B. Brandel
Seit Ende 2004 bietet das Universitätsrechenzentrum seinen Nutzern einen mit SSL verschlüsselten Zugriff auf ihre elektronischen Postfächer an. Die Zugriffsstatistik des dafür notwendigen IMAP-Servers zeigt jedoch, dass dieser abhörsichere Zugang viel zu wenig bekannt ist und statt dessen viele Nutzer Kennung und Passwort im Klartext zum Mailserver übertragen. Besonders riskant ist dies, wenn der Zugriff aus dem unsicheren Internet erfolgt, wo Dritte durchaus diese Daten abgreifen können. Diesen Missstand abzuschaffen ist Ziel dieses Artikels.
Motivation
Über die (Un-)Sicherheit elektronischer Post wurde schon in vielen INKUERZE-Ausgaben berichtet. Wer wirklich vertrauliche Daten versenden will, sollte sie digital verschlüsseln und signieren.
Dies ist aber nur ein Aspekt der E-Mail-Sicherheit. Mindestens genauso wichtig ist es, seinen Mail-Client nach der Installation (siehe [1]) sicher zu konfigurieren, damit beim elektronischen Briefgeschäft keine Klartext-Passwörter übers Netz gehen. Denn Ihr E-Mail-Passwort ist gleichzeitig Ihr zentrales Zugangspasswort zum internen Novell-Netz der KU und somit ein sehr kostbares Gut.
Serverseitige Einstellungen beim Posteingang (IMAP-Server)
Seit dem 17. Januar 2005 werden die Posteingangsfächer und E-Mail-Ablagen unserer E-Mail-Service-Kunden ausschließlich auf dem Server imap.ku-eichstaett.de verwaltet. Damit der Datenzugriff sicher ist, kann dieser Server den ganzen Datenverkehr zum Mail-Client mittels SSL bzw. TLS verschlüsseln, falls der Client diese Methode ebenfalls unterstützt. TLS ist eine Weiterentwicklung von SSL mit marginalen Unterschieden (siehe [2]).
Da der verschlüsselte Datenkanal bereits beim Verbindungsaufbau hergestellt wird, erfolgt die komplette Authentisierung ebenfalls über diese verschlüsselte Leitung, so dass etwaige Abhörversuche von Daten und Passwörtern chancenlos sind. Außerdem können Sie mit Hilfe des SSL-Zertikats, das Ihnen der Server beim Verbindungsaufbau zeigt, feststellen, ob am anderen Ende der Leitung wirklich der IMAP-Server der KU ist.
Zum Glück beherrschen heutzutage alle wichtigen Mail-Clients SSL. Serverseitig ist SSL aber noch nicht so verbreitet. Deshalb haben die Software-Hersteller in ihren Client-Produkten (Mozilla Thunderbird, Pegasus Mail, Outlook etc.) SSL meist nicht voreingestellt. Ein solcher Mail-Client versucht daher, eine unverschlüsselte Verbindung zum IMAP-Server aufzubauen, die dieser ebenfalls akzeptiert, mit der Konsequenz, dass sowohl die Authentisierung per Kennung und Passwort als auch die Datenübertragung im Klartext erfolgen, obwohl beide Seiten es besser könnten.
Man mag einwenden, dass die unverschlüsselte Übertragung Ihrer E-Mails "auf den letzten Versandmetern" eine lässliche Sünde ist, da die Briefe vom Absender bis zu Ihrem IMAP-Postfach sowieso unverschlüsselt übertragen werden und Sie sensitive Mails sowieso immer verschlüsseln und signieren.
Die Klartextübertragung Ihres Intranet-Passworts jedoch sollte Sie ernsthaft beunruhigen - der Gedanke, dass Dritte nicht nur Vollzugriff auf Ihre Mailbox haben, sondern auch noch mit Ihrem Passwort auf Ihre Intranet-Daten zugreifen können, ist mehr als bedenklich. Daher raten wir Ihnen dringend, am Mail-Client grundsätzlich die SSL-Verschlüsselung für den IMAP-Posteingang zu aktivieren. Wie das geht, wird ab dem übernächsten Abschnitt für die wichtigsten Mail-Clients beschrieben. Zuvor möchte ich jedoch noch die Konfiguration unseres Postausgangsservers darstellen.
