Protokolle regeln an vielen Stellen im Internet das Zusammenleben von Hard- und Software. Das HTML-Protokoll zum Beispiel erklärt, ganz vereinfacht gesagt, einem Internetbrowser, wie er den Text auf einer Website darstellen soll. Bei IMAP und POP3 handelt es sich um Protokolle für den E-Mail-Verkehr: Sie spezifizieren, wie ein Server, auf dem E-Mails liegen, mit einem Client, der diese E-Mails “abholen” möchte, kommunizieren muss. Dabei setzen die beiden Protokolle auf sehr unterschiedliche Vorgehensweisen.
POP3 – der Gang zum Briefkasten
Das „Post Office Protocol 3“, kurz POP3, gehört zu den ältesten Vertretern der E-Mail-Protokolle. Es ist bereits seit November 1988 spezifiziert und funktioniert mit so gut wie allen verfügbaren E-Mail-Clients. Verbindet sich ein Client-Programm, egal ob PC-Software oder Smartphone-App, per POP3 mit einem Mail-Server, werden die E-Mails buchstäblich von dort “abgeholt”: Der Client lädt alle E-Mails aus dem Posteingang auf das jeweilige Gerät herunter. Auf dem Server selbst werden die „abgeholten“ E-Mails gelöscht – der elektronische Briefkasten wurde geleert.
Dieses Verhalten stammt zwar aus einer Zeit, in der auf E-Mail-Servern nur wenige Kilobyte Speicherplatz pro Postfach zur Verfügung standen, es kann allerdings hier und da durchaus auch heute noch Sinn machen: Bearbeitet man die eigenen E-Mails ausschließlich auf einem einzigen Gerät mit einer Client-Software, ist so gewährleistet, dass alle Nachrichten lokal verfügbar sind. Die Nachteile allerdings überwiegen: Geht zum Beispiel das Gerät, auf das die E-Mails heruntergeladen wurden, kaputt, sind damit auch alle Nachrichten verloren. Ein Archiv oder Backup ist bei POP3 nicht vorgesehen. Darüber hinaus wird standardmäßig nur der Posteingang auf den E-Mail-Client übertragen. Loggt man sich also im Web über einen Browser ins eigene Postfach ein und schreibt von dort eine E-Mail, landet diese zwar online im „Gesendet“-Ordner, wird aber nicht mit der Client-Software auf PC oder Smartphone abgeglichen.
Alles synchron – das IMAP Protokoll
Genau an dieser Stelle setzt das „Internet Message Access Protocol“, kurz IMAP an: Ebenfalls eine Entwicklung der 80er Jahre, sorgt IMAP dafür, dass die E-Mails auf dem Server mit den angeschlossenen Clients synchronisiert werden – und zwar Ordner für Ordner. Das heißt, dass auf einem IMAP-Client immer der gleiche Datenstand herrscht wie auf dem Server: Posteingang, Gesendet-Ordner, Spam-Ordner oder individuell angelegte Ordner – alle Inhalte sind auf allen angeschlossenen Geräten gleich.
Was auf den ersten Blick einen großen Schritt nach vorne bedeutet, stellt bei genauerem Hinsehen allerdings auch ein Risiko dar: IMAP übernimmt immer die letzte ausgeführte Aktion und synchronisiert sie dann sofort mit dem Server. Löscht man also auf einem Client versehentlich E-Mails, sind diese bei der nächsten Synchronisation überall verloren – und können in der Regel nicht wiederhergestellt werden. Ein weiteres Problem sind überflüssige Ordner: Über IMAP werden pauschal ALLE Ordner jedes Clients synchronisiert. Es kann also passieren, dass Mozilla Thunderbird auf dem PC gesendete E-Mails in einem Ordner namens „Gesendete Elemente“ speichert, während ein E-Mail-Client auf dem Smartphone im gleichen Postfach einen weiteren Ordner namens „Gesendete Objekte“ anlegt. Beide Ordner erscheinen dann parallel auf allen Geräten.
Sicherheitsrisiken – Alte Transportverschlüsselung und der „Mann in der Mitte“
Auch wenn IMAP und POP3 also ihre Vorteile haben – beide Technologien sind nicht frei von Schwachstellen. Hinzu kommt: Da beide Protokolle seit über dreißig Jahren fast unverändert im Internet präsent sind, wissen auch Online-Kriminelle, wie sie diese Schwachstellen ausnutzen können. So sind E-Mail-Client-Programme immer wieder Ziel von Angriffen, sobald sie sich mit dem Server verbinden. Möglich wird das zum Beispiel dann, wenn die Client-App eine veraltete Verschlüsselung wie TLS 1.0 benutzt, um die Verbindung zu schützen. Dann können Dritte der App vorgaukeln, sie wären der E-Mail-Server. Mit einer solchen „Man in the Middle“-Attacke haben Unbefugte dann schnell eine vollständige Kopie des E-Mail-Postfachs ihrer Opfer abgegriffen.
Bessere Alternative: Die Mail Apps von WEB.DE
Solche Sicherheitsrisiken sind mit ein Grund dafür, dass bei WEB.DE das IMAP- und das POP3-Protokoll standardmäßig im Postfach deaktiviert sind. Nur Nutzerinnen und Nutzer, die explizit um die Nachteile wissen, sollten die Technologien aktivieren – mit unseren einfachen Anleitungen beschreiben wir hier, wie das funktioniert.
Deutlich einfacher und sorgenfreier funktioniert der mobile Zugriff auf das WEB.DE Postfach über die WEB.DE Mail App für iOS und Android oder über den Browser auf jedem beliebigen Laptop und PC mit Internetzugang. Wer seine E-Mails über diese Zugänge verwaltet, hat alle E-Mails auf allen Geräten immer synchron und sicher gelagert, die Kommunikation zwischen Client und Server ist sicher verschlüsselt und alle Ordner befinden sich immer auf dem aktuellsten Stand. Und wenn dann doch mal versehentlich eine E-Mail gelöscht wurde, lässt sie sich jederzeit auf Smartphone oder PC aus dem Papierkorb wiederherstellen – standardmäßig bis zu 30 Tage im Nachhinein.