De-Mail FAQ

  • Virenschutz / Malware / SpamschutzSchutz
    Mails von "bekannten Absendern" sind zwar auf eine Person zurückzuführen, aber Trojaner, Keylogger und andere Dinge sind schon viel länger im Markt. Also wird es auch hier einen Schutz geben müssen.
    Da allerdings die Absender "identifizierbar" sind, könnten auch statistische Analysen hinzu kommen, die Missbrauch bestimmter Absender durch eine temporäre Sperrung des Kontos zugunsten des Gesamtsystems ermöglichen. Da der Nutzer zudem auch bekannt ist, könnte eine Task-Force sogar den Anwender anrufen und auf den Fehler hinweisen und ggfls. so gar bei der Entstörung helfen.
  • Provider, Gateways und Firmen
    Einige Provider sind Teilnehmer beim Pilot. Auch gibt es ein paar Firmen wie z.B. die HUK24, die erste Test unterstützt haben. Bislang sind mir außer das De-Mail eigene Java-Gateway keine weiteren Produkte bekannt, die De-Mail hier in die Firmen bringen. Ich weiß aber, dass verschiedene Hersteller da sicher bald mit Lösungen aufwarten werden.
  • Verbindung zu Kommunikationspartnern in andere Länder ?
    Aktuell dürfte es nur deutschen Firmen und Einzelpersonen möglich sein, bei einem De-Mail-Provider einen Zugang zu bekommen. Damit begrenzt sich natürlich diese sichere Kommunikation auf deutsche Firmen.
  • Sonderfall "internationale Firmen"
    Was macht eine Firma, die z.B. "firma.de" als Domäne verwendet aber trotzdem weltweit aktiv ist. Damit könne die deutsche Niederlassung ja als Gateway alle Mitarbeiter (auch andere Länder) so frei schalten
  • Meine Domain und deine Domain
    Bei DE-MAIl wird es wie bei jeden anderen Domains auch die Schlacht um "firma.de-.mail.de" geben, wenn mehrere Firmen den gleichen Namen verwenden. Wie wird hier entschieden, wenn gleichnamige Firmen, von denen eine eben firma.de und die andere firma.org betreiben sich beide um die firma.de-mail.de bewerben ?
  • "Exit-Management"
    Wir leben alle nicht endlos und wenn jemand verstirb, muss es Regelungen geben, wie mit dem Konto umzugehen ist. Damit ist nicht nur die Mail im Postfach sondern auch die Wiedervergabe der Domäne oder Mailadresse zu regeln.
  • "Größe"
    Wenn nur 10% aller Personen irgendwann einen De-Mail Account haben, und wir mal vom 80Mio Einwohnern und einer Lebendauer von 80 Jahren ausgehen, dann sprechen wir von 100.000 neuen und 100.000 ausscheidenden Benutzern pro Jahr. Wenn die 8 Mio aktiven Anwender im Schnitt vielleicht 1 Mail a 100kB/Tag senden und empfangen, dann sprechend wir auch hier von 800 GByte/Tag Übertragungs- und Speichervolumen.
  • Reaktionszeit
    Kaum jemand wird seine bisherige Mailadresse abschalten. Eine Weiterleitung an De-Mail ist zudem nicht möglich. Wie stelle ich es aber sicher, dass jemand neben dem normalen Postfach, welches er heute schon per Pushmail bekommt, auch regelmäßig in sein De-MailPostfach reinschaut ? Damit stellt sich auch die Frage, wie "schnell" der Anwender die Mail in seinem De-Mail-Postfach zur Kenntnis nimmt. Wenn in dem Postfach speziell Anfangs kaum Mails ankommen, wird man die neuen Mails vielleicht einfach überlesen. Irgendwie könnte eine Benachrichtigung an die öffentliche Adresse durchaus interessant sein, wenn ein Provider dies anbietet.
