De-Mail Das Prinzip  der " Geschlossenen Benutzergruppe"

Wer heute schon E-Mail nutzt, weiß, dass er seine Mails per SMTP an einen Mailserver übergibt, der diese dann zum Zielsystem zustellt. Der Empfänger wiederum ruft seine Mails z.B. per POP3 oder IMAP4 vom Server ab bzw. nutzt einen Webbrowser oder auch Outlook und Exchange oder andere Server. Nun ist es aber so, dass die meisten Personen, heute eh schon ein Postfach haben, sei es in der Firma oder bei Freemailern wie MSN/Hotmail, GMX, Web.DE oder sogar als eigene Domäne bei 1und1, Strato und anderen Anbietern.

Der Vorteil aber auch das Problem ist, dass jeder an jeden senden kann, ohne dass der Absender identifiziert wird. Das ändert De-Mail.

  • Geschlossenes System
    De-Mail ist ein ein sich geschlossenes System, welches zwar das Internet, TCP/IP, SMTP, POP, IMAP als Transportmedium nutzt, aber mit wenigen Ausnahmen keine "Verbindung" zu den öffentlichen Mailservern im Internet zulässt. Es ist die klassische GBG. Nur die Teilnehmer von De-Mail können sich gegenseitig erreichen.
  • De-Mailadresse "<User>@<firma>.de-mail.de" oder "vorname.nachname@provider.de-mail.de"
    Jeder Teilnehmer (Privatperson oder juristische Person) bekommt eine eigene De-Mail-Mailadresse und kann damit auch nur Empfänger in de-mail.de erreichen. Es ist daher unkritisch, diese Mailadressen auch öffentlich zu nutzen, da Spammer diese Adresse nur erreichen, wenn Sie sich am De-Mail authentifiziert haben und damit identifiziert werden können. Denkbare Mailadressen wären z.B.

frank.carius@<de-maiprovider>.de-mail.de  (z.B. Privatpersonen)
frank.carius.12@<de-maiprovider>.de-mail.de  (wenn jemand anderes schneller ist)
frank,carius@netatwork.de-mail.de  (z.B. eine Firma)
frank,carius@netatwork.<de-maiprovider>.de-mail.de  (z.B. eine Firma)

  • gesicherte Zugänge
    Um eine Mal zu versenden oder abzurufen müssen sich die System gegenseitig authentifizieren. Die Mailserver als auch die Client nutzen dazu zwingend SSL und optional mit Client Zertifikaten. Es gibt also keinen "anonymen Versand" per SMTP Telnet und auch beim Empfang werden die Daten verschlüsselt. Der urheber einer Nachricht kann also immer ermittelt werden und entsprechende Drosselfunktionen verhindern müssenmails (z.B. maximal 100 Mails/tag mit max. 300 Empfängern). Auch soll ein "Malware-Scanner" das schlimmste verhindern.
  • Keinen Übergang aus dem Internet
    Es ist nicht möglich, aus dem großen anonymen Internet eine Mail an eine De-Mail-Adresse zu senden. De-Mail-Postfächer sind also nur von andere De-Mail-Postfächern erreichbar.
  • Übergang in das anonyme Internet
    Es ist denkbar, eine Mail von einem De-Mail-Postfach in das Internet zu senden. Dabei muss der Provider aber die "normale" Mailadresse des De-Mail-Kontakts wissen. Er ändert dann die Absenderadresse auf die "öffentliche" Adresse, so dass Antworten nicht mehr zum De-Mail-Postfach sondern in das reguläre Postfach zurück kommen.

Durch diese komplette Abschottung des Systems De-Mail von dem normalen SMTP-Verkehr werden fremde Personen ausgeschlossen. Das bedeutet aber auch, dass externe Absender (z.B. aus anderen Ländern), die keine De-Mail-Adresse bekommen, auch keine Mails an die De-Mail-Postfächer senden können. Jeder De-Mail-Anwender hat daher immer noch sein "normales" Postfach

Betrachtungen zu Sicherheit und Vertrauenswürdigkeit

Wie sicher De-Mail ist, muss die Zukunft zeigen. Sicherheit durch Verschlüsselung mit dem Zertifikate des Empfängers und Identifizierung des Absender durch digitale Signaturen sind heute schon möglich. De-Mail möchte aber auch ohne diese Komponenten auf dem Client die Sicherheit gewährleisten, indem die Inhalte innerhalb des De-Mail-Verbunds verschlüsselt werden und auch die Zugänge per SSL/TLS gesichert werden. Ist das aber sicher genug ?. Folgendes Zitat soll ein Aufhänger sein:

Jeder soll in die Lage versetzt werden, sich gegen unerwünschtes Mitlesen, Diebstahl wichtiger Daten, Betrug im Internet und gegen Spam besser zu schützen
Quelle: Schäuble, Innenminister

Dazu ist es natürlich erforderlich, dass der Anwender eindeutig identifiziert ist und Zertifikate auch erneuert und zurückgezogen werden können. Ob wir damit nun endlich mal ein S/MIME-Zertifikat auf unsere EC-Karten, Personalausweise o.ä. bekommen ?. Und vielleicht erlaubt das Zertifikat auf dem Client zukünftig die Identifizierung an anderen Webseiten, Online-Shops und vieleicht auch dem Homebanking ?

Das Zertifikat scheint aber nur zur Authentifizierung des Clients am Server zu dienen aber nicht für die Signierung und Verschlüsselung genutzt werden. Die "elektronische unterschrift" soll nach meinem Wissensstand der SMTP-Server vornehmen, an dem sich der Client mit seinem Zertifikat ausgewiesen hat. Denn dem so ist, dann liegen die privaten und öffentlichen Schlüssel aber beim Betreiber. das gesamte Keymanagement für die Signierung und Entschlüsselung kann der Betreiber übernehmen, so dass Anwender sogar per Webseite oder mobile Geräte sehr einfach das System nutzen könnten.

Zudem benötigen Sie gar keine Zertifikate des Empfängers auf ihrem System, wenn Sie die Mail über einen gesicherten Transport zum ersten De-Mail Server senden, welcher dann die Mail selbst erst verschlüsselt.