Ob es sich bei diesem Thema um einen Rant, einen Ausflug ins Gruselkabinett oder einen Hilfeaufruf handeln wird, kann ich jetzt noch nicht genau sagen, vermutlich wird es von allem ein wenig.
Zur Sache:
Wer kennt die Karnevalsveranstaltung "Email Made in Germany"?
Hier ein wenig Kontext:
http://www.e-mail-made-in-germany.de/index.html
http://www.e-mail-made-in-germany.de/Verschluesselung.html
Und wir sehen den rosa -sorry magentafarbenen- Riesen prominent plaziert.
Was sagt das rosa -sorry magentafarbene- T denn höchstselbst dazu?
http://kommunikationsdienste.t-online.de/email/verschluesselung/
Eine durchaus brauchbare Anleitung findet sich hier
http://kommunikationsdienste.t-online.de/email/verschluesselung/anleitungen/andere.html
Nun sollte man denken, gute Sache das, aber jetzt kommt das Dingen.
Die Firma, in welcher ich seit ein paar Monaten arbeite, ist Geschäfts(sic!)kunde der Telekom, genauer gesagt, gibt es da wohl einen Webspace+Emailzugänge beim Dienst "webpage.t-com.de" (nein, ich habe damit _NICHTS_ zu tun, das liegt leider nicht in meiner Zuständigkeit).
Als ich vor ein paar Wochen meinen EMail-Zugang für die Firma bekam, ging es logischerweise ans Einrichten des Zugangs mit meinem bevorzugten EMail-Programm, denn zumindest diese Freiheit habe ich glücklicherweise, das vorgeschlagene Outlook wurde augenblicklich gegen etwas Brauchbares ersetzt, das nicht an eine chronische Krankheit erinnert.
Wie dem auch sei, natürlich habe ich zunächst kurz getestet, was mich beim Server zum Abholen (POP3, IMAP kostet extra, auch so eine geile Nummer Marke Telekom, aber naja da sind sie wohl nicht die einzigen) denn so erwarten könnte.
Ja, IMAP und IMAPS sind offen, aber da wollte mich der Server weder verschlüsselt noch unverschlüsselt reinlassen, also leider doch nur POP3 oder POP3S.
Erster Versuch war POP3, Port 110 und STARTTLS, was eigentlich heutzutage der Normalfall sein sollte, die meisten Anbieter geben einem zusätzlich POP3S (Port 995) falls man einen Mailclient hat, der nicht das modernere STARTTLS über den Standardport 110 beherrscht (gibt es solche Clients überhaupt noch?).
Aber nicht so die Telekom, STARTTLS gibbet nicht, dann eben POP3S über Port 995, und siehe da, das ging, also alles halb so schlimm.
So, und jetzt kommt das erste Ding, oder sagen wir "Dingelchen", denn das Sahnehäubchen hebe ich mir zum Schluss auf.
Erinnern wir uns noch einmal kurz an die blumigen Versprechungen "nur noch verschlüsselte Übertragung", man würde also erwarten, daß NUR noch POP3S funktioniert, aber mich versetzte es schon in gewisses Erstaunen, daß Port 110 offen ist, aber kein STARTTLS sprechen will, geht das etwa immer noch unverschlüsselt?
Kurzer Blick in die Einstellungen beim "EMailprogramm" (die "", weil es sich um Outlook handelt) auf dem Rechner unserer Sekretärin und Tatsache, da war alles auf unverschlüsselte Verbindungen eingestellt, POP3 und SMTP auf den Standardports 110 und 25, so viel also zu "nur noch verschlüsselt".
Aber natürlich ist die nette Kampagne eigentlich für Privatkunden gedacht, natürlich muss man Geschäftskunden da nicht genau so behandeln (sondern kann es schlechter tun oder ihnen ggf. noch mehr Kohle abknöpfen), oder?
Das alles wäre keinen Aufreger und erst recht keinen Post in einem Forum wert gewesen, aber dann kam es ganz dicke.
Wir erinnern uns, für POP3 war STARTTLS nicht möglich, aber dafür konnte man POP3S auf Port 995 mit dem Server sprechen, also eigentlich OK, nur wie sieht das jetzt beim Versand, also bei SMTP aus?
Moment mal, der Port für SMPTS (465) ist ja zu, was das wohl zu bedeuten hat?
Man könnte ja hoffen, daß entweder auf 25 (SMTP) oder 587 (Submission, Wikipedia weiß mehr) dann ja wohl STARTTLS möglich sein sollte, also sehen wir uns das mal an (hier gezeigt für Port 25, 587 sieht genau so aus):
Ähm, wie bitte? Kein STARTTLS und SMPTS zu? Wie soll ich da verschlüsselt kommunizieren?
Einfache Antwort, gar nicht!
