E-Mails mit VPN geschützt?

E-mails sind generell mit 40 Bit verschlüsselt und können problemlos abgefangen oder mitgelesen werden. Leider kann man nicht mit jedem Empfänger die Emails mit 256 Bit verschlüsseln (End-to End).

Kann da wenigstens eine VPN Verbindung mit 256 Verschlüsselung eine Sicherheit anbieten vorallem wenn man via Thunderbird Emails verschickt und empfängt?
Können die Hackers usw. trotzdem die Emails ablesen wenn die VPN eingeschaltet ist?

1 „Gefällt mir“

Woher stammt diese Annahme?

Wenn du Thunderbird oder den Webmailer in einen aktuellen Webbrowser verwendest, wirst du bei jeden modernen, sicheren E-Mail Anbieter eine Verbindung über mindestens TLS 1.2 aufbauen, wobei eigentlich nur moderne Verschlüsselungsverfahren zum Einsatz kommen.
Dort findet keine Chiffre mit 40 Bit Schlüsseln Verwendung.

Das wäre auch der einzige Punkt an dem eine VPN (-Anbieter) Verbindung einen Unterschied machen könnte, nur würde am anderen Ende des VPN wieder eine normale Verbindung, wie von deinen Rechner zum Server, zum Mail-Server/der Webseite aufgebaut werden.
Am Ende ist damit unter üblichen Umständen hier, bezüglich der Thematik, nichts gewonnen.

Beim serverseitigen Senden oder Empfangen einer E-Mail sollten die E-Mail Server ebenfalls eine verschlüsselte Verbindung aushandeln, wenn sie nach dem Stand der Technik konfiguriert sind, die ebenfalls moderne Verfahren verwenden würde. Ggf. trifft das jedoch nicht zu, dann wird eher im Klartext versendet. Da hilft dann aber keine Änderung auf deiner Seite, außer ein Wechsel des E-Mail-Anbieters, wenn es an deinen liegt.

Kein Problem heute 40 Bit Schlüssel zu entcrypten, dauert nicht lange. Aber warum das Ganze, im Bekanntekreis total egal. Wer das nicht will hat was zu verbergen, dann stehst du auf der Abschussliste, Garantiert!

Diese Aussage verstehe ich nicht? Es geht nicht darum ob ich etwas zu verbergen habe. Es geht darum das es mein freiheitlich demokratisches Recht ist, Privatsphäre haben zu dürfen! Wenn ich damit auf einer Liste stehe, muss ich mir Gedanken über die Zustände der Demokratie machen, oder?

1 „Gefällt mir“

Da hast Du etwas total falsch verstanden.

40 bit ist meine ich etwas, was es vor Jahrzehnten gegeben hat, weil die IT-Produkte aus der U.S.A. keine höherwertigen Verschlüsselungsverfahren exportiert werden durften. Das ist echte Geschichte und nicht mehr relevant.

Beim E-Mail-Versand gibt es die folgenden Unterscheidungen:

Transportverschlüsselung

(-) E-Mails werden verschlüsselt zwischen Mailservern übertragen, aber unverschlüsselt in der Mailbox der Kommunikationspartner gespeichert.

(-) Der Zugriff Deines E-Mail-Client erfolgt verschlüsselt zum Mailserver für den Versand (SMTP) und Empfang (IMAP / POP) umgesetzt hat, da ansonsten die E-Mails eben zwischen Dir und dem Mailserver unverschlüsselt übertragen werden.

Unverschlüsselter Transport

(-) Ein E-Mail-Server unterstützt gar keine verschlüsselte Kommunikation, sodass E-Mails nicht nur unverschlüsselt gespeichert sondern auch unverschlüsselt übertragen werden.

(-) Dein E-Mail-Client greift mit unverschlüsselte Protokollen auf den Mailserver zu.

Ende-zu-Ende-Verschlüsselung für verschlüssete Speicherung

(-) E-Mail-Inhalte werden vom Absender mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und dann an den Mailserver übergeben. Mails werden hierbei verschlüsselt auf den Mailservern gespeichert. (Ende-zu-Ende-Verschlüsselung mit PGP oder S/MIME).

VPN

Ein VPN-wiederum verschlüsselt der Übertragungsweg Deiner Kommunikation von Deinem Client zu einem irgendwo liegenden VPN-Gateway. Alles was nach dem VPN-Gateway liegt wird wieder so übertragen, wie es die jeweiligen Client / Server Kommunikationen unterstützen.

Man kann daher mit dem VPN nur bestimmte Kommunikationsstrecken verschlüsseln, jedoch wird die weitere Kommunikation zum Mailserver und zwischen Mailservern werden vom VPN nicht abgedeckt.

Für die E-Mail-Kommunikation sind VPNs daher keine relevante Schutzfunktion.

