Tag 22: E-Mail & Sicherheit

SMTP

Port 25 / 587

Versand & Weiterleitung

IMAP

Port 143 / 993

Abruf – serverseitig

POP3

Port 110 / 995

Abruf – lokal gespeichert

SMTP

Simple Mail Transfer Protocol

FunktionVersenden und Weiterleiten von E-Mails zwischen Mailservern (MTA ↔ MTA) sowie vom Client zum Mailserver.

Ports25 Server-zu-Server (SMTP-Relay) · 587 Client-zu-Server (STARTTLS, empfohlen) · 465 SMTPS (implizites TLS, veraltet)

RichtungNur Versand / Push – kein Abruf von Nachrichten.

AblaufEHLO → AUTH → MAIL FROM → RCPT TO → DATA → „." → QUIT

SicherheitSTARTTLS auf Port 587 verschlüsselt die Verbindung. Authentifizierung via SASL (AUTH LOGIN, AUTH PLAIN, AUTH CRAM-MD5).

MerkhilfeSendet – SMTP ist immer für das Abschicken zuständig.

IMAP4

Internet Message Access Protocol v4

FunktionZugriff auf E-Mails direkt auf dem Server. Nachrichten verbleiben serverseitig und können von mehreren Geräten synchron gelesen werden.

Ports143 unverschlüsselt / STARTTLS · 993 IMAPS (implizites TLS)

RichtungAbruf (Pull) – lesen, markieren, verschieben, löschen direkt am Server.

BesonderheitenUnterstützt Ordner (INBOX, Sent, Trash …), serverseitige Suche, partielle Nachrichtenfetches (nur Header laden), Flags (Seen, Answered …) und IDLE (Push-Benachrichtigung).

Vorteil ggü. POP3Multi-Device-fähig – alle Geräte spiegeln denselben Postfachzustand.

MerkhilfeIn der Mailbox bleiben – Mails werden nicht vom Server gelöscht.

POP3

Post Office Protocol v3

FunktionLädt E-Mails vom Server herunter und löscht sie standardmäßig danach. Verarbeitung erfolgt lokal.

Ports110 unverschlüsselt / STARTTLS · 995 POP3S (implizites TLS)

RichtungAbruf (Pull) – Nachrichten werden heruntergeladen (und meist danach gelöscht).

AblaufUSER → PASS → LIST → RETR n → DELE n → QUIT

NachteileKein Multi-Device-Support (ohne „Kopie auf Server lassen"), keine Ordnerstruktur, kein Sync-Zustand.

MerkhilfePostkasten leeren – POP3 holt ab und löscht standardmäßig.

Übersicht

Protokollvergleich auf einen Blick

Kriterium	SMTP	IMAP	POP3
Zweck	E-Mail versenden	E-Mail abrufen (serverseitig)	E-Mail herunterladen (lokal)
Standard-Port	`25` / `587`	`143`	`110`
SSL/TLS-Port	`465`	`993`	`995`
Speicherort	–	Server	Lokaler Client
Multi-Device	–	✓ Ja	✗ Nein
Ordnerverwaltung	–	✓ Ja	✗ Nein
Offline-Zugriff	–	Bedingt	✓ Ja
Bandbreite	–	Höher (permanente Verbindung)	Geringer (einmaliger Download)
RFC	RFC 5321	RFC 9051 (IMAP4rev2)	RFC 1939

Prüfungstipp

E-Mail-Weg: Vom Absender zum Empfänger

1

MUA → Postausgangsserver

Der Mail User Agent (z.B. Outlook) übergibt die E-Mail via SMTP Port 587 (STARTTLS) an den eigenen Mailserver.

2

MTA → MTA (Server zu Server)

Der sendende MTA leitet die Mail via SMTP Port 25 (mit STARTTLS) an den empfangenden MTA weiter. Dabei wird der MX-Record des Empfängers per DNS aufgelöst.

3

Empfangsserver speichert die Mail

Die E-Mail liegt im Postfach des Empfängers auf dem Mailserver (MDA).

4

MUA → Posteingangserver (IMAP oder POP3)

Der Empfänger ruft die Mail via IMAP Port 993 (serverseitig synchron) oder POP3 Port 995 (lokal herunterladen) ab.

Praxisregel

Wann IMAP, wann POP3?

IMAP wählen, wenn mehrere Geräte (Smartphone, PC, Webmailer) dasselbe Postfach nutzen – Standardfall heutzutage.
POP3 wählen, wenn keine dauerhafte Internetverbindung besteht, Serverplatz begrenzt ist, oder Mails ausschließlich lokal archiviert werden sollen.
Merke: SMTP ist immer für den Versand verantwortlich – IMAP/POP3 niemals für den Versand.

