Neues Feature: E-Mail-Postfachverschlüsselung

12 Jun 2019

Wir freuen uns, heute ein Feature anzukündigen zu können, auf das wir sehr stolz sind: die Verschlüsselung eurer E-Mails auf unseren Servern, auch bekannt als E-Mail-Postfachverschlüsselung. Dank dieser Technik werden eure E-Mails auf unseren Servern individuell für euch verschlüsselt. Nur mit dem Wissen eures persönlichen Passwortes (oder eures Wiederherstellungscodes) können die E-Mails gelesen werden. In anderen Worten: Selbst bösartige Angreifer*innen mit Zugang zu den Servern könnten eure E-Mails nicht mehr ohne weiteres einsehen.

Hintergründe/Motivation und Grenzen dieser Sicherheitsfunktion

Ende-zu-Ende-Verschlüsselung von E-Mails (etwa mit GnuPG) ist bisher leider nicht weit verbreitet. Standardmäßig sind E-Mails unverschlüsselt und somit für Administrator*innen des E-Mail-Servers oder Dritte, die sich Zugang verschafft haben, einsehbar. Daher halten wir Techniken zur Verschlüsselung, bei denen die E-Mails zusätzlich vor unberechtigten Zugriffen geschützt werden, für wichtig und treiben diese aktiv voran.

Auch diese Techniken haben Grenzen. Jede serverseitige Verschlüsselung kann auch serverseitig ausgehebelt werden. Auch mit Postfachverschlüsselung müsst ihr uns als Admins weiterhin vertrauen. So könnten wir - und jede andere Serveradministrator*in - eure Passwörter beim Login auf dem E-Mail-Server mitschneiden und anschließend dafür verwenden, die verschlüsselten E-Mails zu lesen. Das machen wir selbstverständlich nicht. Wir finden es aber wichtig, diese Möglichkeit transparent zu machen. Das einzige, was eure E-Mails vor solchen Angriffen schützt, ist Ende-zu-Ende-Verschlüsselung. Daher einmal mehr unser Appell an euch: benutzt GnuPG und überzeugt eure Freund*innen, das gleiche zu tun. In unserem Wiki findet ihr Anleitungen hierzu.

Ihr solltet die Postfachverschlüsselung allerdings auf jeden Fall nutzen, da sie gegenüber GnuPG mehr Schutz vor Analyse der Metadaten (Wer, Wann, Betreff) bietet.

Außerdem solltet ihr euch unbedingt unter users.systemli.org einen Wiederherstellungscode generieren (und abspeichern), damit ihr euren Account bei verlorenem Passwort wiederherstellen könnt. Details dazu haben wir in einem früheren Artikel beschrieben.