Ist auch POP/SMTP vomkostenlosen Account betroffen?

Wer holt seine Mails schon per Webinterface ab? Da muss man doch bescheuert sein...

Nicht jeder hat immer Zugriff auf seinen Mail-Client, wenn er gerade mal nicht zu Hause ist.

Nutze GMX auch mit Thunderbird. Aber wenn man unterwegs ist und nur mal schnell was checken will, ist das Webinterface schon ganz praktisch. Computer stehen ja quasi überall rum...

Aber betrifft es jetzt auch POP3/SMTP?

POP3 und SMTP sind sowieso immer betroffen, wenn nicht grade verschlüsselt wird.

Wie soll es denn? Via POP3/SMTP wird weder Werbung angezeigt noch wird eine HTTP Verbindung zu gmx geöffnet die man per SSL sichern könnte.

(Ja ja, POP3 und SMTP können auch via SSL gesichert werden. Wenn das eingestellt ist und nicht klappt merkt man das recht schnell weil der Mailclient keine Mails abholt.)

Nein, allerdings sollte man sich klar sein, dass mit SSL sowieso nur die letzte Meile gesichert ist. Wie die Server die Mail untereinander weiterreichen, hat man sowieso nicht unter Kontrolle. Auch bei GMail / Web.de / $PROVIDER nicht. Da hilft nur PGP/S-MIME.

Ok, wenn SSL nicht aktiviert ist? Blöde Frage... Dann ist es eh unverschlüsselt... Vergiss es... Ich geh mir nen Kaffee holen...

Jup. SSL sichert nicht den Inhalt der Mails. Das sichert nur den Zugang zu zum Postfach.
Aber E-Mails an sich waren schon immer Postkarten die jeder Zwischenserver abfangen und lesen kann. Wer das nicht will muss richtig verschlüsseln.

Exakt, und aus diesem Grunde ist sowieso jede nicht-verschlüsselte Mail von Anfang an als kompromitiert zu betrachten. Es hat eine gewisse Logik, dass die Login-Daten das einzige schützenswerte an der Interaktion mit den Mail-Servern sind.

Nichtsdestotrotz ziehe ich natürlich auch gesicherte POP3/IMAP4/SMTP Verbindungen vor. Sie helfen immerhin etwas besser gegen bestimmte Angriffsszenarios.

Computer zwar nicht, aber was ist mit dem Mobiltelefon? Die Dinger können doch alles, da wird doch ein verschlüsselter Mailabruf keine unüberwindbare Hürde sein, oder?

Mit meinem Palm Centro geht das natürlich per SSL, also werden das andere Geräte wohl auch können, oder?

_________________________________________________________________
Lesen gefährdet die Dummheit シ

Replay schrieb:
--------------------------------------------------------------------------------
> Computer zwar nicht, aber was ist mit dem Mobiltelefon? Die Dinger können
> doch alles, da wird doch ein verschlüsselter Mailabruf keine unüberwindbare
> Hürde sein, oder?

Zumal alles durch einen transparenten Proxy wandert.

1st1 schrieb:
-----------------------------------------------------
> Wer holt seine Mails schon per Webinterface ab?

Die große Mehrheit.
Die allermeisten wissen weder was ein E-Mail-Programm ist noch können sich das einrichten, installieren, pflegen.

> Da muss man doch bescheuert sein...

Da geb ich Dir recht, die Realität sieht aber eben anders aus.
Wobei das Webinterface auch so seine Vorteile hat (siehe oben). Da ist nicht plötzlich das Thunderbird-Profil verschwunden oder die Mails sind alle weg.

kt =)

RoKa schrieb:
--------------------------------------------------------------------------------
> > Wer holt seine Mails schon per Webinterface ab?
>
> Die große Mehrheit.
> Die allermeisten wissen weder was ein E-Mail-Programm ist noch können sich
> das einrichten, installieren, pflegen.

