Die Grafik zeigt den Weg einer E-Mail vom Sender zum Empfänger:

In der Regel sind die Rechner der Nutzer nicht direkt mit dem Internet verbunden. Der Zugang erfolgt über ein Zugangsgateway des Providers oder das Gateway der Firma. Die Gateways leiten nur TLS-verschlüsselte Daten weiter und sollte keinen Einfluss haben.

Der 1. Mailserver hostet den Account des Absenders und nimmt die E-Mail via SMTP von Thunderbird entgegen. Die E-Mail wird an den 2. Mailserver gesendet, der den Account des Empfängers hostet. Hier liegt die E-Mail, bis der Empfänger sie via POP3 oder IMAP abruft.

Die Transportverschlüsselung (SSL/TLS) für die gestrichelten Verbindungen zu den Mail­servern können die Nutzer durch korrekte Konfigurtion ihres E-Mail Clients erzwingen. Das hat nichts mit einer Verschlüsselung des Inhalts der E-Mail zu tun. Es wird nur die Daten­über­tragung zum Mailserver verschlüsselt und es wird sichergestellt, dass man wirklich mit dem gewünschten Server verbunden ist.

Auf die Transportverschlüsselung zwischen den Mailservern können die Nutzer in der Regel keinen Einfluss nehmen. Der Transport wird wenn möglich verschlüsselt (opportunistische Verschlüsselung) oder die Daten werden unverschlüsselt übertragen. Wenn die Daten ohne Transportverschlüsselung übertragen werden, können sie an den Internetknoten von den "Diensten" abgeschnorchelt werden.

Einige E-Mail Provider haben spezielle AngeboteVerschlüsselung zwischwn den Providern sicherzustellen, beispielsweise die Mail Adressen name@secure.mailbox.org oder die verschlüsselte Versandgarantie von Posteo.de, die zumindest in eine Richtung die Verschlüsselung garantiert.

SMTP, POP3 und IMAP

Diese Abkürzungen sind für den Laien etwas verwirrend.

SSL/TLS oder STARTTLS

Wie einfach es ist, unverschlüsselte Verbindungen zu den Mailservern zu belauschen, die Passwörter zu extrahieren und den Account zu kompromittieren, wurde von T. Pritlove auf der re:publica 2007 gezeigt. Die Aktivierung der Transportverschlüsselung ist also ein Muss.

In der Account Konfiguration kann man wählen, ob man "old-style SSL/TLS" oder das neuer "STARTTLS" Protokoll für die Transportverschlüsselung zwischen E-Mail Client und Mail­server verwenden will. Aus Sicherheitsgründen ist SSL/TLS zu bevorzugen. Auch die IETF empfiehlt in RFC 8314 "SSL/TLS" gegenüber "STARTTLS" zu bevorzugen.

Hinweis für Nutzer der Telekom-Router

Die aktuellen Versionen der DSL-Router, die von der Telekom bereitgestellt werden, haben ein Feature, um Spambogs das Versenden von E-Mails zu erschweren. SMTP-Verbindungen auf den Ports 25, 465 und 587 sind nur für eine Whitelist von Mail-Servern erlaubt. Die empfohlenen E-Mail Provider sind nicht alle in der standardmäßigen Whitelist enthalten.

In der Router Konfiguration kann man im Menüpunt "Internet - Liste der sicheren E-Mail-Server" das Feature abschalten oder den SMTP-Server des eigenen Providers hinzufügen.

Dieses Feature wird auch bei einem Update der Firmware älterer Telekom-Router aktiviert. Wenn man trotz korrekter Konfiguration in Thunderbird keine E-Mails mehr versenden kann, sollte man einen Blick in die Konfiguration des Routers werfen.