Wie läuft diese direkte Übertragung (ohne Involvierung von Mailservern im Ausland) denn ab, wenn ich zum Beispiel eine Mail von Hanoi (Vietnam) an einen Empfänger in Phnom Penh (Kambodscha) schicke, wobei mein Mail-Provider in Karlsruhe sitzt und der Mail-Provider des Empfängers in Berlin?
Meine Frage ist nicht ironisch gemeint. Sondern ich möchte es einfach nur gerne wissen.
Der Sender in Vietnam kontaktiert über seinen ISP seinen E-Mailprovider in Karlsruhe und übergibt diesem über eine TLS-Verbindung seine Nachricht. Der Server in Karlsruhe sendet die Nachricht über eine TLS-Verbindung an den E-Mailprovider in Berlin.
Der Empfänger in Kambodscha verbindet sich über seinen ISP mittels TLS-Verbindung mit dem Server seines Providers in Berlin.
Sofern also Sender und Empfänger ihre Provider über ihren jeweiligen ISP erreichen können, ist da nichts mit unverschlüsseltem Server-Hopping.
Wenn Sender oder Empfänger interessant genug sind, wird man direkt bei diesen bzw. den ISP dazwischen ansetzen. Da muss man drauf achten.
Der E-Mailprovider.bzw. das Thema E-Mailsicherheit ist nach meiner Einschätzung in diesem Kontext nicht relevant.
Du schreibst: “Der Sender in Vietnam kontaktiert über seinen ISP seinen E-Mailprovider in Karlsruhe und übergibt diesem über eine TLS-Verbindung seine Nachricht.” Hierzu muss diese TLS-Verbindung aber bereits bestehen. Das ist jedoch noch nicht der Fall, da noch keine Schlüssel ausgetauscht worden sind.
Das BSI schreibt zur Transportverschlüsselung (TLS) folgendes:
Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll „Transport Layer Security“ (TLS) verschlüsselt. Dies wird inzwischen von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. E-Mails werden beim Versand allerdings über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.
Internetkriminelle könnten einen „Man-in-the-Middle-Angriff“ durchführen, der auf diese Punkte ausgerichtet ist. Bei diesem Angriff platziert sich ein Angreifer „in der Mitte“ der Kommunikation zwischen zwei Kommunikationspartnerinnen oder -partnern und kann ohne deren Wissen Daten (z.B. E-Mails) abfangen, kopieren oder verändern.
Zur Antwort verweise ich auf den Beitrag von @Reklow, der diesen Sachverhalt zuvor bereits beschrieben hat:
Was soll dein Beitrag? Ich habe Reklows Aussage gelesen und die Aussage des BSI dagegen gestellt.
Du behauptest jetzt, dass Reklow recht hat und dass das BSI keine Ahnung hat.
Das war wohl etwas missverständlich formuliert. Gemeint ist: Es kann nicht für jede Einzelanforderung eine Empfehlung abgegeben werden und eine Liste macht auch nicht immer Sinn. Somit wurden es für diesen Beitrag wohl Mailbox und Posteo, sowie es in dem anderen Beitrag Firefox und Brave waren. Ich denke man hätte diesen beiden Mail Spezialanbietern vielleicht noch einige Provider mit umfassenderen Services wie z.B. eben Proton hinzufügen können. Aber vielleicht wäre die Empfehlung dann auch wieder verwässert worden. Ich habe mir auf jeden Fall mit Empfehlungen im Bekanntenkreis und für meine eigenen Anforderungen mit Proton als Gmail-Ersatz etwas einfacher getan.
Wie bereits gesagt: Ich kritisiere Mikes Beitrag in keiner Weise. Er schreibt, dass er an Anfänger adressiert ist und diese nicht durch überkomplizierte Beschreibungen verschrecken will.
Darüber hinaus hast du recht, dass jeder für sich selbst eine passende Lösung finden muss, die keinen Anspruch auf Allgemeingültigkeit haben muss.
