Dieser Artikel ist älter als zwei Jahre und womöglich veraltet!

A1 oder Sicherheit, was ist das nochmal?

Ich schreibe mir in diesem Artikel einmal vom Herzen was mich schon lange stört und immer wieder ärgert. Und ja: Damit könnte man auch Andere ziemlich ärgern. Es geht um die Mailserver vom österreichischen ISP A1 (ehemals Telekom Austria). Anderswo Pflicht beim Abrufen und Versenden per POP (IMAP gibt es bei der Telekom erst gar nicht) und SMTP, doch bei A1 scheint es wohl ein Fremdwort zu sein: Verschlüsselung. Der gesamte Mailverkehr für Kunden und auch den Support der Domains @aon.at, @a1.net und @bob.at wird in Klartext abgewickelt. Obwohl dies schon eine erhebliche Sicherheitslücke darstellt kommt das Beste noch: Auf den entsprechenden SMTP-Servern muss man ja auch wirklich keine Verschlüsselung verwenden, denn man braucht ja auch kein Passwort.

Was? KEIN Passwort? Dann kann ja jeder Emails von meiner Adresse verschicken!

Und genau so ist es auch! Jeder, und ich meine damit wirklich jeder mit Internetzugang kann im Namen der A1-Kunden und auch in Namen des A1-Supports Emails versenden. Darum wurde auch 1999(!) der Passwortschutz für das Versenden von Emails auf SMTP-Servern erfunden. Wer möchte nicht gerne Emails wie dieses erhalten:

(Aus meiner reinen Phantasie:)

1FROM: "A1 Support" <[email protected]>
2TO: "Johannes Mittendorfer" <...>;
3Sehr geehter Herr Mittendorfer!
4Leider müssen wir Ihnen mitteilen, dass Ihr Internetzugang gesperrt wird falls Sie
5nicht 50€; auf das Konto .... überweisen.
6
7Ihr A1 Team

Keiner könnte jemals nachprüfen, ob diese Mail wirklich vom ISP stammt, oder nur Spam ist, da ja auch offizielle Mails von dieser Adresse stammen. Also: Wer braucht schon Verschlüsselung, wenn man doch gar kein Passwort braucht? Auch wenn die Telekom jetzt durch das Einstreichen von 15€ jährlicher Internetpauschale die Größe der Mailbox auf nahezu “sagenhafte” 40MB vergrößert hat, bleibe ich doch lieber bei Gmail. Da habe ich zurzeit 7619MB bei Verschlüsselungs- und Passwortzwang.

Update 30. Jänner 2012##

Inzwischen wird von A1 eine Verbindung mit SSL angeboten und auch IMAP steht zur Verfügung. Beide Dienste sind am besten über folgenden Host erreichbar:

IMAP und POP: securemail.a1.net

Weitere Artikel

1,2 Milliarden Passwörter gestohlen, oder nicht?

1,2 Milliarden Passwörter gestohlen, oder nicht?

Vermutlich haben Sie es schon gehört: Russische Hacker sollen 1,2 Milliarden Zugangsdaten gestohlen haben. Das behauptet zumindest eine Sicherheitsfirma namens Hold Security. Auch große Portale seien betroffen. Ein weiteres dummes Symbolbild Die Medien sind sich nicht einig, ob es sich um …

Johannes Mittendorfer
Johannes Mittendorfer
Captchas sind auch dekorativ

Captchas sind auch dekorativ

Captchas sollen eigentlich automatische Computersysteme davon abhalten eine bestimmte Aktion auf einer Webseite durchzuführen. Darum ist es wichtig, dass nur Menschen den enthaltenen Text lesen können. Auf so manchen Internetpräsenzen sind Captchas aber wohl nur zur Dekoration eingebaut. So auch bei …

Johannes Mittendorfer
Johannes Mittendorfer
Firefox mit click-to-play absichern

Firefox mit click-to-play absichern

Immer wieder wird von Sicherheitslücken in den Plugins Flash und Java berichtet. Darüber können Internetseiten oft Schadcode in den Computer einschleusen und das System so mit eier bösartigen Software infizieren. Zumeist sind diese Angriffe auf der Webseite versteckt und nicht zu entdecken. Wäre es …

Johannes Mittendorfer
Johannes Mittendorfer