BSI versendet Emails ohne TLS Verschlüsselung

Mit Werbewirksamen Aktionen haben große Hoster wie 1und1, DTAG, GMX & Co. vor 2 Jahren damit geworben, daß sie auch endlich SSL/TLS zum Verschlüsseln von Emails auf dem Transportweg einsetzen. Die DTAG (Deutsche Telekom AG ) fiel dabei besonders negativ auf, weil sie der letzte Hoster in Deutschland war, der TLS aktiviert hat.

Heute nun mußten die Admins der Firma Evolution Hosting, die seit Anbeginn der TLS Era SSL und TLS Verbindungen zu Ihren Emailservern unterstützt hat, feststellen, daß ausgerechnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch EMailserver aus der digitalen Steinzeit nutzt, die nicht per se TLS zum Senden von Emails benutzen.

Opensource Emailserver wie Exim oder PostFix senden grundsätzlich mit aktiviertem TLS, wenn der empfangene Server das zuläßt.

Damit ist das BSI aber nicht alleine, denn Massenemails werden auch von anderen prominenten TLS Verweigerern weiterhin ungeschützt verschickt, teilweise mit Kundenummer und Anschrift im Emailnachrichtenteil. Mit dabei sind u.a.:

otto.de
deichmann.com
weltbild.de
buerger-cert.de  (BSI)
braunschweiger-zeitungsverlag.de

Dabei schneiden sich diese Unternehmen selbst ins Fleisch, denn immer mehr Server nehmen nur noch TLS Verschlüsselte Verbindungen an, da Spambots i.d.R. unverschlüsselt senden wollen. Dementsprechend groß war der Spameinbruch, nachdem EvH diese Option für seine Kunden aktiviert hatte.

Ein Lichtblick

Das BSI hat innerhalb von 20h reagiert und Abhilfe versprochen:

Sehr geehrte/r Frau/Herr *******,

vielen Dank für den Hinweis. Wir werden dies abstellen.

Mit freundlichen Grüßen
das Team CERT-Bund