Hier ist außerdem noch der Link zu dem Beitrag des BSI, aus dem meine Zitate stammen:
Darüber hinaus gibt es einen Artikel des BSI, in dem es sich dafür ausspricht, auch die klassischen assymetrischen Verschlüsselungsverfahren (wie PGP) bald nicht mehr allein einzusetzen, sondern sie mit Verfahren der Post-Quanten-Kryptographie zu kombinieren:
Vom BSI habe ich nichts geschrieben. Geantwortet habe ich auf deine ursprüngliche Frage nach dem Ablauf der beschriebenden E-Mailkommunikation bzw. die Konstellation mit Sender und Empfänger in verschiedenen Ländern.
Beschrieben habe ich dabei meine Kenntnisse, die sich aus dem Betrieb von Mailservern ergeben. In der Praxis sieht das so aus, das eine E-Mail von einer Adresse von MS von einem MS-Server eingeliefert wird, ebenso eine Gmail-Adresse von einem Google-Server, usw. Andere werden auch nicht angenommen. Ebenso werden beim Versand direkt die als MX zur Domain eingetragenen Server kontaktiert. Da kommt nichts von sonstwoher oder geht irgendwohin.
Das BSI könnte z.B. meinen, dass die E-Mail nach Einlieferung beim Server x des Providers noch über weitere in dessen Netzwerk geht bevor sie endgültig rausgeht oder ins Postfach einsortiert wird. Das interne Netz ist aber Dritten in der Regel nicht zugänglich. Muss man aber wissen und je nach Anwendungsfall beachten.
Das Thema des Artikels ist aber aus Gründen fern des technischen Übertragungswegs für das beschriebene Szenario bedeutsam:
Wo ist es am wahrscheinlichsten, dass eine der genannten staatlichen Autoritäten bei Vorliegen eines gemäß dem eigenen Rechtssystems validen Sachverhalt zum Zugriff auf die Konten einen solchen vom E-Mailprovider erhält?
Wird also eher MS, Goggle oder andere der als BigTech genannten Zugriff gewähren oder der europäische E-Mailspezialist, der sich sichere private Kommunikation in den Geschäftszweck schreibt? Das gilt es für sich und das eigene Bedrohungsszenario einzuschätzen.
Das BSI meint damit vermutlich, dass die Mailinfrastrukturen eines Anbieters typischerweise nicht aus einem einzelnen Mail-Server bestehen, sondern die E-Mail „innerhalb des Anbieters“ über mehrere System hinweg transportiert werden bevor sie im Postfach abgelegt wird (z. B. ein vorgelagertes Sicherheitsgateway für Spam-Schutz und danach erst der eigentliche Postfachserver).
E-Mails zwischen den Mailinfrastrukturen von Anbietern z. B. @gmx.net und @mailbox.org werden jedoch seit langer Zeit direkt übertragen ohne dabei auf lokale E-Mail-Provider in Kambotscha oder Vietnam zurück zugreifen zu müssen
Dieses war in der „Pre-Internet-Zeit“ wo nur wenige Server direkten Zugang zum Internet hatte und daher E-Mails über Wählverbindungen und ein hierarchisches Netzwerk von weiter vermittelnden Mailservern übertragen wurden anderes. Ich kenne so etwas noch aus den 90er Jahren, vermute jedoch ab den 2000er hat das massiv abgenommen und dürfte heute nicht mehr vorkommen.
Nein, das BSI meint damit nicht, dass eine Mail „innerhalb des Anbieters“ über mehrere Systeme hinweg transportiert wird.
Und natürlich werden Mails zwischen GMX und Mailbox direkt übertragen. Warum sollten sie auch erst um die halbe Welt geschickt werden, wenn beide Provider im selben Land sitzen?