Fazit

Du solltest dafür sorgen, dass Deine

  • E-Mail-Clients so konfigurierst, dass diese ausschließlich Transportverschlüsselt mit Deinem Mailservern kommunizieren. Dieses sollte bei aktuellen Clients eigentlich immer die Default-Variante sein, aber hier kannst Du ggf. noch einmal prüfen. Die Schlagworte sind TLS, SSL.
  • PCs / Smartphone usw. mit aktueller Software versorgt sind um möglichst aktuelle Verschlüsselungsverfahren zu unterstützen.
  • Dein E-Mail-Anbieter kannst Du daran auswählen, ob wie dieser mit Transport-Verschlüsselung umgeht. (Mailbox.org z.B. hat eine spezielle E-Mail-Domain, die nur bei möglicher Transport-Verschlüsselung E-Mails verschickt oder empfängt. Aber auch bei normalen Domains merkt sich Mailbox.org wohl ob zu einer Domain bereits transport-verschlüsselt kommuniziert wurde und akzeptiert danach keine unverschlüsselte Kommunikation.)
  • Wenn Du den Aufwand betreiben willst, kannst Du noch Ende-zu-Ende-Verschlüsselung mit PGP oder S/MIME zum Schutz der Mailinhalte bei der Speicherung auf den Mailservern einsetzen. Die Aufwände sind jedoch hoch um das sicher hinzubekommen und die Anzahl der Kommunikationspartner die das ebenfalls unterstützen vermutlich minimal.
4 „Gefällt mir“

Ehrlich gesagt habe ich mich schon lange nicht mehr mit den E-mail Verschlüsselungstechniken befasst. Mittlerweile sind TLS 1.2 und 1.3 Standard.

@Reklow

Wenn der Sender sowie Empfänger:

  • sichere VPN nutzen

  • beide Email-Anbieter mit TLS 1.3 nutzen

  • keine End to End PGP mit Thunderbird nutzen

  • keine Kopien auf dem Mailserver lassen, sondern nur Thunderbird nutzen

Wäre somit theoretisch gesehen die gesamte Kommunikationsstrecke zwischen Sender (PC) und dem Mailserver und dann zum Mailserver vom Empfänger und dann zum PC vom Empfänger mit TLS 1.3 verschlüsselt und gleichzeitig doppelt mit VPN geschützt?

Wenn alles genau so läuft wie beschrieben und vor allem, wenn zwischen allen beteiligten Mailservern TLS 1.3 eingesetzt wird, erfolgt eine gut gesicherte Kommunikation.
Das VPN trägt hierzu nichts bei und ist weder notwendig noch eine „noch sicherere“ Variante.

Das VPN macht nur die vom Nutzer verwendeten Mailserver dem VPN-Betreiber bekannt (die dieser aber ggfs. bereits indirekt aus seinen Kundendaten schließen könnte) und schützt die Verbindungen zu den Mailservern vor dem jeweiligen Provider des Internetzugangs (der sie aber ebenfalls analog dem Betreiber des VPN kennt).

Hat man auf beiden Seiten für einen bestimmten Zweck eine anonyme E-Mailadresse zu deren Servern zu jeder Zeit ausschließlich über den VPN Verbindung aufgebaut wurde, kann das ein Vorteil sein.
Ob es das ist, hängt wie immer vom persönlichen Thread-Modell ab und hier vor allem dem Wissen, vor wem man sich eigentlich absichern und schützen will.

2 „Gefällt mir“

Prinzipiell soweit Korrekt. Allerdings hast Du keinen Einfluss auf eine saubere Implementierung der TLS-Verschlüsselung sondern die Kommunikationspartner müssen sich jeweils geeignete Mail-Provider aussuchen die hier ein hohes Sicherheitsniveau gewährleisten.

Hierdurch würdest Du das Zeitfenster für unberechtigte Zugriffe durch die Administratoren des Mailproviders oder Angreifer verringern, aber natürlich gibt es immer noch ein Zeitfenster in dem bestimmte Teile der Kommunikation lesbar verfügbar sind.

Eine Verbesserungsmaßnahme könnte hier der Einsatz von verschlüsselten Postfächern sein, die nicht Ende-zu-Ende-verschlüsselt empfangene E-Mail-Inhalt vor der Speicherung mit dem öffentlichen Schlüssel des Empfängers verschlüsseln. Dann sind zwar noch die Meta-Daten verhanden (z. B. Absender, Empfänger, Betreff) aber die Inhalte selbst verschlüsselt.

Solche verschlüsselten Postfächer gibt es z. B. bei Mailbox.org, Posteo, Proton oder Tuta.

1 „Gefällt mir“

Zusätzlich erwähnenswert sind hier auch Backups seitens des E-Mail Anbieters, die potenziell auch ein paar E-Mails beinhalten werden, wenn der Mail Client nicht durchgehend läuft.

Da du Beispiele für Anbieter genannt hast, im Fall von Tuta werden auch diese verschlüsselt gespeichert. :+1:

1 „Gefällt mir“

Falls die Verbindung zwischen dem Sender und Mailserver sowie Mailserver zum Empfänger nicht sicher genug ist, dann könnte hier VPN nachhelfen bzw als „verschlüsselter Backupschutz“ dienen.

Z.B vom Smartphone werden Nachrichten von Telegram standardmässig nicht verschlüsselt versendet und die meisten Leute denken wirklich, dass diese wie Whatsapp automatisch verschlüsselt werden.

Hier könnte doch bei diesem Beispiel ein VPN bis zum Telegram Server hilreich sein, oder?

Für Telegram gilt das selbe wie E-Mail. Der Transport ist auch dort verschlüsselt.

Ein VPN verschleiert einfach nur die IP-Adresse des Nutzers vor dem Betreiber eines Dienstes.
Eine zusätzliche Sicherheit erhält man dadurch nicht.