Grundlagen

Warum braucht E-Mail besondere Sicherheit?

Das SMTP-Protokoll wurde ursprünglich ohne Sicherheitsmechanismen entworfen. Absenderadressen können trivial gefälscht werden (E-Mail Spoofing), und Inhalte sind ohne Verschlüsselung im Klartext auf jedem Relay lesbar. Deshalb existieren ergänzende Techniken.

Inhaltssicherheit

Verschlüsselung und digitale Signatur

S/MIME

Secure/Multipurpose Internet Mail Extensions

Zertifikatsbasiertes Verfahren (X.509). Wird in Unternehmensumgebungen und von Mail-Clients (Outlook, Thunderbird) nativ unterstützt. Zertifikat wird von einer CA (Certificate Authority) ausgestellt und bindet einen öffentlichen Schlüssel an eine E-Mail-Adresse.

Verschlüsselung mit öff. Schlüssel des Empfängers Signatur mit eigenem priv. Schlüssel X.509-Zertifikat CA-Infrastruktur nötig

PGP / GPG

Pretty Good Privacy / GNU Privacy Guard

Web-of-Trust-Modell – Nutzer signieren gegenseitig ihre Schlüssel. Kein zentraler CA-Betrieb notwendig. Weit verbreitet bei technisch versierten Nutzern und Open-Source-Projekten. OpenPGP ist in RFC 4880 standardisiert.

Web of Trust Keine PKI nötig RFC 4880 gpg --encrypt / --sign

Verschlüsselung vs. Signatur – Abgrenzung

Ziel	Verfahren	Schutzziel
Vertraulichkeit sicherstellen	Verschlüsselung mit öffentlichem Schlüssel des Empfängers	Nur Empfänger kann lesen
Authentizität + Integrität	Digitale Signatur mit eigenem privaten Schlüssel	Empfänger prüft: Mail kam wirklich von mir und wurde nicht verändert
Beides	Signieren dann verschlüsseln	Vertraulichkeit + Authentizität

Transportverschlüsselung

TLS – Schutz der Übertragung

TLS schützt die Verbindung zwischen MUAs und Mailservern bzw. zwischen Mailservern – nicht den gespeicherten Inhalt. Unterschied zu S/MIME / PGP:

TLS (Transportverschlüsselung): Ende-zu-Server – auf dem Server liegt die Mail entschlüsselt vor. Aktiviert über STARTTLS (Upgrade einer bestehenden Verbindung) oder direkt via SMTPS/IMAPS/POP3S.
S/MIME / PGP (Ende-zu-Ende): Nur der Empfänger mit privatem Schlüssel kann entschlüsseln – Server sehen nur Chiffretext.

Prüfungsformulierung: „Transportverschlüsselung schützt den Kanal, Ende-zu-Ende-Verschlüsselung schützt den Inhalt."

Angriffsvektoren

Typische E-Mail-Angriffe

Phishing

Gefälschte Absenderadressen und täuschend echte Inhalte verleiten Nutzer zur Herausgabe von Credentials oder zum Klick auf Schadsoftware.

E-Mail-Spoofing

SMTP erlaubt beliebige MAIL FROM-Angaben. Ohne SPF/DKIM/DMARC können E-Mails als beliebige Absender-Domain versendet werden.

Man-in-the-Middle / Sniffing

Ohne TLS auf dem Transportweg können Relay-Server oder Angreifer den Klartext mitlesen. Gegenmaßnahme: STARTTLS / TLS erzwingen (DANE, MTA-STS).

Header Injection

Schadhafte Eingaben in Formularfeldern (z.B. „\r\nCC: opfer@...") fügen zusätzliche E-Mail-Header ein. Gegenmaßnahme: serverseitige Eingabevalidierung.

DNS-basierte E-Mail-Sicherheit

SPF, DKIM und DMARC im Zusammenspiel

Alle drei Verfahren nutzen DNS-Einträge der Absender-Domain und ergänzen sich gegenseitig. Sie schützen vor E-Mail-Spoofing und helfen Empfangsservern, gefälschte Mails zu erkennen und abzulehnen.

SPF

Sender Policy Framework · RFC 7208

ZweckLegt fest, welche IP-Adressen bzw. Mailserver E-Mails im Namen der Domain versenden dürfen.

FunktionsweiseDNS-TXT-Eintrag in der Absender-Domain. Der empfangende Mailserver prüft, ob die IP des sendenden Servers im SPF-Record erlaubt ist.