Darum geht es aber nicht, sondern um Folgendes:
Wenn ich irgendwo im Fernen Osten sitze und von dort eine Mail mit meiner deutschen Adresse verschicke, geht sie in das Netz des örtlichen asiatischen Mail-Providers und von dort weiter, bis sie meinen deutschen Mail-Provider, bei dem ich mein Mailkonto habe, erreicht. Ein traceroute zeigt mir, dass sie hierbei über 12 hops läuft.
Mein deutscher Mail-Provider schickt dann meine Mail direkt an die Adresse meines Korrespondenzpartners, der sein Konto bei einem anderen deutschen Mail-Provider hat.
Da er, wie ich, ebenfalls im Fernen Osten sitzt, läuft diese Mail, sobald er sie abruft, dann auch wieder über rund ein Dutzend hops zu dem Laptop, an dem er in Asien mit seinem Mail-Client sitzt.
Das ist Stand der Dinge am 13. April 2026 und nicht „irgendwann in den 90er Jahren“.
Nach meinem Verständnis ist das ein anderer Layer in der Netzwerkkommunikation.
Dort siehst du den Weg einzelner Pakete aus einer TLS-Verbindung.
Das ist wie in den 90ern, allerdings wurden die E-Mails seinerzeit über unverschlüsselte Verbindungen gesendet und da war das auch relevant.
Dann schick doch bitte mal eine Mail von dem Server deines deutschen Mailproviders direkt an einen Mailserver in Asien, und zeig mir, dass sie auf dem Weg dorthin über keinen einzigen anderen Server gelaufen ist.
Ein Traceroute ist das Ausmessen der Router einer beliebigen IP-Kommunikation zwischen Dir und dem gemessenen Ziel befinden. Das funktioniert so, dass Traceroute dem Absendepaket mitgeteilte wird wie viele Router (Hops) maximal durchlaufen werden dürfen und jeder Router zieht einen von den Hops vor dem weiterversenden ab. Der Router bei dem dann die Anzahl auf 0 fällt schickt eine Antwort mit seiner Adresse zurück und dieses siehst Du dann in der Traceroute-Ausgabe. Traceroute schickt dann Pakete mit immer weiter ansteigenden Hop-Zahlen bis das gewünschte Ziel antwortet.
Dieses Vorgehensweise hat nichts mit E-Mail zu tun, sondern nur mit dem Paket-Versand auf IP-Ebene über Router (wie ja @jdevlx schon erwähnt hat). Wenn Du mehr zu der Unterscheidung der Protokoll-Ebenen lesen möchtest, solltest Du Dir das OSI-Modell ansehen.
https://de.wikipedia.org/wiki/OSI-Modell
Traceroute arbeitet meines Wissens nach auf Schicht 3 (Paketvermittlung) während die für E-Mail-Relevanten Protokolle auf den Layern 5-7 unterwegs sind.
Theoretisch kann jeder Router auf der Strecke die Inhalte der IP-Pakete mitlesen und damit prinzipiell auch eine E-Mail. Dieses gilt jedoch nur solange die über IP übertragenden Anwendungsprotokolle keine eigenständige Transport-Verschlüsselung (Transport Layer Security TLS) einsetzen. Dieses ist jedoch heute bei E-Mail der Standard indem die verschlüsselten Protokoll-Varianten von IMAP, SMTP und für einen Zugriff auf einen Webmailer HTTPS eingesetzt werden. Daher kann typischerweise kein Router auf der Strecke mehr lesen, als Quelle und Ziel der IP-Pakete, aber keine Inhalte.
Insbesondere aber wird keine E-Mail wenn Du in einem fremden Land bist über E-Mail-Server des fremden Landes übertragen
Vielleicht sollten wir uns nicht immer tiefer in technische Details vergraben, sondern doch versuchen, wieder zum ursprünglichen Thema zurückzukommen.
Meine ursprüngliche Frage war, ob es etwas bringt, wenn ich mir eine kostenpflichtige Mail-Adresse wie “soidog@posteo.de” zulege, wenn ich dann mit Leuten korrespondiere, deren Mail-Adresse “heinblöd@gmail.com” lautet.
