und auf Golem berichtet, wird die Nachricht unter Umständen im weiteren Verlauf seines Weges dennoch unverschlüsselt zwischen den Servern der E-Mailprovider gesendet.

Beim Einsatz von TLS oder SSL wird die gesamte Verbindung, also die gesamte E-Mail, verschlüsselt an den Server des Mailanbieters geschickt. Die Verschlüsselung wird dort aufgehoben und die Nachricht wird per SMTP an den Zielserver weiter geschickt. Wie Michael Kliewe nun in einem Test heraus fand, verzichten allerdings eine Reihe von E-Mailanbieter auf eine Verschlüsselung der Verbindung untereinander.

Denn nur wenn beide beteiligten Mailserver TLS unterstützen und dies mittels StartTLS beim Verbindungsaufbau signalisieren, wird auf eine verschlüsselte Verbindung umgeschwenkt. Andernfalls werden E-Mails ohne TLS von einem Mailserver zum anderen weitergereicht.



Bei einem Test von 15, sowohl internationalen wie deutschen, E-Mailanbietern war bei rund der Hälfte keine verschlüsselte Verbindung untereinander möglich.

Die Untersuchung der Anbieter fand mit dem Online-Tool Check-TLS vorgenommen. Das Tool steht jedermann offen, sodass auch noch weitere Anbieter einer Untersuchung unterzogen werden können. Das Ergebnis zeigt, dass ein Großteil der E-Mailanbieter keine Verschlüsselung der Verbindung per TLS unterstützt. Das Problem daran ist, dass Verbindungen nur verschlüsselt werden können, wenn beide Teilnehmer TLS unterstützen. Wer also von einem Anbieter mit möglicher Verschlüsselung wie Freenet eine Nachricht einen Anbieter ohne Verschlüsselung sendet, kann davon ausgehen, dass seine Mail zwischen den Anbietern unverschlüsselt übertragen wird. Kliewe sagt treffend, dass dieses Problem zwar schon länger bekannt sei, im Zuge der weltweiten Abhöraktionen des Internetverkehrs aber eine neue Betrachtung verdiene.

Egal ob ein Server nun TLS unterstützt oder nicht, es wird nur die Verbindung verschlüsselt, nicht die Nachricht an sich. In jedem Fall wird diese Verbindung auf dem Server entschlüsselt und der Inhalt der E-Mail wird lesbar. Um sicherzustellen, dass wirklich nur der Empfänger den Inhalt der Nachricht lesen kann, muss die Nachricht mit einer Ende-zu-Ende-Verschlüsselung wie PGP gesichert werden. In diesem Fall ist der Inhalt einer E-Mail auch dann nicht lesbar, wenn die Verbindung, auf der die Nachricht übertragen wird, unverschlüsselt ist. Das Nutzen unverschlüsselter Verbindung ist dennoch nicht ratsam.