v3 E-Mail Versandprobleme mit älteren macOS

v3-Mail-Versand mit Apple Mail.app erst ab 10.12 Sierra möglich

Für eine bequeme Nutzung von v3-Mail mit Apple Mail.app muss mindestens macOS 10.12 Sierra im Einsatz sein, da Ihre Nachrichten sonst alternativ nur über das v3-Webmail oder alternative Clients verschickt werden müssten.

Schuld ist die fehlende Implementierung aktueller Sicherheit-Standards seitens Apple. So ermöglicht Apple erst ab macOS 10.12 „Sierra“ die verschlüsselte Verbindung und Datenübertragung über das als sicher geltende Protokoll TLS 1.2. Ältere Mac-Systeme wurden von Apple nicht entsprechend nachgerüstet und werden es allen Anscheins auch nicht.

Seit kurzem wird auf unserer Hosting-Plattform “macbay v3” nur die sichere Verbindung über TLS 1.2 untersützt und das hat gute Gründe:

Was ist geschehen?

Um unsere v3-Plattform so sicher wie möglich zu machen, haben wir auf v3 die Verschlüsselung der Verbindungsdaten zwischen Mail-Server und den Mail-Clients standardmäßig auf TLS 1.2 gesetzt und dabei TLS 1.1 und TLS 1.0 deaktiviert.

TLS 1.2 gilt mittlerweile der Mindest-Standard bei der sicheren und verschlüsselten Übertragung von Daten aller Art und wird in aktuellen Browsern und Email-Programmen gleichermaßen eingesetzt.

Was ist TLS und wofür brauchen wir es?

Das TLS-Protokoll (Transport Layer Security) dient der Sicherstellung von Vertraulichkeit, Authentizität und Integrität bei der Übertragung von Daten in unsicheren – also offenen – Netzwerken, wie eben dem Internet. TLS (Transport Layer Security) ist ein kryptographisches Protokoll zur Etablierung eines sicheren Kanals (verschlüsselt, authentisiert und integritätsgeschützt). Insbesondere ist die TLS-gesicherte Übertragung im Internet (mittels HTTPS und SMTPS) sehr wichtig und weit verbreitet. Gerade bei sensiblen Daten, die über E-Mail, E-Commerce, Homebanking übermittelt werden ist es wichtig, dass die Daten (insbesondere Zugangsdaten und Passwörter) sicher übertragen werden können. Hier spielt das TLS-Protokoll eine wichtige Rolle. Es dient dazu, einen sicheren Kanal zwischen Sender und Empfänger (z. B. Mail-Account auf dem Server und dem Client bzw. Mail-Programm) aufzubauen und alle Daten sicher durch diesen Kanal zu übertragen.

Der Spezifikationsstandard von TLS wird von der IETF (Internet Engineering Task Force) in RFCs (Request For Comment) in einem öffentlichen Diskussionsprozess standardisiert. Der flächendeckende Einsatz von TLS 1.2 schreitet vor allem seit der mit “Poodle” und “Heartbleed” betitelten Sicherheits-Lücken voran, um Webseiten-Besucher, Webseiten-Betreiber und Email-Nutzer besser gegen unbefugte Eindringlinge wie Bots, Hacker/Cracker, Phishing, Trojaner und auch gegen Spam sowie andere Plagen zu schützen.

Was ist an älteren Versionen von TLS so gefährlich?

Kurze Antwort: Das Passwort Ihres Mail-Kontos kann kinderleicht abgehört werden. Damit ist nicht nur Ihre persönliche Sicherheit potentiell gefährdet. Sondern auch die Privatspähre aller Personen, von denen Sie Email-Korrepondenzen in Ihrem Mail-Konto gespeichert haben!

Hintergrund: Seit 2011 sind mehrere Angriffe gegen SSL/TLS bekannt geworden. Die entsprechenden Schwachstellen können erst in TLS 1.2 behoben werden, und zwar durch Nutzung entsprechender Cipher-Suites gemäß [TR-02102-2], wie wir diese auf v3 nun eingerichtet haben.

