Verschlüsselte Mailverbindungen (Netzprisma E-Mail)

Um die Verbindung zwischen Ihrem Mailprogramm und unserem Mailserver zu schützen, kann optional Verschlüsselung beim Abholen und Versenden von E-Mails genutzt werden.
Die Verschlüsselung der Mailverbindungen ist grundsätzlich empfehlenswert, bei Nutzung Ihres Rechners/ Tablets/ Smartphones in fremden Netzen (fremde WLANs etc.) sogar dringend anzuraten.

Empfehlenswerte Einstellungen:

Mailserver smtp:   mail01.netzprisma.de    Port 587, starttls
Mailserver pop3:   mail01.netzprisma.de    Port 995, ssl/tls
Mailserver imap:   mail01.netzprisma.de    Port 993, ssl/tls   (sofern imap gebucht wurde)

Benutzername: (vollständige Mailadresse)
Kennwort: (zugehöriges Kennwort)

Folgende Einstellungen sind für verschlüsselte Verbindungen nutzbar:

  • Stellen Sie den pop3- und smtp-Servername auf mail01.netzprisma.de ein
    Die ggf. eingerichteten bisherigen Zugangsdaten “smtp.<IhreDomain>” / “pop3.<IhreDomain>” können zwar weiterhin genutzt werden – jedoch nicht mit der Verschlüsselung.
  • Ausgehende Mails (smtp mit STARTTLS)
    Für den Mailversand verwenden Sie Port 25 oder 587 (=empfohlener Port).
    Aktivieren Sie die Verschlüsselung ausgehender Mails (die Bezeichnung ist abhängig vom Mailprogramm). Wenn Ihr Mailprogramm “TLS” oder “STARTTLS” anbietet, ist das die richtige Einstellung. In AppleMail, iPhone/ iPad heißt die Einstellung “SSL”  (bitte auf den Port 587 achten, der sollte von Ihrem Mailprogramm automatisch vorgeschlagen werden).
  • Eingehende Mails (pop3 mit STLS bzw. pop3s)
    Für den Mailempfang verwenden Sie, abhängig vom Mailprogramm, Port 110 mit STLS oder Port 995 mit SSL.
  • Eingehende Mails (imap mit STARTTLS bzw. imaps) (sofern Sie imap nutzen)
    Abhängig vom Mailprogramm bitte Port 143 mit STARTTLS (oder „TLS“) einstellen – oder Port 993 mit SSL.

E-Mails zwischen unserem und fremden Mailservern werden, sofern die Gegenstelle das unterstützt, verschlüsselt übertragen. Das klappt unter anderem z.B. mit E-Mails von/ zu T-Online oder Google Mail.
Ob Mailverbindungen zw. unserem Mailserver und einem bestimmten Absender-/ Empfänger-Mailsystem verschlüsselt übertragen werden, muss man ggf. im konkreten Fall anhand der Maillogs oder der E-Mail Header (sofern der Mailserver das dort einträgt) nachvollziehen.

Fragen und Antworten

Frage: Bedeutet das, dass die Mail dann vom Empfänger bis zum Absender verschlüsselt bleibt?
Antwort: Nein.
Die Verschlüsselung der Verbindung wird immer zwischen SMTP-Sender und SMTP-Empfänger ausgehandelt. Hier konkret: zwischen Ihrem Mailprogramm (z.B. Outlook) und unserem Mailserver. Soll die E-Mail zu einem externen Empfänger geschickt werden, wird unser Mailserver mit dem nächsten empfangenden Mailsystem eine weitere Verbindung öffnen, um die E-Mail dorthin zu schicken. Falls möglich, wird auch für diese Verbindung eine verschlüsselte Verbindung ausgehandelt – garantieren kann man das jedoch nicht.
Man müsste sich die Mail-Verbindungen, Header-Daten der E-Mails und die Logdateien ansehen, um herausfinden zu können, ob E-Mails von A nach B jeweils über verschlüsselte Verbindungen geschickt worden sind. Darüber hinaus wird jeweils, sofern möglich, die Verbindung verschlüsselt, nicht die E-Mail selbst. Ihre Mail wird zwar verschlüsselt übertragen, jedoch unverschlüsselt auf jedem Mailserver verarbeitet, der am Mailtransport beteiligt ist.

Frage: Was wird für eine Verschlüsselung der Mail vom Absender bis zum Empfänger benötigt?
Antwort: Dafür verwenden Sie bitte PGP/ GPG oder SMIME. Damit können Sie eine E-Mail von Ihrem Mailprogramm bis zum Mailprogramm des Empfängers verschlüsseln, also „Ende-zu-Ende“.
Solche Systeme erfordern allerhand Aufwand in der Einrichtung sowie im Umgang damit. GPG wird wohl wegen seiner Architektur und Verbreitung häufiger empfohlen, SMIME ist hingegen etwas einfacher einzurichten, da seine Funktion in verschiedenen Mail-Programmen bereits eingebaut ist (was speziell für diesen Anwendungsfall jedoch nicht immer die bessere Wahl bedeutet). Beide Systeme sind in der Lage, eine ähnlich starke Verschlüsselung umzusetzen.
E-Mails, die damit verschlüsselt worden sind, sind auf dem Transportweg nicht mehr lesbar. In der Standard-Einrichtung liegen dann auch in Ihrem Mailprogramm nur die verschlüsselten Versionen der E-Mails – für den Zugriff benötigt man das persönliche Kennwort. Verlieren Sie Ihren Zugriffsschlüssel, haben Sie selbst jedoch auch keinerlei Zugriff mehr.
Eine Ende-zu-Ende-Verschlüsselung mit GPG gilt derzeit als sicher, jedoch ist die Einrichtung und Handhabung mit Aufwand verbunden. Für vertraulichen Mailverkehr ist jedoch dringend zu empfehlen, die Mails ordentlich zu verschlüsseln.