So kommunizieren Sie verschlüsselt und sicher mit Ihrem E-Mail-Server
Philipp Zeder
Kategorie:in
Entwicklung & Performance
Veröffentlicht am 23. Sept. 2015
Aktualisiert am 31. Mai 2022
Seit es unseren E-Mailzauberer gibt, ist das Einrichten von E-Mail-Konten keine Hexerei mehr. «Hergezauberte» E-Mail-Konten werden automatisch verschlüsselt abgerufen. Doch was, wenn Sie schon seit 10 Jahren Kunde bei uns sind und Ihr E-Mail-Konto nicht neu installieren möchten?
Verschlüsselt & sicher mit dem E-Mail-Server kommunizieren: mail.cyon.ch. (Bildquelle)
Verschlüsselte Verbindung für alle
Bisher musste für das verschlüsselte Abrufen von E-Mails eine von zwei Optionen gewählt werden, die beide auch Nachteile mit sich brachten.
Nehmen wir als Beispiel unseren Musterkunden Oliver Orange mit der Domain oliverorange.com. Er hatte in seinem E-Mail-Programm bisher mail.oliverorange.com als Posteingangs- und Postausgangsserver eingetragen. Der Nachteil dabei: Bei der ersten Verbindung erhielt er eine Zertifikatswarnung, weil das Zertifikat für *.cyon.ch und nicht mail.oliverorange.com ausgestellt ist. Zwar liess sich das Zertifikat permanent akzeptieren und Oliver hatte für eine gewisse Zeit Ruhe. Doch da das Zertifikat aus Sicherheitsgründen jährlich erneuert wird, musste Oliver die Warnung einmal pro Jahr über sich ergehen lassen.
Als Alternative konnte Oliver auch den Servernamen seines Webhostings (in Form von serverXY.cyon.ch) als Posteingangs- und Postausgangsserver hinterlegen, denn damit liess sich die lästige Zertifikatswarnung umgehen. Musste Olivers Webhosting jedoch aus irgendeinem Grund auf einen anderen Server verschoben werden, stand eine Anpassung des Servernamens in den E-Mail-Programmen an. Wie gesagt, beide Varianten hatten ihre Nachteile.
Ein Servername für alle E-Mail-Konten
Mit unserem zentralen Authentifizierungsserver mail.cyon.ch sind diese Nachteile Schnee von gestern. Tragen Sie in allen E-Mail-Programmen mail.cyon.ch als Posteingangs- und Postausgangsserver ein und die Sorgen sind vergessen. Ausserdem akzeptiert der Server ausschliesslich verschlüsselte Verbindungen, womit Sie in jedem Fall sicher sind, dass die Anmeldung an Ihren E-Mail-Konten über einen gesicherten Kanal stattfindet. Das ist insofern wichtig, da einige E-Mail-Programme Verbindungen einfach unverschlüsselt aufbauen. Ohne Warnung versteht sich. Mit mail.cyon.ch kann Ihnen das nicht mehr passieren.
Erneuerung der SSL-Zertifikate im Oktober
Im Oktober steht die jährliche Erneuerung unserer SSL-Zertifikate an, die damit auch auf die aktuellsten Sicherheitsstandards gebracht werden. Falls Sie eine der beiden alten Variante verwenden oder E-Mails noch gar nicht per verschlüsselter Verbindung vom Server holen, ist das eine gute Gelegenheit, in Ihrem E-Mail-Programm mail.cyon.ch als Servernamen zu hinterlegen.
Sind Sie nicht sicher, wo Sie in Ihrem E-Mail-Programm die Servernamen ändern können? In unserem Supportcenter finden Sie Anleitungen zu den beliebtesten E-Mail-Programmen. Oder Sie nutzen unseren E-Mailzauberer, um Ihr E-Mailkonto wie von Zauberhand frisch einzurichten. Wir stehen Ihnen bei Fragen jederzeit gerne direkt per E-Mail zur Seite.
Hinweis: Ob Ihre E-Mail auch über eine verschlüsselte Verbindung an den Empfänger gelangt, hängt vom Empfängerserver ab. Wenn Sie den Inhalt Ihrer E-Mails verschlüsseln möchten, empfehlen wir die Verwendung von OpenPGP.
Beteilige dich an der Diskussion
17 Kommentare
Merci für das Feedback. Es geht uns mit der Benachrichtigung überhaupt nicht darum, jemanden zu erpressen. Folgende Gründe sprechen für den Einsatz von mail.cyon.ch als Posteingangs- und Postausgangsserver:
- Die Verbindung ist in jedem Fall verschlüsselt, da mail.cyon.ch nur verschlüsselte Verbindungen akzeptiert.
- Wird der Webhosting-Account auf ein anderes System verschoben, muss im E-Mail-Programm keine Änderung vorgenommen werden. mail.cyon.ch weiss automatisch, auf welchem System sich das E-Mail-Konto befindet.
- Wird mail.eigenedomain.tld (oder eine andere Subdomain der eigenen Domain) als Posteingangs- und Postausgangsserver genutzt, muss bei einer verschlüsselten Verbindung eine Ausnahme akzeptiert werden, da der Hostname des Servers nicht mit dem SSL-Zertifikat übereinstimmt. Erneuern wir das SSL-Zertifikat des Servers (in der Regel 1x pro Jahr) muss die Ausnahme erneut hinzugefügt werden.
Auf den MX-Eintrag hat die Anpassung des IMAP- und SMTP-Servers im E-Mail-Programm keinen Einfluss, der Eintrag bleibt also wie gewohnt bestehen. Zudem ist der Service hinter mail.cyon.ch mehrfach redundant ausgelegt, um einen Single Point of Failure möglichst zu vermeiden. Unseren Erfahrungen nach führt der Einsatz der eigenen Domain als IMAP- und SMTP-Server häufiger zu Problemen, was für uns der Auslöser war, diese Lösung überhaupt zu bauen.
