E-Mail-Transportverschlüsselung unter Mailservern

Szenario – a) Versand:
1) Server im eigenen Netzwerk
2) (w.safe bzw. Barracuda) im eigenen Netzwerk als Mail-Relay – VPN zur GWS
3) Provider (z.B. GWS) als Poststation im Internet
4) — Transport der Post über das Internet —
5) Annahme der Post durch den Mailserver der Gegenseite

Szenario – b) Empfang:Gleiche Schritte rückwärts Grundsätzlich besteht die Forderung der Datenschutz-Grundverordnung (#DSGVO), dass der E-Mail-Transportweg (nicht die E-Mail selbst) über das Internet, somit auch das Bereitstellen von Websites TLS-#verschlüsselt erfolgen soll. Damit ist das lokale Netzwerk zunächst nicht betroffen. Ähnlich wie bei Intranet-Webservern und dem Zugang zu Routern und anderen Geräten gilt: Wenn keine Möglichkeit zu HTTPS oder TLS-Verschlüsselung vorhanden ist, erfolgt der Zugang unverschlüsselt.
:J Outlook verbindet sich mit dem eigenen Exchange aber bereits seit geraumer Zeit X400 und HTTPS-Verbindung zum Exchange – verschlüsselt. :N Outlook und die alte w.safe Firewall im eigenen Netzwerk als Mail-Relay – nicht verschlüsseltes POP3 und SMTP im LAN. Sobald personenbezogene Daten über das Internet Transportiert werden, ist ein verschlüsselter Transport erforderlich:
:J Exchange übergibt die Post an die Barracuda Firewall im LAN – der Weg zum GWS-Mailserver erfolgt durch ein verschlüsseltes VPN
:J ist Ihre Domain bei der GWS, übernimmt der zentrale Mailcluster bei uns
:N Dieser versucht zunächst per TLS-Verschlüsselung, die Post an den Empfänger-Mailserver zu übermitteln. Unterstützt dieser kein TLS, wird die Post unverschlüsselt transportiert Wenn Sie eine Drittanbieter-Firewall als SMTP-Smarthost verwenden oder die E-Mails über einen Provider abwickeln, prüfen Sie bitte, ob zumindest die Verbindung dorthin (SMTP, POP3,IMAP) in beide Richtungen nur per TLS erreichbar ist.

Fazit: Es kann nicht garantiert werden, dass E-Mail-Versand und E-Mail-Empfang auf komplett verschlüsselten Wegen erfolgen, da die Mailserver im Internet TLS-Verschlüsselung unterstützen können, aber nicht müssen. Obwohl viele große Provider die Post mittlerweile untereinander auf sicheren Wegen untereinander austauschen gibt es weltweit noch Millionen von Mailservern, die das nicht unterstützen. Teile des Transportwegs von E-Mails können UNVERSCHLÜSSELT sein. Daher wird man, wenn man Datenschutz konform arbeiten möchte, alle E-Mail-Inhalte mit personenbezogenen Daten auf eigenen Wegen verschlüsseln müssen. * Mit Bordmitteln bietet sich hier beispielsweise an, die relevanten Dateien in ein verschlüsseltes 7-Zip-Archiv als Anhang an den Empfänger zu übermitteln. Damit ist der Anhang (Inhalt) verschlüsselt, auch wenn man damit rechnen muss, dass der Transportweg streckenweise unverschlüsselt ist. Die E-Mail selbst darf keine DS-GVO reletante Daten enthalten.

Eine andere (kostenpflichtige) Methode ist die Verschlüsselung der kompletten E-Mail. Dieses Feature lässt sich beispielsweise bei einem Office 365 Abonnement buchen oder aber als Mailverschlüsselung für den Exchange Server mieten.

Zusammenfassung
  1. Sobald personenbezogene Daten über das Internet Transportiert werden, ist ein verschlüsselter Transport erforderlich::J Exchange übergibt die Post an die Barracuda Firewall im LAN - der Weg zum GWS-Mailserver erfolgt durch ein verschlüsseltes VPN:J ist Ihre Domain bei der GWS, übernimmt der zentrale Mailcluster bei uns:N Dieser versucht zunächst per TLS-Verschlüsselung, die Post an den Empfänger-Mailserver zu übermitteln.
  2. GWS) als Poststation im Internet4) -- Transport der Post über das Internet -- 5) Annahme der Post durch den Mailserver der GegenseiteSzenario - b) Empfang:Gleiche Schritte rückwärts Grundsätzlich besteht die Forderung der Datenschutz-Grundverordnung (#DSGVO), dass der E-Mail-Transportweg (nicht die E-Mail selbst) über das Internet, somit auch das Bereitstellen von Websites TLS-#verschlüsselt erfolgen soll.
  3. Unterstützt dieser kein TLS, wird die Post unverschlüsselt transportiert Wenn Sie eine Drittanbieter-Firewall als SMTP-Smarthost verwenden oder die E-Mails über einen Provider abwickeln, prüfen Sie bitte, ob zumindest die Verbindung dorthin (SMTP, POP3,IMAP) in beide Richtungen nur per TLS erreichbar ist.
Verwandte Beiträge

Über den Autor:

Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

1 Gedanke zu „E-Mail-Transportverschlüsselung unter Mailservern

  1. E-Mail-Transportverschlüsselung unter Mailservern

    […] müsse Produkt X kaufen, damit man alle E-Mails #verschlüsselt versendet. In meinem Artikel „Transportverschlüsselung“ hatte ich bereits die technischen Gegebenheiten, wie E-Mail-Server untereinander kommunizieren, […]

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert