Security

A1 oder Sicherheit, was ist das nochmal?

Dieser Artikel ist älter als zwei Jahre und womöglich veraltet!

Ich schreibe mir in diesem Artikel einmal vom Herzen was mich schon lange stört und immer wieder ärgert. Und ja: Damit könnte man auch Andere ziemlich ärgern. Es geht um die Mailserver vom österreichischen ISP A1 (ehemals Telekom Austria). Anderswo Pflicht beim Abrufen und Versenden per POP (IMAP gibt es bei der Telekom erst gar nicht) und SMTP, doch bei A1 scheint es wohl ein Fremdwort zu sein: Verschlüsselung. Der gesamte Mailverkehr für Kunden und auch den Support der Domains @aon.at, @a1.net und @bob.at wird in Klartext abgewickelt. Obwohl dies schon eine erhebliche Sicherheitslücke darstellt kommt das Beste noch: Auf den entsprechenden SMTP-Servern muss man ja auch wirklich keine Verschlüsselung verwenden, denn man braucht ja auch kein Passwort.

Was? KEIN Passwort? Dann kann ja jeder Emails von meiner Adresse verschicken!

Und genau so ist es auch! Jeder, und ich meine damit wirklich jeder mit Internetzugang kann im Namen der A1-Kunden und auch in Namen des A1-Supports Emails versenden. Darum wurde auch 1999(!) der Passwortschutz für das Versenden von Emails auf SMTP-Servern erfunden. Wer möchte nicht gerne Emails wie dieses erhalten:

(Aus meiner reinen Phantasie:)

FROM: "A1 Support" <support@a1.net>
TO: "Johannes Mittendorfer" <...>;
Sehr geehter Herr Mittendorfer!
Leider müssen wir Ihnen mitteilen, dass Ihr Internetzugang gesperrt wird falls Sie
nicht 50€; auf das Konto .... überweisen.

Ihr A1 Team

Keiner könnte jemals nachprüfen, ob diese Mail wirklich vom ISP stammt, oder nur Spam ist, da ja auch offizielle Mails von dieser Adresse stammen. Also: Wer braucht schon Verschlüsselung, wenn man doch gar kein Passwort braucht? Auch wenn die Telekom jetzt durch das Einstreichen von 15€ jährlicher Internetpauschale die Größe der Mailbox auf nahezu “sagenhafte” 40MB vergrößert hat, bleibe ich doch lieber bei Gmail. Da habe ich zurzeit 7619MB bei Verschlüsselungs- und Passwortzwang.

Update 30. Jänner 2012##

Inzwischen wird von A1 eine Verbindung mit SSL angeboten und auch IMAP steht zur Verfügung. Beide Dienste sind am besten über folgenden Host erreichbar:

IMAP und POP: securemail.a1.net