ich bin Nutzer bei Posteo.de und habe seit einiger Zeit die TLS-Empfangsgarantie in den Einstellungen bei mir aktiviert. Die Zahl der abgewiesenen Mails ist bisher doch überschaubar (< 20). Auf Mails an die Absender mit Verweis auf fehlendes TLS führten i.d.R. in absehbar Zeit zu Abhilfe, so daß ich den entsprechenden Support von Posteo.de nicht gesondert bemühen musste. Wie sind die Erfahrungen anderer Posteo-Nutzer hier diesbezüglich?
same here: Ganz selten kommt es vor, dass die Gegenstelle nicht transportverschlüsselt. Wenn ich dann Zeit und Lust habe, versuche ich die Gegenstelle darauf aufmerksam zu machen.
Ich persönlich nutze es nicht, da ich mir dazu noch keine endgültige Meinung gebildet habe. Allerdings wäre es mir persönlich auch etwas zu anstrengend, andere Seiten über „fehlendes“ TLS zu unterrichten etc. Mir wäre dafür meine Zeit etwas zu schade und ich habe keine Lust, deren Job zu übernehmen. Immerhin sind die jeweiligen Betreiber dafür zuständig, dass alles aktuell und auf den neuesten Stand ist.
ich würde in meine Antwortvorlage von Posteo an Sender ohne TLS gern noch einen Hinweis zu gesetzlichen Anforderungen oder zu Hinweisen des BSI zur Umsetzung von TLS geben.
Nicht alle Nutzer der Gegenseite sind hoch-IT-Affin.
als gesetzliche Anforderung kommt bei Anbietern die keine Telekommunikationsanbieter und auch keine Berufsgeheimnisträger sind nur Art. 32 DSGVO in Betracht. Dazu passend gibt es eine Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ von der Datenschutzkonferenz, die die Aufsichten aber selbst nicht erstnehmen. Bei Beschwerden erhalte ich regelmäßig „unverbindlich“ zurück (blog.lindenberg.one/AufsichtEmail).
Telekommunikationsanbieter wären verpflichtet das TK-Geheimnis zu schützen, aber die Bundesnetzagentur hat bisher kein wie veröffentlicht. Dementsprechend drücken auch die sich.
Die Empfehlungen zu TLS des BSIs darf man bei Email nicht zu ernst nehmen, sonst gefährdet man die Interoperabilität und es kommt noch häufiger zu unverschlüsselter Kommunikation.
Nach meinen Beobachtungen sind Server die keine opportunistische Verschlüsselung verwenden sehr selten, aber nur ganz wenige verwenden SMTP-DANE oder MTA-STS und sind damit gegen Downgrade-, MiTM- und ähnliche Attacken immun. Eingangsseitig TLS zu erzwingen loht daher nicht wirklich, denn die Server die man damit ausgrenzt würden auch an einen beliebigen anderen nicht authentifizierten Server übermitteln.
Ist bis jetzt in 3 Jahren nur einmal vorgekommen, dass eine Auftragsbestätigung eines namhaften deutschen Unternehmens per e-Mail ohne TLS verschickt und von Posteo nicht angenommen wurde.