Verschluesselte Datenuebertragung bei E-Mail

LRZ aktuell publish at lrz.de
Mo Sep 2 12:29:55 CEST 2013 

Nach den Enthuellungen von Edward Snowden gibt es bei vielen
 Internet-Nutzern ein verstaerktes Sicherheitsbewusstsein, das z.B.
 durch das Projekt "E-Mail made in Germany" der Deutschen Telekom und
 United Internet werbewirksam aufgegriffen wurde. Wir moechten in diesem
 Beitrag darstellen, was das LRZ zur Sicherheit des Mailverkehrs leistet
 und was Sie als Mailnutzer am LRZ selbst dazu beitragen koennen und
 sollten.
 
 Bei dem o.g. Projekt geht es primaer darum, dass E-Mails auf Servern in
 Deutschland gespeichert und sowohl zwischen Endgeraet und Mailserver
 als auch zwischen Mailservern verschluesselt uebertragen werden. Alle
 diese Punkte sind auch bei Nutzung der LRZ-Maildienste gewaehrleistet  
 vorausgesetzt, dass Sie die Verschluesselung auch in Ihrem Mailprogramm
 aktiviert haben. Doch der Reihe nach:
 
   * Das LRZ hat weder den Versand noch den Empfang von E-Mails in
     irgendeiner Art und Weise an externe Dienstleister ( Cloud )
     ausgelagert. E-Mails werden ausschliesslich auf LRZ-eigenen
     Systemen im Rechenzentrum in Garching verarbeitet und gespeichert.
   * Die Datenuebertragung zwischen den LRZ-Mailservern und anderen
     Mailprovidern erfolgt grundsaetzlich verschluesselt, sofern auch
     die Gegenstelle Verschluesselung unterstuetzt. Das LRZ unterstuetzt
     dabei auch das Feature "Perfect Forward Secrecy". Dieses schuetzt
     davor, dass ein vorsorglich aufgezeichneter, verschluesselter
     Datenverkehr nachtraeglich entschluesselt werden kann, wenn der
     private Schluessel bekannt werden sollte.
   * Beim Abrufen von E-Mails ueber das POP3- oder IMAP-Protokoll ist zu
     unterscheiden zwischen Exchange und den klassischen Mailservern.
     Bei Exchange ist die Uebertragung grundsaetzlich verschluesselt, da
     wir bei diesem relativ neuen Dienst von Anfang an keine
     unverschluesselten Varianten angeboten haben. Bei den anderen
     Mailservern (mailin, mytum, studlmu, studext) ist das aus
     historischen Gruenden anders. Dort koennen E-Mails zurzeit auch
     noch unverschluesselt heruntergeladen werden und es liegt daher in
     Ihrer Verantwortung in Ihrem Mailprogramm die Verschluesselung zu
     aktivieren, sofern das nicht ohnehin bereits geschehen ist. Die
     entsprechenden Einstellungen fuer POP3 bzw. IMAP finden Sie  
     aufgeteilt nach Mailserver   im Artikel "Nutzung von E-Mail am
     Leibniz-Rechenzentrum". Bitte ueberpruefen Sie Ihre Konfiguration
     und stellen Sie gegebenenfalls auf die verschluesselten Varianten
     um. Spaetestens Anfang naechsten Jahres muessen Sie das auf jeden
     Fall tun, da wir dann die unverschluesselten Varianten deaktivieren
     werden.
     Nutzer, die ueber den Webmailer webmail.lrz.de auf ihre Mailbox
     zugreifen, muessen nichts tun; der Zugang zu diesem Server ist
     grundsaetzlich verschluesselt. Ebenso sind Verbindungen zu Exchange
     ueber die Protokolle OutlookAnywhere (Outlook), ActiveSync (mobile
     Endgeraete) und OWA (Outlook Web App) immer verschluesselt.
   * Beim Versenden von Mail bestehen wiederum zwei Moeglichkeiten. Zum
     einen kann der Versand von innerhalb des MWN ueber den Server
     mailout.lrz.de erfolgen. Hierbei ist Verschluesselung immer
     optional moeglich und empfohlen. Zum anderen koennen Nutzer der
     LRZ-Messagestores (Exchange, mailin, mytum, studlmu, studext) auch
     weltweit ueber den Server postout.lrz.de versenden. Auf diesem ist
     Verschluesselung Pflicht.
 
 Bitte beachten Sie, dass durch die hier beschriebene verschluesselte
 Datenuebertragung nur der Transport der E-Mails verschluesselt erfolgt
 (d.h. der Weg ueber die Leitung). Die E-Mails liegen trotzdem weiterhin
 im Klartext auf unseren Mailservern bzw. den Mailservern Ihrer
 Kommunikationspartner. Wenn E-Mails verschluesselt abgelegt werden und
 nur fuer Sie und Ihre Mailpartner lesbar sein sollen, muessen Sie sich
 fuer ein von Ihrem Mailprogramm (und den Mailprogrammen Ihrer
 Mailpartner) unterstuetztes Verschluesselungsverfahren entscheiden
 (z.B. S/MIME oder GnuPG) und benoetigen dafuer ein persoenliches
 Nutzerzertifikat. Dies geht leider, insbesondere bei der Nutzung
 mehrerer oder mobiler Endgeraete, oft zu Lasten des Komforts.


 Diese Information finden Sie im WWW unter
 http://www.lrz-muenchen.de/services/netzdienste/aktuell/ali4653/

 Bernhard Schmidt

Mehr Informationen über die Mailingliste aktuell