Meine Mails laufen dann nämlich trotzdem weiterhin im Klartext durchs Internet und liegen auf den Servern der Mail-Provider unverschlüsselt herum.
Daraufhin gab es eine längere Debatte über das Für und Wider von TLS. Aber Transportverschlüsselung löst das Problem auch nicht, weil meine Mails am Anfang und Ende der Übertragung dann doch wieder bei beiden Mail-Providern unverschlüsselt herumliegen. Und es macht für mich keinen Unterschied, ob die Leute, die dann darin herumstöbern, bei Posteo oder bei Google angestellt sind.
Meiner Meinung nach bringt es nur etwas, wenn Mails Ende-zu-Ende verschlüsselt sind. Nur dann ist gewährleistet, dass tatsächlich nur der Empfänger sie lesen kann. Zur Zeit ist der Standard für diese Art der Verschlüsselung noch PGP, in 5 bis 10 Jahren wird es (nach Einschätzung des BSI) eine Kombination dieser Verschlüsselung mit Post-Quanten-Kryptographie sein.
All das bringt aber nur etwas, wenn beide Korrespondenzpartner dabei mitspielen. Und da bin ich ziemlich pessimistisch. Zumindest in meinem Umfeld mailen die Leute fröhlich mit gmail & Co und ignorieren meine Bitten, es doch mal mit PGP zu versuchen.
Du kannst effektiv nur Deine Seite der Kommunikationsstrecke beeinflussen in dem Du einen für Dich vertrauenswürdigen Mail-Provider auswählst. Zumindest entziehst Du so einen Teil Deiner E-Mail-Kommunikation anderen, weniger vertrauenswürdigen Mail-Providern.
Mikes Serie dreht sich um Alternativen zu BigTech. Welchen Fokus Du für Dich persönlich setzt ist Dir überlassen.
Für mich ist E-Mail der zentrale Bestandteil meiner digitalen Identität.
Mein Postfach enthält daher den zentralen Überblick über meine digitalen Geschäftsbeziehungen.
Daher wähle ich als E-Mail-Provider einen für mich vertrauenswürdigen Anbieter aus. Ich vermeide Werbefinanzierte Dienste und bezahle meinen Provider lieber direkt. Amerikanisches BigTech vermeide ich vor allem aufgrund ihrer zumeist werbefinazierten Geschäftsmodelle aber auch aufgrund der völlig unvorhersehbaren Gebahrens der aktuellen Regierung.
Alles richtig. Für mich aber nicht genug.
Ich mache auch einen möglichst großen Bogen um alles, was mit diesen amerikanischen Spionageorganisationen (Alphabet, Amazon, Apple, Meta, Microsoft) zu tun hat.
Ich mag es aber auch nicht, wenn andere wildfremde Menschen in meiner Post herumschnüffeln. Und zu diesen gehören für mich auch die Angestellten von Mail-Providern - egal ob „vertrauenswürdig“ oder nicht.
Nur mit einer Ende-zu-Ende-Verschlüsselung kann ich sicherstellen, dass das nicht geschieht. Mit ihr bleibt meine Kommunikation für alle unleserlich, solange sie unterwegs ist. Erst auf meinem eigenen PC bzw. dem meines Kommunikationspartners wird sie von uns selbst dann entschlüsselt und damit wieder lesbar.
Das Problem hierbei ist die Dummheit und Sturheit meiner dienstlichen und privaten Kommunikationspartner, die sich weigern, irgendeine Art von Verschlüsselung zu verwenden, und somit darauf bestehen, sich selbst und mich vor aller Welt zu prostituieren.
Dafür habe ich bisher noch nirgendwo eine Lösung gefunden. Vielleicht sollten wir ein neues Thema aufmachen: „Wie bringe ich meine Kommunikationspartner dazu, sichere Kommunikationsweisen zu benutzen?“.
