E-Mails mit VPN geschützt?

E-mails sind generell mit 40 Bit verschlüsselt und können problemlos abgefangen oder mitgelesen werden. Leider kann man nicht mit jedem Empfänger die Emails mit 256 Bit verschlüsseln (End-to End).

Kann da wenigstens eine VPN Verbindung mit 256 Verschlüsselung eine Sicherheit anbieten vorallem wenn man via Thunderbird Emails verschickt und empfängt?
Können die Hackers usw. trotzdem die Emails ablesen wenn die VPN eingeschaltet ist?

1 „Gefällt mir“

Woher stammt diese Annahme?

Wenn du Thunderbird oder den Webmailer in einen aktuellen Webbrowser verwendest, wirst du bei jeden modernen, sicheren E-Mail Anbieter eine Verbindung über mindestens TLS 1.2 aufbauen, wobei eigentlich nur moderne Verschlüsselungsverfahren zum Einsatz kommen.
Dort findet keine Chiffre mit 40 Bit Schlüsseln Verwendung.

Das wäre auch der einzige Punkt an dem eine VPN (-Anbieter) Verbindung einen Unterschied machen könnte, nur würde am anderen Ende des VPN wieder eine normale Verbindung, wie von deinen Rechner zum Server, zum Mail-Server/der Webseite aufgebaut werden.
Am Ende ist damit unter üblichen Umständen hier, bezüglich der Thematik, nichts gewonnen.

Beim serverseitigen Senden oder Empfangen einer E-Mail sollten die E-Mail Server ebenfalls eine verschlüsselte Verbindung aushandeln, wenn sie nach dem Stand der Technik konfiguriert sind, die ebenfalls moderne Verfahren verwenden würde. Ggf. trifft das jedoch nicht zu, dann wird eher im Klartext versendet. Da hilft dann aber keine Änderung auf deiner Seite, außer ein Wechsel des E-Mail-Anbieters, wenn es an deinen liegt.

Kein Problem heute 40 Bit Schlüssel zu entcrypten, dauert nicht lange. Aber warum das Ganze, im Bekanntekreis total egal. Wer das nicht will hat was zu verbergen, dann stehst du auf der Abschussliste, Garantiert!

Diese Aussage verstehe ich nicht? Es geht nicht darum ob ich etwas zu verbergen habe. Es geht darum das es mein freiheitlich demokratisches Recht ist, Privatsphäre haben zu dürfen! Wenn ich damit auf einer Liste stehe, muss ich mir Gedanken über die Zustände der Demokratie machen, oder?

2 „Gefällt mir“

Da hast Du etwas total falsch verstanden.

40 bit ist meine ich etwas, was es vor Jahrzehnten gegeben hat, weil die IT-Produkte aus der U.S.A. keine höherwertigen Verschlüsselungsverfahren exportiert werden durften. Das ist echte Geschichte und nicht mehr relevant.

Beim E-Mail-Versand gibt es die folgenden Unterscheidungen:

Transportverschlüsselung

(-) E-Mails werden verschlüsselt zwischen Mailservern übertragen, aber unverschlüsselt in der Mailbox der Kommunikationspartner gespeichert.

(-) Der Zugriff Deines E-Mail-Client erfolgt verschlüsselt zum Mailserver für den Versand (SMTP) und Empfang (IMAP / POP) umgesetzt hat, da ansonsten die E-Mails eben zwischen Dir und dem Mailserver unverschlüsselt übertragen werden.

Unverschlüsselter Transport

(-) Ein E-Mail-Server unterstützt gar keine verschlüsselte Kommunikation, sodass E-Mails nicht nur unverschlüsselt gespeichert sondern auch unverschlüsselt übertragen werden.

(-) Dein E-Mail-Client greift mit unverschlüsselte Protokollen auf den Mailserver zu.

Ende-zu-Ende-Verschlüsselung für verschlüssete Speicherung

(-) E-Mail-Inhalte werden vom Absender mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und dann an den Mailserver übergeben. Mails werden hierbei verschlüsselt auf den Mailservern gespeichert. (Ende-zu-Ende-Verschlüsselung mit PGP oder S/MIME).

VPN

Ein VPN-wiederum verschlüsselt der Übertragungsweg Deiner Kommunikation von Deinem Client zu einem irgendwo liegenden VPN-Gateway. Alles was nach dem VPN-Gateway liegt wird wieder so übertragen, wie es die jeweiligen Client / Server Kommunikationen unterstützen.

Man kann daher mit dem VPN nur bestimmte Kommunikationsstrecken verschlüsseln, jedoch wird die weitere Kommunikation zum Mailserver und zwischen Mailservern werden vom VPN nicht abgedeckt.