Ein Festhalten an TLS 1.1 (wie es nur von älteren Macs bis einschliesslich El Capitan macOS 10.11 unterstützt wird) kann gefährlich sein, zumal auf den meisten Webseiten etliche Meta-Daten der Besucher aufgezeichnet werden, z.B. die IP, die Browser-Version und vor allem auch das Betriebssystem. Es reicht, wenn auf einer Webseite genau diese Informationen missbräuchlich ausgenutzt werden, um Sie einem hohen Risiko auszusetzen. Im Grunde genommen kann der gesamte Traffic zwischen Browser und Servern abgehört und entschlüsselt werden. Dies beinhaltet auch die verschlüsselte Übertragung von Passwörtern.

Für Email bedeutet dies, dass sämtliche Nachrichten abgehört werden können und das Passwort, mit dem der lokale Email-Client (z.B. Apple Mail) sich mit dem Mail-Account auf dem Server anmeldet. Somit kann der Mail-Account missbraucht werden für den heimlichen Versand von Spam, Phishing-Mails und anderen schädlichen Nachrichten. Dies geschieht, ohne das der legitime Mail-Account Inhaber das anfangs mitbekommt, sondern erst, nachdem er zahllose Bounce-Mails erhält und Probleme bekommt, eigene Nachrichten zu versenden.

Ein entsprechend kompromittierter Mail-Account wid meist für den Versand von Spam- und Viren-Mails genutzt und zwar auch an die in den Postfächern des Accounts gespeicherten Emails bzw. Ihren Empfängern. Doch auch die üblichen Spam-Listen werden abgearbeitet und erweitert. Dies kann nicht nur eine Rufschädigung zur Folge haben. Es gab schon Fälle in der Vergangenheit, wo die Absender zu hohen Schadensersatz-Zahlungen erfolgreich verklagt wurden und sogar die Mail- und Hosting-Provider eine Mitschuld zugesprochen wurde aufgrund der Fahrlässigkeit, veraltete Protokolle überhaupt zuzulassen.

Aus diesem Grund werden übrigens – voraussichtlich ab 2020 – eine wachsende Zahl an Mail- und Hosting-Providern keine Verbindungen mit älteren Apple-Mail-Programmen mehr zulassen! Ob dies Apple dazu bringen wird, seine älteren Macs mit neueren TLS-Zertifikaten nachzurüsten, ist natürlich noch nicht absehbar.

Was kann ich jetzt tun?

Im Moment haben Sie folgende Möglichkeiten, Nachrichten Ihrer v3-Mail-Konten zu versenden:

1. Webmail-Interface unter https://cube.macbay.net:2096
2. macOS aktualisieren*
3. Alternative Email-Programme nutzen, zum Beispiel eines aus der folgenden Liste:

* Es gibt viele gute Gründe, warum Sie als Mac-User nicht immer die neuesten OS-Upgrades mitgehen wollen oder können, z.B. weil Sie Programme benutzen, die (noch) nicht für aktuelle Mac-Systeme angepasst wurden. Und natürlich wollen wir alle Kunden ermöglichen, Ihren  v3-Account auch mit älteren macOS zu nutzen. Dabei gilt es nur abzuwiegen zwischen Bequemlichkeit (Nachrichten aus einer alten Apple Mail.app versenden) und Sicherheit.

Solange wir noch keine eigene Lösung gefunden haben, den Mail-Versand über ältere Mail.app Versionen doch noch zu ermöglichen, bleibt die Entscheidung zu Gunsten der Sicherheit im Interesse der meisten v3-Nutzer.

Kommt doch noch Hilfe für ältere macOS?

Wir führen in den kommenden Tagen eine weitere Evaluierung durch und werden diesen Artikel entsprechend aktualisieren. Bei Fragen oder Kritik stehen wir Ihnen wie gewohnt über unseren Support zur Verfügung.

UPDATE 09.02.2018:

Da offenbar der Großteil unserer Nutzer bereits auf neueren Systemen umgestiegen ist und es vernünftiger ist, die Sicherheit der Großteil der Nutzer durch eine Aufweichung der Sicherheits-Standards zu gefährden, haben wir uns entschieden, weiterhin die Authentifierung über TLS 1.0 und 1.1 zu unterbinden. Das bedeutet, dass Mac-User mit macOS 10.11 El Capitan und darunter die o.g. Möglichkeiten alternativ zu Apple Mail nutzen können.