Ja, das stimmt wohl.
Früher waren POP3/SMTP-Zugangsdaten vom Provider der Usus und praktisch jeder hatte sein Mailprogramm (war ja z.B. bei Netscape auch einfach im Browser integriert).

Da haben sich einige Dinge geändert in den letzten 10 oder so Jahren, so dass wie (zumindest IMHO) einen ziemlichen Niedergang des Mediums Email beobachten müssen:
- Durch (zumindest zeitliche) Flatrates ist kein Bedarf für die Emailnutzung "online, Post holen, offline, Antwort schreiben, online, verschicken, offline" mehr gegeben. Es kostet nichts mehr, permanent online zu sein während man kommuniziert. Merken ja auch "wir" Mailprogrammuser: Entweder 'Pushmail' per IMAP-Idle oder der Client holt alle 1-5 Minuten Mails ab. Dadurch nutzen viele Leute eben die ziemlich unkomfortablen Free-Webmailer. Email wird dadurch als eher kompliziert wahrgenommen, weil man sich erst einloggen muss, dann ist Werbung, usw usf.
- Instant Messaging ersetzt Email zum Teil. ICQ/Skype hat einfach jeder im Autostart und es wirkt genauso einfach wie Mail früher mal.
- Soziale Netzwerke haben meist eigene Messaging-Funktionen.
- Spam
- Telefonflatrates. Inzwischen ist es eben auch de facto kostenlos, jemanden quer durch Deutschland anzurufen und eine Stunde zu ratschen. Früher ist ein Großteil solcher unwichtiger Kommunikation über Email gelaufen.

Taja, da merkt man, dass man alt wird...

cu, Paeniteo

Auch bei POP/SMTP kann man ohne SSL eine Grundverschlüsselung aktivieren, sie nennt sich TLS, die man z.B.im Thunderbird einschalten kann (TLS wenn möglich). Meine Frage bezog sich nicht in erster Linie auf die Verschlüsselung, sondern auf die Datenweitergabe, wäre ja auch beim Abrufen der Mails per Mailclient denkbar...

Übrigens sollte man wenn möglich im alten Thunderbird SSL benutzen und nicht das TLS (ist in Wirklichkeit StartTLS)

Man sollte "TLS falls möglich" nicht verwenden, da hier sonst transparent die Verschlüsselung deaktiviert werden könnte (Proxy filtert StartTLS aus o.ä.).
Einfach "TLS" nehmen und bei einer Fehlermeldung aktiv überlegen, ob man für den Moment unverschlüsselt reingehen möchte oder ob man auf den Mailabruf verzichten kann.

Abgesehen davon ist TLS mitnichten eine "Grundverschlüsselung", sondern sicherheitsmäßig äquivalent zu SSL.

cu, Paeniteo

schon mal davon gehört, dass TLS die Weiterentwicklung von SSL ist (Quelle z.B. Wikipedia)? Insofern ist Dein Statement leider absolut unrichtig...

Das ist richtig. TLS Version 1 == SSL Version 3!!!

HeinzMeiser123 schrieb:
--------------------------------------------------------------------------------
> schon mal davon gehört, dass TLS die Weiterentwicklung von SSL ist
Ja!
> Insofern ist Dein Statement leider absolut unrichtig...
Nein!
Beim alten Thunderbird bedeutet TLS eben nicht das normale TLS, sondern StartTLS (wie ich schon schrieb), d.h. die Verschlüsselung wird jedes mal dynamisch ausgehandelt, kann der Server plötzlich keine Verschlüsselung mehr (evtl. ja auch Man-in-the-Middle), dann hast du keine sichere Verbindung mehr _ohne_ dass dies irgendwie gemeldet wird.

Die Einstellung SSL bedeutet dagegen, dass immer SSL/TLS (je nachdem was der Server kann) benutzt wird.
Bei Thunderbird 3.x ist diese irreführende Beschriftung geändert worden.

...Und das nächste mal doch besser mal kurz selbst nachlesen (was ist StartTLS) und nachdenken bevor man anderen Unkenntnis vorwirft.