Serverseitige Einstellungen beim Postausgang (SMTP-Server)
Für den SMTP-Postausgangsserver smtp.ku-eichstaett.de gelten andere Regeln als für den Posteingang. Unser SMTP-Server unterstützt momentan weder SSL-Verschlüsselung noch Authentisierung. Er entscheidet stattdessen ausschließlich anhand der IP-Adresse, ob er von Ihrem Client Ausgangspost annimmt oder nicht. Zum Mail-Versand an externe Empfänger muss nämlich Ihr PC eine IP-Adresse aus dem KU-Netz besitzen (141.78.*.*) - ansonsten lehnt der Server den Versand ab. Außerhalb des KU-Netzes müssen Sie deshalb den VPN-Client verwenden, der Ihnen eine IP-Adresse der KU verschafft und Sie so als versendeberechtigt legitimiert. Details dazu finden Sie in der letzten Ausgabe 1/2006 der INKUERZE.
Man kann mit diesen Servereinstellungen durchaus leben. Denn erstens muss man beim Postversand keine Passwörter preisgeben und zweitens wird beim Weiterversand der Mails vom Server in die weite Welt sowieso kein verschlüsselter Datenkanal verwendet. Daher sind SMTP-Server, die SSL bzw. TSL unterstützen, noch nicht sehr verbreitet. Es gibt sie gelegentlich, aber noch nicht bei uns.
Deshalb empfiehlt momentan das URZ folgende Einstellungen für alle Mail-Clients am Postausgang:
Deaktivieren Sie jegliche Authentisierung.
Wählen Sie als Verschlüsselungsmethode "TLS, falls möglich" oder deaktivieren Sie TLS vorerst ganz.
Einstellungen bei Mozilla Thunderbird
Zuerst konfigurieren wir den Posteingang. Dazu öffnen Sie über Extras → Konten ... das Kontenmenü von Mozilla Thunderbird. Wählen Sie dann in Ihrem KU-Postfach den Eintrag Server-Einstellungen aus. Aktivieren Sie nun unter Sicherheit und Authentifizierung die Option SSL, während Sie die Option Sichere Authentifizierung verwenden bitte ausschalten.
Diese Deaktivierung bedeutet lediglich, dass Ihr Client sich nicht als Rechner beim Server per SSL authentisiert, denn dazu müsste jeder Client ein eigenes SSL-Zertifikat haben, das dem Server bekannt sein muss. Da Sie sich sowieso bereits beim Server per Kennung/Passwort ausweisen, benötigen wir diese aufwändige Zusatz-Authentisierung nicht.
Um den Postausgangsserver zu konfigurieren, wählen Sie nun links den Eintrag Postausgang-Server (SMTP) aus und klicken auf Bearbeiten...:
Im nächsten Fenster deaktivieren Sie bitte die Option Benutzername und Passwort verwenden. Zum Schluss aktivieren Sie bitte TLS, wenn möglich und schließen mit OK alle Konfigurationsfenster.
Beim nächsten Start von Mozilla Thunderbird erscheint das Fenster Website zertifiziert von unbekannter Zertifizierungsstelle . Prüfen Sie das Zertifikat, indem Sie auf Zertifikat untersuchen ... klicken. Im übernächsten Bild sind die Fingerabdrücke des aktuellen bis 23.02.2007 gültigen Zertifikats abgebildet. Wenn die Fingerabdrücke des Ihnen präsentierten Zertifikats mit den hier abgedruckten übereinstimmen,
kehren Sie bitte durch Klick auf Schließen zum vorigen Fenster zurück. Nun können Sie die Option Dieses Zertifikat immer akzeptieren getrost aktivieren und mit OK den Vorgang abschließen und sich wie gewohnt Ihrer Mailbox widmen.
Zugang über den Webmailer
Bei der Nutzung des Webmailers Squirrel Mail, den Sie über https://imap.ku-eichstaett.de/ erreichen, brauchen Sie nichts an Ihren Konfigurationseinstellungen zu ändern. Der Webmailer-Zugang ist von Hause aus SSL-verschlüsselt. Kennung und Passwort werden im verschlüsselten SSL-Tunnel übertragen, Ihre Zugriffe auf Mailbox und Postausgang ebenfalls. Dies können Sie optisch im Browserfenster an den beiden Schlössern im URL und am unteren Fensterrand erkennen, die beide bereits im leeren Loginfenster, also schon vor der Authentisierung, zugesperrt sind:
Damit ist der Webmailer ideal als Mailzugang für unterwegs, vorausgesetzt, dass der Rechner, auf dem Sie den Webmailer aufrufen, keinen Keylogger installiert hat, der Ihr Passwort mitschreibt.