Längere Suche mit Stichworten wie "SMTP TLS SSL webpage.t-com.de" oder Ähnlichem bestätigten meine schlimmsten Befürchtungen, es scheint keine Möglichkeit zu geben mit einem Zugang von webpage.t-com.de verschlüsselt SMTP zu sprechen.
Die einzige Hoffnung, die ich noch habe, es gibt einen Ausweichserver (so wie bei t-online, da gab es schon vor Jahren für User, die SSL sprechen wollten, den Server "securesmtp.t-online.de", den man statt smtp.t-online.de verwenden konnte) dessen Name ich bisher nicht gefunden habe, in sofern
"Help me Obi Wan, you´re our only hope"
und falls nicht, dann ist der rosa -sorry magentafarbene- Riese endgültig auf der dunklen Seite der Macht angekommen.
Greetz,
R_may_the_source_be_with_you_M
P.S.
Zum Ausdruck "Karnevalsveranstaltung" hier der Grund, warum das in Bezug auf "Wir schützen unsere User vor Überwachung" natürlich absoluter Blödsinn ist.
http://media.ccc.de/browse/congress/2013/30C3_-_5210_-_de_-_saal_g_-_201312282030_-_bullshit_made_in_germany_-_linus_neumann.html
bzw.
http://ftp.ccc.de/congress/2013/mp4-lq/30c3-5210-de-en-Bullshit_made_in_Germany_h264-iprod.mp4
Es geht mir auch gar nicht darum, sondern um die Möglichkeit seine Zugangsdaten eben NICHT unverschlüsselt durchs Netz pusten zu müssen, man denke da auch z.B. an Netze, denen man noch sehr viel weniger vertrauen kann als dem seines DLS-Anbieters, da kann man zumindest hoffen, daß die Daten nicht ein Mal durchs halbe Internet geroutet werden müssen, bevor sie am Mailserver des selben Anbieters (sic!) ankommen (jaja, die Hoffnung stirbt zu letzt).
Zur Sache:
Wer kennt die Karnevalsveranstaltung "Email Made in Germany"?
Hier ein wenig Kontext:
http://www.e-mail-made-in-germany.de/index.html
http://www.e-mail-made-in-germany.de/Verschluesselung.html
Und wir sehen den rosa -sorry magentafarbenen- Riesen prominent plaziert.
Was sagt das rosa -sorry magentafarbene- T denn höchstselbst dazu?
http://kommunikationsdienste.t-online.de/email/verschluesselung/
Eine durchaus brauchbare Anleitung findet sich hier
http://kommunikationsdienste.t-online.de/email/verschluesselung/anleitungen/andere.html
Nun sollte man denken, gute Sache das, aber jetzt kommt das Dingen.
Die Firma, in welcher ich seit ein paar Monaten arbeite, ist Geschäfts(sic!)kunde der Telekom, genauer gesagt, gibt es da wohl einen Webspace+Emailzugänge beim Dienst "webpage.t-com.de" (nein, ich habe damit _NICHTS_ zu tun, das liegt leider nicht in meiner Zuständigkeit).
Als ich vor ein paar Wochen meinen EMail-Zugang für die Firma bekam, ging es logischerweise ans Einrichten des Zugangs mit meinem bevorzugten EMail-Programm, denn zumindest diese Freiheit habe ich glücklicherweise, das vorgeschlagene Outlook wurde augenblicklich gegen etwas Brauchbares ersetzt, das nicht an eine chronische Krankheit erinnert.
Wie dem auch sei, natürlich habe ich zunächst kurz getestet, was mich beim Server zum Abholen (POP3, IMAP kostet extra, auch so eine geile Nummer Marke Telekom, aber naja da sind sie wohl nicht die einzigen) denn so erwarten könnte.
Code:
nmap -p110,143,993,995 pop3.webpage.t-com.de
Starting Nmap 6.40 ( http://nmap.org ) at 2014-09-11 13:15 CEST
Nmap scan report for pop3.webpage.t-com.de (194.25.134.98)
Host is up (0.075s latency).
Other addresses for pop3.webpage.t-com.de (not scanned): 194.25.134.34 194.25.134.35 194.25.134.99
PORT STATE SERVICE
110/tcp open pop3
143/tcp open imap
993/tcp open imaps
995/tcp open pop3s
Nmap done: 1 IP address (1 host up) scanned in 1.62 secondsErster Versuch war POP3, Port 110 und STARTTLS, was eigentlich heutzutage der Normalfall sein sollte, die meisten Anbieter geben einem zusätzlich POP3S (Port 995) falls man einen Mailclient hat, der nicht das modernere STARTTLS über den Standardport 110 beherrscht (gibt es solche Clients überhaupt noch?).
Aber nicht so die Telekom, STARTTLS gibbet nicht, dann eben POP3S über Port 995, und siehe da, das ging, also alles halb so schlimm.