Für die E-Mail-Kommunikation sind VPNs daher keine relevante Schutzfunktion.

Fazit

Du solltest dafür sorgen, dass Deine

  • E-Mail-Clients so konfigurierst, dass diese ausschließlich Transportverschlüsselt mit Deinem Mailservern kommunizieren. Dieses sollte bei aktuellen Clients eigentlich immer die Default-Variante sein, aber hier kannst Du ggf. noch einmal prüfen. Die Schlagworte sind TLS, SSL.
  • PCs / Smartphone usw. mit aktueller Software versorgt sind um möglichst aktuelle Verschlüsselungsverfahren zu unterstützen.
  • Dein E-Mail-Anbieter kannst Du daran auswählen, ob wie dieser mit Transport-Verschlüsselung umgeht. (Mailbox.org z.B. hat eine spezielle E-Mail-Domain, die nur bei möglicher Transport-Verschlüsselung E-Mails verschickt oder empfängt. Aber auch bei normalen Domains merkt sich Mailbox.org wohl ob zu einer Domain bereits transport-verschlüsselt kommuniziert wurde und akzeptiert danach keine unverschlüsselte Kommunikation.)
  • Wenn Du den Aufwand betreiben willst, kannst Du noch Ende-zu-Ende-Verschlüsselung mit PGP oder S/MIME zum Schutz der Mailinhalte bei der Speicherung auf den Mailservern einsetzen. Die Aufwände sind jedoch hoch um das sicher hinzubekommen und die Anzahl der Kommunikationspartner die das ebenfalls unterstützen vermutlich minimal.
4 „Gefällt mir“

Ehrlich gesagt habe ich mich schon lange nicht mehr mit den E-mail Verschlüsselungstechniken befasst. Mittlerweile sind TLS 1.2 und 1.3 Standard.

@Reklow

Wenn der Sender sowie Empfänger:

  • sichere VPN nutzen

  • beide Email-Anbieter mit TLS 1.3 nutzen

  • keine End to End PGP mit Thunderbird nutzen

  • keine Kopien auf dem Mailserver lassen, sondern nur Thunderbird nutzen

Wäre somit theoretisch gesehen die gesamte Kommunikationsstrecke zwischen Sender (PC) und dem Mailserver und dann zum Mailserver vom Empfänger und dann zum PC vom Empfänger mit TLS 1.3 verschlüsselt und gleichzeitig doppelt mit VPN geschützt?

Wenn alles genau so läuft wie beschrieben und vor allem, wenn zwischen allen beteiligten Mailservern TLS 1.3 eingesetzt wird, erfolgt eine gut gesicherte Kommunikation.
Das VPN trägt hierzu nichts bei und ist weder notwendig noch eine „noch sicherere“ Variante.

Das VPN macht nur die vom Nutzer verwendeten Mailserver dem VPN-Betreiber bekannt (die dieser aber ggfs. bereits indirekt aus seinen Kundendaten schließen könnte) und schützt die Verbindungen zu den Mailservern vor dem jeweiligen Provider des Internetzugangs (der sie aber ebenfalls analog dem Betreiber des VPN kennt).

Hat man auf beiden Seiten für einen bestimmten Zweck eine anonyme E-Mailadresse zu deren Servern zu jeder Zeit ausschließlich über den VPN Verbindung aufgebaut wurde, kann das ein Vorteil sein.
Ob es das ist, hängt wie immer vom persönlichen Thread-Modell ab und hier vor allem dem Wissen, vor wem man sich eigentlich absichern und schützen will.

2 „Gefällt mir“

Prinzipiell soweit Korrekt. Allerdings hast Du keinen Einfluss auf eine saubere Implementierung der TLS-Verschlüsselung sondern die Kommunikationspartner müssen sich jeweils geeignete Mail-Provider aussuchen die hier ein hohes Sicherheitsniveau gewährleisten.

Hierdurch würdest Du das Zeitfenster für unberechtigte Zugriffe durch die Administratoren des Mailproviders oder Angreifer verringern, aber natürlich gibt es immer noch ein Zeitfenster in dem bestimmte Teile der Kommunikation lesbar verfügbar sind.

Eine Verbesserungsmaßnahme könnte hier der Einsatz von verschlüsselten Postfächern sein, die nicht Ende-zu-Ende-verschlüsselt empfangene E-Mail-Inhalt vor der Speicherung mit dem öffentlichen Schlüssel des Empfängers verschlüsseln. Dann sind zwar noch die Meta-Daten verhanden (z. B. Absender, Empfänger, Betreff) aber die Inhalte selbst verschlüsselt.

