Outlook: Unverschlüsselte Verbindungen seit 2007 möglich – Fedora- und Dovecot-Update enthüllt Protokoll-Downgrade

Der Mailserver warf bei allen Nutzern die gleiche Fehlermeldung aus: „Klartextauthentifizierung auf nicht sicheren (SSL/TLS)-Verbindungen nicht erlaubt". Dies deutete darauf hin, dass der Mailclient des Benutzers eine unverschlüsselte Verbindung hergestellt hatte – eine Praxis, die Systemadministratoren seit Jahrzehnten als veraltet betrachten.

Marius stellte fest, dass alle betroffenen Nutzer Outlook verwendeten, wobei die Versionen zwischen 2007 und 2016 im Fokus standen. Besonders kritisch war, dass bei den meisten Nutzern das Kontrollkästchen „TLS/SSL verwenden" aktiviert war. Trotz dieser Einstellung wurde die Protokollsicherheit jedoch ohne Benachrichtigung herabgestuft.

Die Fehlerauslösung tritt auf, wenn Port 110 ausgewählt und das POP3-Protokoll verwendet wird. Die erzwungene Aktivierung eigentlich dazu veranlassen, automatisch auf den sicheren Port 995 umzusteigen oder zumindest eine TLS-Verbindung über Port 110 zu versuchen.

Technischer Hintergrund

Outlook hingegen ignoriert diese Anforderung und verbindet sich einfach ohne Verschlüsselung weiter. Laut Marius haben die Kunden ihre E-Mails wahrscheinlich seit über einem Jahrzehnt im Klartext abgerufen, fälschlicherweise unter der Annahme, dass Verschlüsselung aktiviert sei. Fedora-Server-Administratoren beobachten dieses Verhalten erst seit kurzem.

Grund dafür ist, dass Version 43 den Dovecot SMTP/IMAP-Mailserver auf Version 2.4.3 aktualisiert hat. In dieser Version wurde die Backend-Unterstützung für unverschlüsselte Authentifizierung vollständig deaktiviert.

Wahrscheinliche Gründe, warum das Problem früher nicht entdeckt wurde, sind, dass Standard-Mail-Kontotypen heute meist IMAP sind und die Standardkonfiguration 995 für POP3 als sicherer Standard verwendet.

Dennoch ist davon auszugehen, dass eine

Dennoch ist davon auszugehen, dass eine erhebliche Anzahl, insbesondere in Umgebungen, die viele verschiedene Konfigurationen unterstützen müssen, wie etwa im Webhosting. Als Gegenmaßnahme wird empfohlen, die Outlook-Kontoeinstellungen zu prüfen. Bei der Verwendung von POP3 muss sichergestellt werden, dass der Verbindungsport auf 995 eingestellt ist.

Werden E-Mails über eine unverschlüsselte Verbindung gesendet, kann jeder im eigenen Netzwerk oder auf dem Weg zum Server diese problemlos abhören. Dabei werden nicht nur die eigenen Daten, sondern auch die Kommunikation anderer Personen offengelegt.

Marius weist zudem darauf hin, dass diese Situation technisch gesehen eine Verletzung der EU-Datenschutzgrundverordnung (DSGVO) darstellt.

Technischer Hintergrund

Das Gesetz impliziere, dass alle Kundendaten über verschlüsselte Verbindungen übertragen werden müssen. ### SvyTech-Einordnung Der Artikel beschreibt ein Szenario, in dem ein Client-Update (Outlook) auf einem modernisierten Server (Fedora 43/Dovecot 2.4.3) auf eine veraltete Sicherheitsarchitektur trifft.

Das Problem liegt nicht in einem Bug des Clients selbst, sondern in der Inkompatibilität zwischen der Client-Logik, die unverschlüsselte Verbindungen auf Port 110 zulässt, und der strengen Server-Konfiguration, die solche Verbindungen blockiert.

Die Einordnung ist kritisch: Viele Unternehmen nutzen veraltete Outlook-Versionen, die nicht automatisch auf moderne Sicherheitsstandards reagieren, wenn der Server diese erzwingt. ### Was Leser daraus mitnehmen Leser sollten sofort prüfen, ob sie Outlook mit POP3 nutzen und ob die Verschlüsselung tatsächlich aktiv ist.

Der einfachste Weg ist die Einstellung des Ports auf 995. Wer dies nicht tut, übermittelt seine E-Mails möglicherweise im Klartext, was einen Verstoß gegen die DSGVO darstellt und die Privatsphäre aller Beteiligten gefährdet.