DE-Mail Einschätzung

Diese Seite ist meine rein subjektive Einschätzung zu De-Mail und ähnlichen Konstruktionen.

DE-Mail als Kurzform

Auf der Seite SMTP und die Sicherheit habe ich sehr ausführlich die Problematik der klassischen Mailsysteme erklärt. Normalerweise gehen SMTP-Mails unverschlüsselt und nicht gesichert über die Leitungen und durch die Mailserver. Jeder kann die Mails abhören, verändern und sogar gleich ganz neu schreiben, ohne das der Empfänger die erkennen kann. Sie können das unter dem Begriff "Phishing" ( http://de.wikipedia.org/wiki/Phishing). Eine solche Kommunikationsstruktur ist natürlich erst einmal nicht geeignet für die Übermittlung von Informationen, welche verschlüsselt, nicht veränderbar und der Absender identifizierbar ist. Auf der Seite S/Mime und PGP finden Sie Informationen, wie die dies schon heute legal tun könnten. Sie benötigen nur ein Zertifikat und ihr Mailsystem kann signiert senden und verschlüsselt empfangen. Besitzt der Absender das Zertifikat des Empfängers, kann er sogar verschlüsseln.

Dieses einfacher aber dezentrale System zwischen Clients funktioniert aber wird leider selten genutzt. Es erscheint komplex, sie benötigen Zertifikate, diese liegen dezentral und die Absicherung der Identität der Personen ist nicht einheitlich geregelt. Also muss was "Richtiges" her, dachten Sie unsere Politiker und haben De-Mail ins Leben gerufen. Die Ziele sind.

  • Sichere Übertragung (Verschlüsselung und Signierung)
    Die Übertragung der Mails muss gegen illegale Abhöraktionen, Veränderungen und Fälschungen gesichert werden. Dazu dient sowohl die digitale Signatur und Verschlüsselung der Mails selbst als auch der Übertragungswege.
  • Sichere Ablage (Archiv)
    Daten auf privaten PCs zuhause sind recht unsicher, da viele PCs kein Backup, kein RAID und auch keinen Zugriffsschutz haben. Damit also eindeutig nachgewiesen werden kann, dass die Mail angekommen ist, wird zentral jede Mail archiviert.
  • Sichere Identität
    Damit sich niemand als jemand anderes ausgeben kann, wird die Identität geprüft. Dies erfolgt einmal bei der Beantragung des Zugangs, bei der der Anwender dann ein Zertifikat bekommt und beim Zugriff auf das System, für welchen das Zertifikat erforderlich ist.

Soweit hört sich das alles ganz gut an. Aber wie sieht das technisch aus ? Die Domäne "de-mail.de" hat sich das Bundesinnenministerium schon im Mai 2008 über einen Dienstleister gesichert, wie eine DENIC-Anfrage ergibt. Aber ein MX-Record ist noch funktionierendes System.

Wenn man etwas länger nachdenkt, dann ist der Ansatz von De-Mail durchaus geeignet, die Mail-Kommunikation gut abzusichern. Natürlich würde ich es vorziehen, einfach meine normale Mailadresse per S/MIME abzusichern und irgendwann meinen Mailserver so einzustellen, dass er zwischen einliefernden Mailservern unterscheiden, die sich authentifiziert haben und solchen, die sich nicht authentifizieren. ( Siehe auch TLS). Und selbst dann gibt es sicher noch Millionen Postfächer bei GMX, WEB.DE und anderen Providern, die keine ausreichend strenge Identitätsprüfung durchgeführt haben. Der Zug ist vermutlich schon lange abgefahren, so dass eine parallele Struktur ein gangbarer Weg ist, zumal anhand Mails an Postfächer der Maildomäne "de-mail.de" immer in der geschlossenen Welt übertragen werden.

In dem geschlossenen System ist es natürlich auch einfacher, ein zentrales LDAP-Verzeichnis mit den Zertifikaten vorzuhalten und damit die Bereitstellung der öffentlichen Schlüssel zu vereinfachen. Die Einstiegshürden sind aber niedrig genug, dass quasi jede Firma mit dem passenden Provider eine Anbindung erreichen kann. Sei es durch ein eigenes Gateway oder Mailsystem, welches selbst über einen eigenen Connector zum De-Mail-Provider sicheres SMTP spricht und die Absenderadressen entsprechend "dreht" oder über einen Provider, der die Adressen und Header De-Mail-konform konvertiert. Und Privatpersonen werden sicher bald genauso einfach ein De-Mail Postfach bestellen können wie heute schon millionen Domains bei den Hostern verwaltet werden. Nur über den Preis hierfür ist noch nichts bekannt.

Hoffentlich sperren alle Provider zukünftig Mails mit einem De-Mail-Absender einer nicht vertrauenswürdigen Quelle, da diese so im Internet nie vorkommen dürfen. Sonst ist das Problem gefälschter Absender immer noch nicht gelöst. Denn welcher Anwender kann schon unterscheiden, aus welchem Postfach er die Mail nun "abgerufen" hat.

Sunrise und Reservierung

Firmen, die sich die Option auf ihre De-Mail-Domäne hoffen halten wollen, sollten vor dem Ende der Sunrise-Phase die Domain reservieren um später aufwändige und sicher kostenintensivere Verzögerungen sich zu ersparen.

„Als Besitzer einer .de-Domain können Sie bis zum 30. Juni 2014 eine eigene De-Mail-Domain passend zu Ihrer .de-Domain auswählen. Wenn Sie keinen Gebrauch davon machen, können sich ab Juli 2014 auch andere „Ihren“ Domain-Namen als De-Mail-Domain sichern. Quelle: http://hosting.1und1.de/de-mail

Mein Provider 1und1 bietet mir an z.B. "msxfaq.de-mail.de" für knapp 240€/Jahr zu reservieren. Nach der Sunrise-Phase könnte sie ansonsten jeder Andere kaufen. Würden Sie glauben, dass eine Mail von User@msxfaq.de-mail.de dann nicht von mir ist ?

Man könnte glauben, dass es nur ein handwerklich schlecht gemachtes Gesetz ist. Es könnte aber auch Absicht sein, um die De-Mail Rechnung für die Provider aufgehen zu lassen. Oder es bedeutet mehr Arbeit für Gerichte und Anwälte. Vielleicht ist es aber auch der Anfang vom Ende von De-Mail, denn der "Name" der Domäne nicht mit der deutschen Firma der DE-Domain verbunden ist.

Ich finde, das ist "Pfusch" und eine DE-Mail Domain müsste 1:1 an die "De-Domain gebunden sein. dann wäre es kein Konfliktstoff. Ich werde wohl nicht 500 Euro für die zwei Domains, die mir wichtig sind, jährlich bezahlen. Dann verzichte ich lieber auf DE-Mail. Ob das im Interesse der Betreiber ist mag ich bezweifeln, da indirekt damit das ganze System an Vertrauenswürdigkeit verliert.

Aber was machen die Millionen Firmen. bekomme ich morgen Mail von Firmenname.de-mail.de, obwohl es gar nicht die "Firmenname.de" ist. Meines Wissens gibt es kein "DENIC" für DE-Mail um den Domaininhaber zu identifizieren. Fragen über Fragen.

Weitere Links

Bullshit made in Germany [30c3] - De Mail kritisch gesehen
http://www.youtube.com/watch?v=V_SMsAA7wcg
http://video51.wordpress.com/2014/01/04/de-mail-30c3-linus-neumann/