Solche verschlüsselten Postfächer gibt es z. B. bei Mailbox.org, Posteo, Proton oder Tuta.

1 „Gefällt mir“

Zusätzlich erwähnenswert sind hier auch Backups seitens des E-Mail Anbieters, die potenziell auch ein paar E-Mails beinhalten werden, wenn der Mail Client nicht durchgehend läuft.

Da du Beispiele für Anbieter genannt hast, im Fall von Tuta werden auch diese verschlüsselt gespeichert. :+1:

1 „Gefällt mir“

Falls die Verbindung zwischen dem Sender und Mailserver sowie Mailserver zum Empfänger nicht sicher genug ist, dann könnte hier VPN nachhelfen bzw als „verschlüsselter Backupschutz“ dienen.

Z.B vom Smartphone werden Nachrichten von Telegram standardmässig nicht verschlüsselt versendet und die meisten Leute denken wirklich, dass diese wie Whatsapp automatisch verschlüsselt werden.

Hier könnte doch bei diesem Beispiel ein VPN bis zum Telegram Server hilreich sein, oder?

Für Telegram gilt das selbe wie E-Mail. Der Transport ist auch dort verschlüsselt.

Ein VPN verschleiert einfach nur die IP-Adresse des Nutzers vor dem Betreiber eines Dienstes.
Eine zusätzliche Sicherheit erhält man dadurch nicht.

1 „Gefällt mir“

?? Telegram selbst schreibt, dass standardmässig die Nachrichten unverschlüsselt sind! Man müsste die Verschlüsselung (Ende zu Ende) unter Einstellungen geheimer Chat aktivieren.

Ein VPN verschlüsselt auch alle Daten mit 256 Bit. Ich glaube du verwechselst VPN mit Proxy.

Da mir die Konzepte von VPN und Proxy bekannt sind, gehe ich nicht von einer Verwechslung aus.
Eventuell verwechselst du Transport- mit Inhaltsverschlüsselung.
Jedenfalls habe ich mich in meiner Antwort lediglich auf die bei beiden Diensten vorhandene Transportverschlüsselung bezogen (bei E-Mail im Idealfall, der jedoch heute fast Regel ist).

Wenn der Transport bei E-Mail ausnahmsweise nicht verschlüsselt ist, „legt“ ein VPN eine Verschlüsselung über die Verbindung.
Die Folge ist, dass nur der VPN-Betreiber anstelle des ISP den Inhalt lesen kann.
Auch dann ist es aber keine zusätzliche Sicherheit sondern nur eine andere (Partei, der gegenüber man sich ungeschützt zeigt).

2 „Gefällt mir“

Ansich richtig, wenn wir über den Zweck eines VPNs als „Ein sicheres, privates Netzwerk über öffentliche Infrastruktur, welche außerhalb der eigenen Kontrolle liegt“ reden.
Nur gibt es hier folgende Punkte:
a.) keine öffentlichen Mailanbieter bieten meines Wissens nach einen VPN Endpunkt in Ihrer eigenen Infrastruktur an, über den du sicher mit dem Mailserver kommunizierst.
Falls du Tor verwendest, bietet(e) Mailbox.org dafür einen Tor Exit Server an. Würde Ich persönlich jedoch nicht für ein normales Mailkonto nutzen.
b.) die Chance dass irgendein Mailanbieter sich in einen VPN mit anderen Mailanbietern befindet, um darüber Mails miteinander auszutauschen, ist ziemlich sicher null.
M.M.n wäre aber hier die größte Anfälligkeit (nach einen unsicher agierenden Gesprächspartner), gegen die du für gewöhnlich nichts tun könntest - außer, wenn möglich, „TLS Versandgarantie“ deines Mailanbieters zu nutzen.
c.) du hast vermutlich keine Kontrolle darüber, wie deine Gesprächspartner Ihre Mails abholen.

Sowas findet einfach keine Anwendung; höchstens wenn du dich per VPN in z.B. ein Firmennetzwerk verbindest, welches den Maillogin im internen Netz bereitstellt. Der Ein- und Ausgang zum Server, für nicht interne E-Mails, ist jedoch ziemlich sicher nicht über ein VPN, siehe Punkt b.