Einstellungen bei Pegasus Mail
Im Mail-Client Pegasus Mail öffnen Sie bitte über Extras → IMAP Profile ... die Profilverwaltung und klicken dann auf Bearbeiten . Aktivieren Sie dann im nachfolgenden Fenster folgende beiden Einstellungen: Über STARTTLS und 'Server certificate fingerprint tracking' aktivieren .
Diese Optionen bedeuten folgendes:
Bei der SSL-Nutzung wird die Verbindung entweder von Anfang an durch einen SSL-Tunnel geleitet oder es wird direkt nach dem Aufbau der Verbindung (also vor der Authentisierung!) per STARTTLS auf SSL gewechselt. Prinzipiell sind beide Methoden gleich sicher. Bei Pegasus Mail empfehlen wir den Weg über STARTTLS.
Mit der zweiten Option wird bei jedem Sitzungsaufbau das Serverzertifikat und damit dessen Identität überprüft. Sie brauchen dazu den MD5-Fingerprint des Servers bei Erstbenutzung nicht einzugeben, er wird von Pegasus Mail ohne Nachfrage, ob Sie das Zertifikat für echt halten, automatisch für die zukünftigen Logins mit eingetragen. Prüfen Sie daher unbedingt beim nächsten Start von Pegasus Mail, ob der eingetragene MD5-Fingerabdruck auch korrekt ist, aktuell (gültig bis 23.2.2007) muss er 641F345B47A2EC7F785EED6BF lauten.
Abschließend beenden Sie bitte mit OK und Fertig die IMAP-Konfiguration.
Zum Schluss müssen Sie noch Ihre SMTP-Einstellungen ändern: Öffnen Sie bitte Extras →> Interneteinstellungen... und klicken Sie im folgenden Fenster im Reiter Senden (SMTP) auf Bearbeiten...:
Im nächsten Fenster muss beim Reiter Allgemein der Server-Hostname smtp.ku-eichstaett.de eingetragen sein. Im Reiter Sicherheit stellen Sie bitte SSL/TLS auf Niemals und deaktivieren alle weiteren Optionen:
Abschließend beenden Sie mit zweifachem OK die SMTP-Konfiguration von Pegasus Mail.
Einstellungen bei Microsoft Outlook
Die Mail-Clients Microsoft Outlook und Outlook Express gehören nicht zu den vom URZ unterstützten Produkten, weil diese regelmäßig mit Sicherheitslücken aufwarten. Wenn Sie partout diese Programme verwenden möchten, können Sie dort analoge Einstellungen vornehmen. Tipps hierzu finden Sie im WWW z.B. unter [3], die Sie dann auf unsere Serverumgebung übertragen müssen.
Zukünftige Planungen
Um Sicherheit und Komfort für Ihren elektronischen Briefverkehr weiter zu erhöhen, gibt es momentan folgende Planungen im URZ:
Um unverschlüsselte Passwort-Authentisierungen am IMAP-Server zu verhindern, möchten wir mittelfristig den unverschlüsselten Zugang auf Port 443 deaktivieren und nur noch Verbindungen per SSL/STARTTLS zuzulassen, da praktisch alle E-Mail-Clients SSL/TLS unterstützen.
Außerdem planen wir mittelfristig auch eine LDAP-Authentisierung am Postausgangsserver, in Kombination mit einer TLS-Verschlüsselung der Verbindung. Nach kurzer Übergangszeit möchten wir danach den SMTP-Zugriff ohne TLS verbieten. Über diese Änderungen werden wir Sie aber rechtzeitig informieren.
Das SSL-Zertifikat unseres IMAP-Servers läuft am 23.02.2007 ab. Wir werden uns rechtzeitig um eine neue Zertifizierung kümmern.
Literatur:
[1] http://www.ku-eichstaett.de/Rechenzentrum/dienstleist/install.de
[2] http://de.wikipedia.org/wiki/Secure_Sockets_Layer
[3] http://www.rz.uni-hohenheim.de/kommunikation/app/mail/outlook/outlook_imap.html
| Ansprechpartner im URZ: | Zimmer: | Telefon: | Mail: |
| Bernhard Brandel | IN: HB-204 | -1888 | bernhard.brandel |
| Tomasz Partyka | EI: eO-107 | -1668 | tomasz.partyka |