#1 18. September 2008 Der Mobilfunkanbieter O2 filterte in seinem UMTS- und GPRS-Netz zeitweise Befehle zur Aktivierung von verschlüsseltem E-Mail-Versand. Der Anbieter macht ein fehlerhaftes Update von Netzkomponenten verantwortlich. Aufgefallen war das Problem durch Fehlermeldungen der Mailprogramme zur Verbindungsverschlüsselung. Daraufhin durchgeführte Tests von heise Security haben ergeben, dass in SMTP-Verbindungen die Statusmeldung 250-STARTTLS herausgefiltert wurde, die signalisiert, dass ein Mail-Server Verschlüsselung anbietet. Sie wurde durch die Zeichenfolge 250-XXXXXXXA ersetzt, woraufhin viele E-Mail-Clients auf Verschlüsselung verzichten und ihre Mails im Klartext über die Leitung senden. Nur wenn der Einsatz von Transport Layer Security (TLS) als unabdingbar gekennzeichnet ist, kommt es zu einer Fehlermeldung. Das Verhalten war lediglich bei Verbindungen über den Standard-Port 25 für das E-Mail-Versandprotokoll SMTP zu beobachten. Verbindungen über den dedizierten Port 465 für komplett verschlüsseltes SMTP (SMTP über SSL) sowie die Empfangsprotokolle IMAP und POP3 waren von dem Eingriff nicht betroffen. Auf Anfrage von heise Security erklärte O2-Pressesprecher Albert Fetsch, die beobachteten Unregelmäßigkeiten seien durch ein Software-Update und einen Hardware-Tausch an einem Standort im Core-Netz vor eineinhalb Wochen verursacht worden und nur punktuell aufgetreten. Inzwischen sei das Problem behoben. Tatsächlich erscheint in aktuellen Tests die Zeichenkette STARTTLS wieder ganz normal. Das Herausfiltern des STARTTLS-Kommandos ist indes kein ungewöhnliches Phänomen. Viele Virenfilter stellen auf diesem Weg sicher, dass sie E-Mails nach Ungeziefer durchforsten können. Dies kann durch einen Proxy lokal auf dem PC oder auch beispielsweise durch eine E-Mail-Security-Appliance oder Firewall geschehen. Es hält sich auch das hartnäckige Gerücht, dass großangelegte Abhörsysteme wie Echelon mit dieser Methode den E-Mail-Verkehr zwischen E-Mail-Servern auf den Internet-Backbones belauschen. Im Mailer Thunderbird beispielsweise verwenden viele Anwender die unsichere Einstellung "TLS, wenn verfügbar". Wer Wert auf eine zuverlässige Verbindungsverschlüsselung im E-Mail-Verkehr legt, sollte für Versand und Empfang möglichst zur Option "SSL" greifen, sofern sie Server und Client unterstützen. Mit ihr erfolgt selbst die erste Kontaktaufnahme verschlüsselt und Eingriffe in den Datenverkehr sind nicht mehr möglich beziehungsweise erzeugen unweigerlich deutliche Fehlermeldungen. Andernfalls kann man über "TLS" die Aktivierung der nachträglichen Verschlüsselung erzwingen. quelle: heise online + Multi-Zitat Zitieren
#2 18. September 2008 AW: Eingriff in E-Mail-Verschlüsselung durch Mobilfunknetz von O2 Muss man da nicht eigentlich schon ziemlich paranoid sein, wenn man TLS verwendet? Seh da keinen großen Sinn drin... + Multi-Zitat Zitieren
#3 18. September 2008 AW: Eingriff in E-Mail-Verschlüsselung durch Mobilfunknetz von O2 du weisst schon, das man einfach emails nachlesen kann und glaube kaum das es toll sein muss wenn du weisst das theoretisch jeder, der bissl ahnung hat oder scripts findet in deinen e-mailverkehr lesen kann. ist auch immerhin privat, da hat auch kein anderer mitzulesen. oder hängst du deine kontoauszüge draußen an die wand, sodass die jeder sehen kann? nur mal als beispielt. ist natürlich etwas anderes kontoauszüge und nen flirt mit einer, aber beispielt sollte klar sein. gruß SHACCA + Multi-Zitat Zitieren
#4 18. September 2008 AW: Eingriff in E-Mail-Verschlüsselung durch Mobilfunknetz von O2 Das hast du nur erfunden oder gibt es dafür eine Quelle für diese angeblich leichte Methode? Ich würde gern wissen, wie das nur mit der E-Mail Adresse alleine anstellen kannst. wer macht sich denn schon die Mühe, meine E-mails lesen zu wollen? Bist du paranoid? Bin ich prominent oder was? Und was bringt es einem "Hacker" zu wissen, das ich via eBay Spielkarten gekauft habe? + Multi-Zitat Zitieren
#5 18. September 2008 AW: Eingriff in E-Mail-Verschlüsselung durch Mobilfunknetz von O2 Check ich auch nicht... In ungesicherten WLAN Netzen vielleicht... Aber der Otto-Normal Bösewicht ausm Netz, wie soll der meien Verbindung belauschen? + Multi-Zitat Zitieren
#6 18. September 2008 AW: Eingriff in E-Mail-Verschlüsselung durch Mobilfunknetz von O2 Wayne ? Wann schreibt man mal wirklich wichtige E-Mails naja gut Geschäftlich ja aber so privat ? Eher selten mal wegen Ebay oder so aber eigentlich nichts wirklich hochgeimnisvolles... Und ich will mal sehen das man einfach so meinen Email Verkehr anzapfen kann Du hast wohl zuviel gelesen was + Multi-Zitat Zitieren