Zusätzlich:
Dass irgendeine VPN-Verbindung verschlüsselungstechnisch Vorteile gegenüber TLS hat ist unwahrscheinlich. OpenVPN verwendet, genauso wie HTTPS, SMTPS und IMAPS, TLS.
Wireguard verwendet (standardmäßig) Curve25519 für asymmetrische Schlüssel und zur symmetrischen Verschlüsselung ChaCha20 - ebenfalls Primitive die bei TLS Verwendung finden.
Einzig dass die Authentifizierung eventuell nicht über Zertifizierungsstellen könnte ein Vorteil sein, jedoch bräuchtest du dann eine sicherere Alternative um das selbst zu erledigen, wenn sie nicht verwendet werden. Das wird sehr sicher nicht der Fall sein.

Die Option eines VPNs der irgendwie in deiner Konstellation eingebracht werden kann, ist die eines privaten (eigenen) oder öffentlichen VPN „Dienstleisters“ der im Grunde kaum mehr bietet als einen „Proxy+“.
„Per VPN“ verschlüsselt ist der Datenverkehr nur zum VPN Endpunkt. Ab dort geht dieser durch das öffentliche Internet, genau in der Form wie er sonst von deinem Gerät käme.
Dadurch gewinnst du fast nichts, außer dass jemand der in deinen WLAN sitzt oder „dein“ ISP (dafür dann der VPN-Anbieter und dessen ISP) eventuell nicht weiß wer dein Mailanbieter ist und eventuell keinen MITM ausführen kann, auch wenn er die Vorrausetzungen dafür erfüllt - Stichwort: kompromittierte Zertifizierungsstelle/gestohlenes TLS Zertifikat.

Für sie selbst als Anbieter, genauso wie bei E-Mail, wenn du selbst keine Ende-zu-Ende Verschlüsselung mit deinen Kommunikationspartnern verwendest. Diese ist bei Telegram die „Geheimen Chats“, bei E-Mail wäre das PGP, S/MIME o.Ä..
Der Weg zu Telegram selbst wird transportverschlüsselt, also vor Dritten gesichert.
Und bei E-Mail zu deinen Anbieter, sofern du HTTPS, IMAPS/SMTPS oder IMAP/SMTP mit starttls verwendest - das sollte standardmäßig der Fall sein.

Danke für die ausführliche Antwort. Kurz zusammengefasst, kann VPN doch eine gewisse höhere Sicherheit bieten, falls der Transport unsicher oder schlecht wäre bis zum Serveranbieter (E-mail, Messenger, Web usw).

Einige sichere Emailanbieter wie z.B. Protonmail, Mailbox oder Tuta bieten Ende -Ende Verschlüsselung an und zwar auf ihrem Server, so dass auch der Anbieter selbst nichts mitlesen kann.

Ist das nur eine Werbung um neue Kunden zu gewinnen oder können die
E-mailanbieter doch in Wirklichkeit die E-mails ablesen?

Ich habe immer noch das Gefühl, dass Du die Begrifflichkeiten durcheinander bringst:

Transport-Verschlüsselung bedeutet, dass E-Mails während der Übertragung zwischen verschiedenen Systemen über das Internet verschlüsselt übertragen werden, sodass innerhalb des Netzwerkes die Datenverbindung nicht mitgelesen werden kann. Diese gibt es zwischen Absender-Client und Mailanbieter, wie auch zwischen Mailanbieter und Mailanbieter und nachher zwischen Mailanbieter und dem Empfänger-Client.

Du als Anwender hast nur die Kontrolle über die Kommunikation zwischen Deinem Client und Deinem Mailanbieter. Bei allen weiteren Übertragungen kannst Du nur darauf vertrauen, dass die anderen beteiligten Personen Ihren Strecken ebenfalls sauber implementieren. Wenn ein Anbieter keine Transport-Verschlüsselung unterstützt kann Dein Mailanbieter entscheiden ob die E-Mail unverschlüsselt. oder gar nicht verschickt wird. Manchmal hast Du als Anwender die Option für spezielle E-Mail-Adressen den Versand / Empfang ohne Transport-Verschlüsselung zu untersagen.

Die Schlagwort für Dich und Deine Clients sind https:// SMTP und IMAP mit SSL oder TLS.

Ende-zu-Ende-Verschlüsselung bei E-Mails bedeutet, dass die Mail-Inhalte vom Absender-E-Mail-Client mit vor dem Versand so verschlüsselt werden, dass diese nur mit einem nur dem Empfänger zugänglichen Schlüssel entschlüsselt werden können. Hierdurch sind die E-Mails auch bei der Ablage auf Serversystemen vor dem Zugriff der Mailanbieter gesichert.

Die Schlagworte für Dich sind (Open)PGP oder S/MIME.

Das Problem bei Ende-zu-Ende-Verschlüsselung ist, dass beide Kommunikationspartner dasselbe Verfahren unterstützen müssen und ein Vertrauenswürdiger Schlüsselaustausch erfolgt sein muss. Auch bieten die meisten Firmen keine Möglichkeit an, dass E-Mails an Dich immer Ende-zu-Ende-Verschlüsselt erfolgen.

