STARTTLS / StartTLS

STARTTLS oder StartTLS bezeichnet ein Verfahren zum Einleiten der Verschlüsselung einer Kommunikation mit Transport Layer Security (TLS). STARTTLS gibt es für SMTP, POP und IMAP. Das sind Protokolle für den Transport von E-Mails. STARTTLS gibt es auch für FTP für den File-Transfer zwischen Clients und Servern.
TLS bzw. SSL eignet sich also nicht nur für die sichere Kommunikation mit Webseiten, sondern auch für den Transport von E-Mails.

Grundsätzlich funktionieren alle Mail-Protokolle mit TLS, damit sich die Mail-Server gegenüber den Mail-Clients authentifizieren und die Übertragung der E-Mails verschlüsselt ist. Genau das macht auch STARTTLS. Der Unterschied ist der, dass bei STARTTLS die Funktionen von TLS optional sind. Ob TLS verwendet wird, hängt vom Mail-Client ab. Man bezeichnet das dann als „Opportunistic TLS“.

Funktionsweise von StartTLS

Das STARTTLS-Verfahren kommt bei der ESMTP-Verbindungsaufnahme zwischen SMTP-Client und -Server, sowie zwischen SMTP-Servern, zum Einsatz. Ein Server zeigt beim Verbindungsaufbau durch die Antwort „STARTTLS“ an, dass die weitere Kommunikation und Transport der Datenpakete mit TLS verschlüsselt erfolgen kann. Sofern der Mail-Client STARTTLS unterstützt, kann er die Kommunikation mit dem Server per STARTTLS-Kommando auf TLS umstellen. Der Mail-Client ist dann dafür verantwortlich, dass der Server per TLS authentifiziert wird. Die weitere Übertragungen erfolgt verschlüsselt.

Bietet ein Mail-Server STARTTLS an und der Mail-Client kann kein TLS, dann funktioniert die Übertragung von E-Mails trotzdem, allerdings unverschlüsselt. Der Sinn und Zweck davon ist, dass die Kommunikation mit einem Client nicht behindert wird, nur weil er kein TLS unterstützt. Erhält der E-Mail-Client nach einem Software-Update TLS-Fähigkeit, dann nutzt er ohne Konfigurationsänderung automatisch TLS. So die Idee. Diese Vorgehensweise hilft dabei, die Übertragung von E-Mails von unverschlüsselt auf verschlüsselt umzustellen, ohne das der Anwender sich darum kümmern muss.
Das Ziel sollte jedoch sein, dass die Kommunikation immer mit TLS erfolgt.

Wie sicher ist STARTTLS?

Beim STARTTLS-Verfahren startet eine Verbindung immer unverschlüsselt. Bei STARTTLS bleibt es dem Client überlassen, die weitere Kommunikation mit TLS weiterzuführen. Erst nach Ausführung des STARTTLS-Befehls handeln Client und Server die Verschlüsselung aus. Vorteil, dabei muss keine neue Verbindung hergestellt werden.

Grundsätzlich ist die Verwendung von STARTTLS so sicher, wie TLS. Es wird schließlich TLS verwendet. Die Sache hat nur einen Haken: Weil bei STARTTLS die Nutzung von TLS optional und vom Client abhängig ist, ist für den Nutzer von außen leider nicht erkennbar, ob jetzt TLS verwendet wird oder nicht. Hier hilft nur ein nachträglicher Blick in den Header einer empfangenen E-Mail. Stehen hier Begriffe wie ESMTPS, TLS, RSA, AES und DHE, dann wurde diese E-Mail verschlüsselt übertragen.

Weil bei STARTTLS die Verwendung von TLS optional ist, wäre es denkbar, dass ein Man-in-the-Middle die unverschlüsselte Kommunikation am Anfang abhört und die Übertragung des STARTTLS-Befehls filtert. Auf diese Weise könnte er die verschlüsselte Übertragung unterbinden, wovon der Nutzer nichts mitbekommt.

Wenn man sicherstellen will, dass die Übertragung von E-Mails immer verschlüsselt erfolgt (Transport-Verschlüsselung), dann muss man im E-Mail-Client TLS und nicht STARTTLS aktivieren. Aber, dann ist nur sichergestellt, dass die Übertragung beim eigenen Client und Server sicher ist. Wie der Empfänger der E-Mail die E-Mail erhält oder der Absender die E-Mail gesendet hat, dass weiß man nicht.
Wenn man als Nutzer sicherstellen will, dass alle E-Mails unabhängig von TLS verschlüsselt sind, dann muss man OpenPGP/GnuPG verwenden.

Sicherheit in der Netzwerktechnik

• Grundlagen der Netzwerk-Sicherheit
• Sicherheitsrisiken und Sicherheitslücken in der Netzwerktechnik

E-Mail-Kommunikation und -Protokolle

• E-Mail
• SMTP - Simple Mail Transfer Protocol
• POP - Post Office Protocol
• IMAP - Internet Message Access Protocol

Sichere E-Mail-Kommunikation

• Sichere E-Mail
• S/MIME
• PGP - Pretty Good Privacy (OpenPGP)
• Sichere E-Mail mit PGP (OpenPGP/GnuPG)

Weitere verwandte Themen:

• Kryptografische Protokolle
• Verschlüsselung
• Bitmessage
• Sicherheitskonzepte in der Informations- und Netzwerktechnik

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Artikel-Sammlungen zum Thema Netzwerktechnik

Collection: Netzwerk-Sicherheit

Was du über Netzwerk-Sicherheit wissen solltest.

eBook kaufen

Collection: Netzwerk-Grundlagen

Was du über Netzwerk-Grundlagen wissen solltest.

eBook herunterladen

Collection: IPv6

Was du über IPv6 wissen solltest.

eBook kaufen

Schützen Sie Ihr Netzwerk

Die TrutzBox enthält einen leistungsstarken Content-Filter, der Werbetracker blockiert und vor Schadcode auf bösartigen Webseiten schützt.
Alle Internet-fähigen Geräte, egal ob Desktop-PCs, vernetzte Produktionsanlagen und IoT-Geräte, werden vor Überwachung durch Tracker, Einschleusen von Schadsoftware und dem unbedachten Zugriff auf bösartige Webseiten geschützt.

• Sicheres Surfen mit Content-Filter und Blocker gegen Werbetracker
• Mehrstufige Sicherheitsarchitektur mit Stateful-Inspection-Firewall und Intrusion-Prevention-System
• Laufende Aktualisierung gegen neue Bedrohungen

Bestellen Sie Ihre TrutzBox mit integriertem Videokonferenz-Server jetzt mit dem Gutschein-Code "elko50" und sparen Sie dabei 50 Euro.

Mehr über die TrutzBox TrutzBox jetzt mit Gutschein-Code bestellen