  • Sicherheit der Identität
    Phishing, eTAn etc. werden auch in Zukunft leider "funktionieren", weil Anwender nun mal keine IT-Spezialisten sind. Insofern wird es auch "geklaute" Identitäten geben. Das ist unangenehm für den einzelnen aber ein Spammer kann sich zumindest eine Zeitlang hinter der Identität verstecken und seine Mails sogar verschlüsselt an zentralen Virenscannern etc. versenden. Ob da ein einfacher Volumenfilter (Max eine bestimmte Anzahl Mails pro Zeiteinheit) ausreicht ist fraglich.
  • Client Zertifikat für andere Anwendungen
    Nicht immer muss ein Client Zertifikat nur für Mail genutzt werden. Natürlich kann man sich dabei auch an einem Webserver anmelden. Damit ist dies natürlich für Anbieter von Shops im Internet oder Homebanking eine interessante Option, den Anwender am anderen Ende der Leitung eindeutig und vor allem Sicher zu identifizieren. Teilnehmer des De-MailSystems kölnen per LDAP auch den Status des Zertifikats prüfen.
  • SMTPS statt StartTLS
    In den Dokumenten wird davon gesprochen,. dass die Verbindung über SMTP mittels SMTPS hergestellt wird, obwohl dieses Verhalten schon als "abgekündigt" bei den RFs geführt wird. Gebräuchlicher ist der Einsatz von STARTTLS bei einer bestehenden Verbindung über Port 25/SMTP
  • Adressen sammeln
    Ein zentraler LDAP-Server, welcher letztlich alle Mailadressen samt Zertifikate der De-Mail Anwender vorhält, weckt natürlich Begehrlichkeiten. Auch ein legitimer Zugriff kann nach Adressen suchen. für die Administration werden sicher noch ein paar Daten mehr (Straße, Ort, Erreichbarkeit) erforderlich sein. Es ist nur eine Frage der zeit, bis jemand diese Daten als Listen weiter verbrietet. Natürlich kann eine solche De-Mail-Adresse nur innerhalb des De-Mail-Systems erreicht werden, aber das Potential ist zu verlockend, als dass alle für immer widerstehen könnten.
  • Messagetracking
    Wer bisher per DNS seine Mails direkt zum Empfänger gesendet hat, konnte an den verschiedenen internen Stationen nachsehen, wo eine Mail wann durchgelaufen ist bzw. in welcher Warteschlange diese noch liegt. Mit De-Mail übergeben Sie eine Mail nicht mehr möglichst nahe an das Ziel, sondern an ihren Provider, der diese über andere Relaystationen weiter leitet. Sie können nur noch feststellen, wann Sie die Mail quasi in den Tunnel gesendet haben und der Empfänger wartet auf der anderen Seite, bis sie dort wieder heraus kommt. Eine Überwachung ist nur dem Provider möglich. Ich wüsste nicht, dass es De-Mail-weit eine Möglichkeit gibt, ein Messagetracking bezogen auf die eigene De-Mail-Domain durchzuführen. Das wäre doch mal eine nette Anwendung, dass die Provider ihre Messagetrackinglogs für Mails einer bestimmten Mail z.B. stündlich an den Inhaber zur Auswertung senden.
  • SMTP-Relay
    Viele Firmen betreiben ihre Exchange SMTP-Services nicht direkt am Internet. (öffentliche IP oder Router-NAT), sondern haben zwischen Exchange und Internet natürlich Relaysysteme installiert, die die internen Server gegen Angriffe, Viren, Spam etc. schützen oder teilweise Zusatzfunktionen (Archivierung, Signierung und Verschlüsselung, Disclaimer) bieten. Da der De-Mail-Provider die Mails natürlich immer nur per SSL einliefert und annimmt, muss zumindest das erste Gateway dies unterstützen oder ein Bypass gefunden werden. Interessant ist, ab wann Gateways eine Zusatzfunktion bezüglich De-Mail implementieren und z.B. abhängig vom Ziel selbst die Mails in die richtige Richtung routen und die Absenderadresse umschreibt. In vielen Mailsystemen ist es für Anwender gar nicht so einfach, die Mailadresse umzuschreiben.

Es sind sicher noch viele Fragen offen. Ich versuche diese FAQ weiter zu schreiben.