So, und jetzt kommt das erste Ding, oder sagen wir "Dingelchen", denn das Sahnehäubchen hebe ich mir zum Schluss auf.
Erinnern wir uns noch einmal kurz an die blumigen Versprechungen "nur noch verschlüsselte Übertragung", man würde also erwarten, daß NUR noch POP3S funktioniert, aber mich versetzte es schon in gewisses Erstaunen, daß Port 110 offen ist, aber kein STARTTLS sprechen will, geht das etwa immer noch unverschlüsselt?
Kurzer Blick in die Einstellungen beim "EMailprogramm" (die "", weil es sich um Outlook handelt) auf dem Rechner unserer Sekretärin und Tatsache, da war alles auf unverschlüsselte Verbindungen eingestellt, POP3 und SMTP auf den Standardports 110 und 25, so viel also zu "nur noch verschlüsselt".
Aber natürlich ist die nette Kampagne eigentlich für Privatkunden gedacht, natürlich muss man Geschäftskunden da nicht genau so behandeln (sondern kann es schlechter tun oder ihnen ggf. noch mehr Kohle abknöpfen), oder?
Das alles wäre keinen Aufreger und erst recht keinen Post in einem Forum wert gewesen, aber dann kam es ganz dicke.
Wir erinnern uns, für POP3 war STARTTLS nicht möglich, aber dafür konnte man POP3S auf Port 995 mit dem Server sprechen, also eigentlich OK, nur wie sieht das jetzt beim Versand, also bei SMTP aus?
Code:
nmap -p25,465,587 smtp.webpage.t-com.de
Starting Nmap 6.40 ( http://nmap.org ) at 2014-09-11 13:28 CEST
Nmap scan report for smtp.webpage.t-com.de (194.25.134.34)
Host is up (0.073s latency).
Other addresses for smtp.webpage.t-com.de (not scanned): 194.25.134.98 194.25.134.35 194.25.134.99
PORT STATE SERVICE
25/tcp open smtp
465/tcp closed smtps
587/tcp open submission
Nmap done: 1 IP address (1 host up) scanned in 1.41 secondsMan könnte ja hoffen, daß entweder auf 25 (SMTP) oder 587 (Submission, Wikipedia weiß mehr) dann ja wohl STARTTLS möglich sein sollte, also sehen wir uns das mal an (hier gezeigt für Port 25, 587 sieht genau so aus):
Code:
telnet smtp.webpage.t-com.de 25
Trying 194.25.134.34...
Connected to smtp.webpage.t-com.de.
Escape character is '^]'.
220 fwd17.webpage.t-com.de IPVANS ESMTP receiver fmsad1825 ready.
EHLO
250-fwd17.webpage.t-com.de ready.
250-SIZE 52428800
250-8BITMIME
250-AUTH=LOGIN PLAIN
250-AUTH LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250 HELPEinfache Antwort, gar nicht!
Längere Suche mit Stichworten wie "SMTP TLS SSL webpage.t-com.de" oder Ähnlichem bestätigten meine schlimmsten Befürchtungen, es scheint keine Möglichkeit zu geben mit einem Zugang von webpage.t-com.de verschlüsselt SMTP zu sprechen.
Die einzige Hoffnung, die ich noch habe, es gibt einen Ausweichserver (so wie bei t-online, da gab es schon vor Jahren für User, die SSL sprechen wollten, den Server "securesmtp.t-online.de", den man statt smtp.t-online.de verwenden konnte) dessen Name ich bisher nicht gefunden habe, in sofern
"Help me Obi Wan, you´re our only hope"
und falls nicht, dann ist der rosa -sorry magentafarbene- Riese endgültig auf der dunklen Seite der Macht angekommen.
Greetz,
R_may_the_source_be_with_you_M
P.S.
Zum Ausdruck "Karnevalsveranstaltung" hier der Grund, warum das in Bezug auf "Wir schützen unsere User vor Überwachung" natürlich absoluter Blödsinn ist.
http://media.ccc.de/browse/congress/2013/30C3_-_5210_-_de_-_saal_g_-_201312282030_-_bullshit_made_in_germany_-_linus_neumann.html
bzw.
http://ftp.ccc.de/congress/2013/mp4-lq/30c3-5210-de-en-Bullshit_made_in_Germany_h264-iprod.mp4
Es geht mir auch gar nicht darum, sondern um die Möglichkeit seine Zugangsdaten eben NICHT unverschlüsselt durchs Netz pusten zu müssen, man denke da auch z.B. an Netze, denen man noch sehr viel weniger vertrauen kann als dem seines DLS-Anbieters, da kann man zumindest hoffen, daß die Daten nicht ein Mal durchs halbe Internet geroutet werden müssen, bevor sie am Mailserver des selben Anbieters (sic!) ankommen (jaja, die Hoffnung stirbt zu letzt).