PrüftEnvelope-From (MAIL FROM) – nicht die sichtbare From-Adresse im Header.

Qualifier+all erlaubt alle · -all ablehnen · ~all SoftFail (markieren) · ?all neutral

Beispiel

example.com. TXT "v=spf1 mx a include:_spf.google.com ~all"

SchwächeSchützt nicht die Header-From-Adresse (sichtbarer Absender). Weitergeleitete Mails können SPF-Checks brechen.

DKIM

DomainKeys Identified Mail · RFC 6376

ZweckKryptografische Signatur des E-Mail-Headers und -Bodys durch den sendenden Mailserver. Beweist Herkunft und Integrität.

FunktionsweiseServer signiert mit privatem Schlüssel (RSA oder Ed25519). Der öffentliche Schlüssel liegt als TXT-Record im DNS der Absender-Domain unter selector._domainkey.domain.

PrüftHeader-From (sichtbarer Absender) + ausgewählte Header + Body-Hash. Überlebt Weiterleitungen – im Gegensatz zu SPF.

BeispielDKIM-Signatur im Mail-Header:

DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=mail2024; h=from:to:subject:date; bh=abc123...; b=XyZ456...

DNS-Eintrag

mail2024._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

SchwächeSagt nichts darüber aus, was mit einer E-Mail bei SPF/DKIM-Fehler passieren soll – das regelt erst DMARC.

DMARC

Domain-based Msg. Authentication, Reporting & Conformance · RFC 7489

ZweckVerknüpft SPF und DKIM, definiert eine Policy für den Umgang mit Fehlern und ermöglicht Reporting an den Domaininhaber.

FunktionsweiseTXT-Record unter _dmarc.domain. Empfangsserver wendet die Policy an, wenn SPF und/oder DKIM mit der Header-From-Domain übereinstimmen (Alignment).

Policies (p=)none – nur beobachten/reporten · quarantine – in Spam verschieben · reject – E-Mail vollständig ablehnen

AlignmentStrict: Exakte Domain-Übereinstimmung. Relaxed: Subdomains erlaubt (z.B. mail.example.com → example.com).

Reportingrua= aggregierte Reports (täglich als XML) · ruf= forensische Reports (bei jedem Fehler)

Beispiel

_dmarc.example.com. TXT "v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc@example.com; pct=100"

Zusammenspiel

Prüfreihenfolge auf dem empfangenden Mailserver

1

SPF prüfen

Stammt die sendende IP aus dem SPF-Record der Envelope-From-Domain? → Pass / Fail / SoftFail

2

DKIM prüfen

Ist die Signatur im DKIM-Header gültig (öffentlicher Schlüssel aus DNS)? → Pass / Fail

3

DMARC-Alignment prüfen

Stimmt die Domain aus SPF oder DKIM mit der Header-From-Domain überein? → DMARC Pass wenn mind. eines aligned.

4

DMARC-Policy anwenden

Bei DMARC-Fail: none → zustellen & reporten · quarantine → Spam · reject → ablehnen

Merktabelle: SPF vs. DKIM vs. DMARC

Aspekt	SPF	DKIM	DMARC
Schützt	Envelope-From (IP)	Header-From + Inhalt	Header-From (Policy)
Methode	IP-Whitelist im DNS	Krypto-Signatur	Policy + Alignment
Weiterleitung	Bricht oft	Überlebt	Abhängig von DKIM
Aktionspflicht	Kein Enforcement	Kein Enforcement	Enforcement (reject/quarantine)
Reporting	Nein	Nein	Ja (rua, ruf)

Wissenscheck

0 / 8 beantwortet

1. Welches Protokoll wird ausschließlich für das Versenden von E-Mails eingesetzt?

2. Auf welchem Port wird IMAP standardmäßig mit implizitem TLS (IMAPS) betrieben?

3. Ein Mitarbeiter möchte sein Postfach auf Smartphone und PC synchron halten. Welches Abrufprotokoll ist dafür geeignet?

4. Was unterscheidet Transportverschlüsselung (TLS) von Ende-zu-Ende-Verschlüsselung (S/MIME)?

5. Was legt ein SPF-Record fest?

6. Welche Aussage zu DKIM ist korrekt?

7. Ein Unternehmen setzt DMARC mit p=quarantine. Was passiert mit einer E-Mail, die SPF und DKIM nicht besteht?

8. Welcher Port wird für die Einreichung von E-Mails vom Mail Client zum Mailserver (mit STARTTLS) empfohlen?