Bei der Deutschen Telekom sollen Emails sicherer werden: Der Konzern will zum 31. März nur noch SSL-Verbindungen zu den eigenen Mailservern erlauben. Für Kunden bedeutet das, dass sie ihre Mailservereinstellungen anpassen müssen, wenn sie ihre Emails noch über ungesicherte Verbindungen abrufen.
Sollte am 1. April also das Mailprogramm das Abrufen und Senden von Telekom-Emails verweigern, ist das kein Aprilscherz, sondern eine Sicherheitsvorkehrung des Providers.
Leider hat sich an den miserablen Einstellungen der Krypto-Funktionen seit dem Test der Zeitschrift c’t Anfang Januar nicht viel getan. Noch immer verwendet der POP3-Server das antiquierte SSLv3 mit 3DES und weder SMTP-, noch POP-, noch IMAP-Server unterstützen Forward Secrecy.
Keiner der getesteten Server beherrscht das aktuelle TLSv1.2. Das Webmail-Frontend bevorzugt noch immer das schon geknackte RC4 – selbstverständlich ohne Forward Secrecy. Immerhin nutzt es inzwischen HTTP Strict Transport Security (HSTS).
Das Ergebnis bestätigt den Eindruck, dass “E-Mail made in Germany” nach wie vor ein billiges Werbe-Siegel ohne Qualitätsanspruch bleibt.
Zur Erleichterung der Umstellung hat die Telekom eine ausführliche Anleitung für Desktop-Rechner, Tablets und Smartphones bereitgestellt. Alle Kunden des Konzerns, die Emaildienste nutzen, sind mittlerweile informiert worden.