Sichere Postfächer (mir fällt kein besserer Begriff ein) Anbieter wie Protonmail (immer), Tuta (immer), Mailbox.org (optional) oder Posteo (optional) bieten die Möglichkeit das unverschlüsselt eingehende E-Mails vor der Ablage im Postfach mit einem persönlichen Schlüssel zumeist (Open)PGP verschlüsselt werden, sodass nach der Verschlüsselung die E-Mail-Inhalte auch vom Anbieter nicht mehr eingesehen werden können.

Ergänzend nutzen Protonmail und Tuta beim Mailversand an andere Postfächer innerhalb des eigenen Dienstes eine automatisierte Verschlüsselung der Mail-Inhalte vor dem Versand. Ausgehende E-Mails zu anderen Mail-Anbietern sind jedoch bei allen vier Diensten wiederum nur transport-verschlüsselt, wenn nicht der Anwender selbst für eine Ende-zu-Ende-Verschlüsselung gesorgt hat.

Die Idee dieser Sicheren Postfächer ist es, dass keine E-Mails unverschlüsselt beim Anbieter gespeichert werden. Jedoch ist es dem Anbieter technisch möglich die noch unverschlüsselten E-Mails vor der Speicherung als unverschlüsselte Kopie „auszuleiten“. Dieses wird auch bei berechtigten Behörden-Anfragen durchgeführt.

War das für Dich verständlich zusammengefasst?

Vielleicht hilft Dir eher ein Bild zum Verständnis. Hierfür unten stehend eine Textuelle Beschreibung der Verbindung und mit den folgenden Kürzeln:

Abs = Absender
Emp = Empfänger
[ ] = Speicherung
—> = Transport
( ) = Verschlüsselung

Beteiligte Parteien
[Abs Client] → [Abs Mail-Anbieter] → [Emp Mailanbieter] → [Emp Client]

Nun mit Klammern die wirkende Verschlüsselung der unterschiedlichen Varianten markiert.

Transport-Verschlüsselung (wobei Du nur den ersten oder letzten Teil kontrollieren kannst)
[Abs Client] (–>) [Abs Mail-Anbieter] (–>) [Emp Mailanbieter] (–>) [Emp Client]

Ende-zu-Ende-Verschlüsselung
( [Abs Client] → [Abs Mail-Anbieter] → [Emp Mailanbieter] → [Emp Client] )

Sicheres Postfach
[Abs Client] → [Abs Mail-Anbieter] → ( [Emp Mailanbieter] → [Emp Client] )

VPN
( [Abs Client] → ) → [Abs Mail-Anbieter] → [Emp Mailanbieter] → ( → [Emp Client] )

Versuch Dir das ggf. noch einmal selber aufzuzeichnen und achte auf die runden Klammern wo die jeweilige Verschlüsselung wirkt und wo diese vor allem nicht mehr wirkt.

4 „Gefällt mir“

Habe den Unterschied schon verstanden. Mir ging es bei der letzten Frage um verschlüsselte Postfächer bei Protonmail, Tuta , die dafür Werbung machen.
Ich lese im Internet immer wieder, dass selbst die Emailanbieter die sicheren Postfächer nicht lesen können.

Du hast geschrieben, dass technisch doch möglich wäre die noch unverschlüsselten E-Mails vor der Speicherung als unverschlüsselte Kopie „auszuleiten“. Somit können Daten an Behörden abgegeben werden.

Meine Frage hast du nun beantwortet. Danke!

Einen interessanten Artikel dazu findest du bei heise.de:
https://www.heise.de/download/specials/Secure-E-Mail-Sichere-E-Mail-Postfaecher-im-Vergleich-6237824

Wenn du wissen möchtest, ob dein Gegenüber die Verschlüsselung sauber umgesetzt hat, dann kannst du das hiermit prüfen:
https://www.checktls.com/TestReceiver

und wenn du einen „guten“ Provider wie etwa mailbox.org hast, dann kannst du die Transportverschlüsselung erzwingen: https://mailbox.org/de/privatkunden#e-mail-postfach-und-cloud-office

Dann versendet man mit der Endung @secure.mailbox.org
Falls ein Server in der Kette kein TLS unterstützt wird die Mail nicht versendet.

@Daniel

Diese Webseite checktls.com enthält Google trackers! Kennst du noch eine andere Seite ohne Tracking?
Ich habe das Addon Paranoia für Thunderbird gefunden. Etwa ähnliche Funktion?