Das lässt sich zumindest zum Teil erschweren: Anbieter wie mailbox.org oder Posteo bieten die grundsätzliche (Eingangs-)Verschlüsselung des gesamten Postfachs an. Dabei wird dein öffentlicher PGP-Schlüssel hinterlegt und alles in allen Ordnern wird damit verschlüsselt, inkl. eingehende Mails, so dass selbst dein Provider - oder jemand der sich, gesetzlich oder illegal, Zugriff darauf verschafft - keine Chance hat, dies ohne Deinen privaten Schlüssel zu entschlüsseln. Natürlich gilt das nur für alles, was bei deinem Provider liegt, nicht für das, bei deinem Kommunikationspartner. Bringt aber schon mal einiges dahingehend.
Weil es die, so wie Du es Dir vorzustellen scheinst, einfach nicht gibt. Denn Du sagst es ja selbst:
Genau das ist der Punkt. E-Mail-ETEE einzurichten und zu nutzen ist für Kommunikationspartner nun mal nicht so simple wie wie bei Messengern.
Mit Lösungen wie Proton oder Tuta lässt sich das halbwegs bewerkstelligen, da werden die Kommunikationspartner quasi gezwungen, dir über ein Panel im Browser Ende-zu-Ende verschlüsselt zu antworten. Wie glücklich damit die Adressaten sein werden, ist allerdings auch wieder eine andere Sache.
Und Du hast mit Deinem letzten Satz vor allem auch in einem Punkt recht: Diese ganze Diskussion geht hier völlig am Thread-Thema vorbei und sollte lieber in einem anderen thematisiert werden.
Die Eingangsverschlüsselung bei mailbox.org und Posteo ist auf jeden Fall gut und hilfreich. Damit wäre dann ein weiteres Loch im Kommunikationssieb geschlossen.
Bezüglich Proton und Tuta hat Mike in seiner Empfehlungsecke folgendes geschrieben:
Ich werde oft gefragt, warum ich E-Mail-Anbieter wie Proton Mail oder Tuta nicht empfehle. Weil der Zugang über IMAP nicht möglich ist, was ich für sehr wichtig halte. Ich möchte nicht auf den Browser oder die Apps des Providers angewiesen sein, um meine E-Mails abzurufen. Ich weiß, dass Proton eine »Proton Mail Bridge« anbietet. Das funktioniert aber nicht bei jedem Client, vor allem nicht mobil.
Also geht es in diese Richtung wohl auch nicht weiter. Es bleibt schwierig…
Hi Zusammen,
wie kann man mailbox.org als guten/sicheren Anbieter empfehlen, wenn man so etwas hier liest.
bzw.
Sind das nicht Dinge, die bei einem „seriösen“ Mailanbieter mit einem BSI Siegel funktionieren müssen/sollten?
Gerade die Spoofing-Geschichte ist seit Jahren ein Problem (erster Forums-Beitrag im DE Forum vor Jahren wurde wohl von irgendjemand gelöscht - im englischen Forum existiert die Frage auch schon seit Jahren).
Und wenn ich es richtig verstehe/einordne ist es wirklich ein sehr ernstes Thema.
Ich kann jedenfalls nicht verstehen, wie Kuketz-Blog mailbox.org empfehlen/nutzen kann, wenn diese Probleme wirklich so existent sind.
In dem Artikel geht es um #UnplugBigTech und dieser richtet sich an Einsteiger die von den zumeist amerikanischen Big Tech Konzernen weg wollen.
Auch wenn mailbox.org nicht perfekt ist, bietet dieser Anbieter eine europäische Alternative zu BigTech, insbesondere auch da er eine Alternative zu den datengetriebenen Geschäftsmodellen verfolgt und nicht am Ende doch über die Werbenetzwerke wieder an Bigtech hängt.
Insofern passt mailbox.org wie auch posteo schon gut zur Zielrichtung des Artikels.