Der Konzern United Internet will die zur Absicherung des Mail-Transports entwickelte Technik DNS-based Authentication of Named Entities (DANE) einführen. Mittels DANE lassen sich Man-in-the-middle-Angriffe auf den Mail-Transport verhindern, weil es SSL/TLS-Zertifikate anders als bisher üblich validiert, bevor sie zum Aufbau der Verschlüsselung herangezogen werden.

Schrittweise Einführung

Bisher setzt United Internet mit den beiden Marken Web.de und GMX auf das wenig verbreitete Verfahren "Inter Mail Provider Trust". Dieses Verfahren gewährleistet zwar ebenfalls die Authentizität von Zertifikaten, aber es skaliert deutlich schlechter und ist nur wenig verbreitet. Zudem sind damit nur solche Mails auf dem Übertragungsweg gegen Abhören abgesichert, die die Mitglieder der Initiative "E-Mail made in Germany" untereinander austauschen. Diese haben Inter Mail Provider Trust für ihre eigenen Zwecke entwickelt.

Provider, die ihren Datenspeicherort nicht in Deutschland haben, können dem Verbund nicht beitreten. Um nun die Kommunikation mit Nutzern solcher Anbieter dennoch sicherer zu machen, sollen Web.de und GMX schrittweise DANE erhalten. Offen ist freilich, wie viele Provider Interesse am proprietären EmiG-Verfahren hätten. DANE ist ein offener Standard der Internet Engineering Task Force. Einige Mail-Anbieter haben sich schon frühzeitig für DANE entschieden, weitere kommen laufend hinzu.

Nötige Reife zugesichert

United Internet fand DANE "noch nicht gänzlich ausgereift" als es im August 2013 mit der Telekom und Strato die Initiative "E-Mail made in Germany" gründete. Deshalb hätten sich die EmiG-Partner entschlossen, ein eigenes Verfahren zu entwickeln, erklärt United Internet nun. Inzwischen habe DANE jedoch "die nötige Reife" erlangt. Die Einführung soll bis zum Jahresende abgeschlossen sein.

Auf Nachfrage von heise Netze erklärte ein Unternehmenssprecher, dass die DANE-Technik auf weitere Domains des Konzerns ausgeweitet werden soll, darunter auf den Maildienst 1und1.de, der dasselbe Backend wie Web.de und GMX verwendet. Bei Hosting-Kunden setze United Internet hingegen auf die Exchange-Technik, sodass DANE dafür auf absehbare Zeit nicht zu erwarten sei. Die Firma startet mit verschiedenen Zusatzdomains bei GMX und will dann die großen Domains wie gmx.de, gmx.net und web.de schrittweise aufrüsten. So sei es leichter möglich, eventuelle Last- oder Qualitätsprobleme zu beheben, bevor es bei Kunden zu Einschränkungen komme.

Aufklärung statt Verwirrung

Eine Kennzeichnung des verschlüsselten Transports analog zu EmiG sei zurzeit nicht geplant, erklärte der Sprecher auf Nachfrage. "Wir möchten sicherstellen, dass die Fülle verschiedener technischer Sicherheitsmaßnahmen, die wir neben EmiG noch einführen nicht für mehr Verwirrung statt Aufklärung beim Kunden sorgt. Wir planen aber für die Zukunft ein einheitliches Kennzeichnungsmodell. Einen Termin können wir dafür aber noch nicht nennen". Ob auch Web-Services eine DANE-Absicherung erhalten, will United Internet nach der Einführung im Bereich E-Mail prüfen. (dz)