Euer Link “Anleitungen zu den beliebtesten Emailprogrammen” ist blind…
Gruss b
Herzlichen Dank für den Hinweis. Ich habe den Link soeben angepasst.
Hallo,
wie kann ich im Profil s/Mime aktivieren?
Danke und Grüsse,
Damian
Hallo Damian, mit dem Profil das der E-Mailzauberer für Dich generiert, kannst du S/MIME aktuell nicht aktivieren. Du müsstest in diesem Fall die E-Mail-Adresse manuell konfigurieren.
Funktioniert das auch mit Windows Phone 7.5? Ich habe das eingerichtet, kann aber nun keine Verbindung mehr zum Mail Server aufbauen. Ich konnte auch keine Anleitung im Email Zauberer finden. Outlook 2013 funktioniert.
Hi Daniel, uns sind keine Probleme mit Windows Phone 7.5 bekannt. Schick uns doch bitte Screenshots von den Fehlermeldungen an mail@cyon.ch, dann schauen wir uns das gerne genauer an.
Um Inhalt eines E-Mails zu verschlüsseln, empfehlt ihr OpenPGP, mit seinen Komplikationen. Ich nehme an, dass interessierte hacker vor allem dadurch arbeiten, dass emails gescannt werden, und bei Finden von entsprechenden Wörtern dann näher hinzuschauen. Wenn ich deshalb das email als pdf anhänge, dasselbe verschlüssle (was sehr einfach ist), und öffnen ohne passwd, dann bestehen keine identifizierbaren Wörter. Wäre dies nicht auch ziemlich sicher?
Hallo Werner, merci für Deinen Kommentar. Die vorgeschlagene Methode halte ich für komplizierter als den Einsatz von OpenPGP. Abgesehen davon, wird damit der Inhalt lediglich verschleiert. Ist jemand im Besitz der Daten, kann er dann aber problemlos den Klartext auslesen. Bei OpenPGP verschlüsselt Du den Inhalt mit dem öffentlichen Schlüssel des Empfängers. Du stellst damit sicher, dass nur der gewünschte Empfänger Deine Nachricht lesen kann. Mit der vorgeschlagenen Methode wähnst Du Dich aus meiner Sicht in falscher Sicherheit.
Besteht nicht die Gefahr, dass meine E-Mails als Spam taxiert werden, wenn die Domain nicht mit dem Mailservernamen übereinstimmt? Konkret: Domain “oliverorange.com”, Mailserver “mail.cyon.ch”. Oder bin ich da falsch informiert?
Da bist Du korrekt informiert. Hinter der Domain «mail.cyon.ch» verbirgt sich allerdings nur der Authentifizierungsserver. Der eigentliche Versand der E-Mails passiert unter Deiner Domain auf dem Webhostingserver. Somit besteht keine Gefahr, dass Deine E-Mails deswegen als Spam taxiert werden.
Danke für die Erklärung.
Welche Verbindungsssicherheit muss ich wählen? Zur Auswahl stehen “SSL / TLS” und “STARTTLS”. Bisher war beim Eingangsserver “SSL / TLS” und beim Ausgangsserver “STARTTLS” eingestellt, jeweils mit der Authentifizierungsmethode “Passwort normal”.
Super Sache, muss ich sagen! Als IT’ler würden mich natürlich ein paar technische Eckdaten interessieren… :-)
Gerne :) Unser zentraler Authentifizierungsserver basiert auf nginx als Proxy. Dieser lässt im Gegensatz zu den Webhostingservern nur noch verschlüsselte Verbindungen zu. Um die Ausfallsicherheit und Skalierbarkeit zu verbessern setzen wir keepalived ein. Als Bruteforce-Detection kommt eine für diesen Dienst eigens entwickelte Lösung zum Einsatz.
Das Webmail läuft auch über den Authentifizierungsserver. Um die dessen Verbindungskosten zu verringern, kommt SquirrelMail’s IMAP Proxy zum Einsatz.
Den Trick hier setze ich schon seit einiger Zeit ein, jedoch musste ich hierzu immer den Mailaccount im Programm komplett selbst einrichten.
Um mir diese Mühe zu sparen, habe ich euer neues System der automatischen verteilung der Einstellungen genutzt. Hier wurde diese Einstellung jedoch nicht mitgegeben, wodurch meine so eingerichteten Accounts wieder über den unverschlüsselten Weg arbeiten.
Habt ihr das automatische Verteilsystem nun schon angepasst? Oder geht das überhaupt nicht?
Hi Simon, das müsste auch mit der automatischen Verteilung funktionieren. Schickst Du uns eine Mail mit den Details an mail@cyon.ch? Dann gehen wir dem nach.
Ich habe mich masslos aufgeregt, dass ihr allen meinen Kunden ohne vorherige Nachricht an mich direkt ein Mail sendet, mit der Aufforderung die Mail Konfiguration ihrer Clients zu verändern.
Das Mail kommt einer Erpressung gleich, weil ihr darin sagt, dass das in Zukunft nötig sei. Wenn das so ist, dann ist Cyon für mich gestorben. Ihr hintergeht damit meinen MX Eintrag und schafft gleichzeitig einen Single Point of Failure, dem ihr unmöglich gewachsen sein könnt.
Ihr habt mir dadurch etliche Stunden Supportaufwand geschaffen. Für diese fordere ich Schadenersatz, weil sie durch einen Konzeptfehler entstanden sind, der an Dilettantismus kaum zu überbieten ist und eigentlich reine Fahrlässigkeit bedeutet.