Hallo,
ich bin gerade eben neu hier eingestiegen. Ich bin mir auch nicht ganz sicher, ob ich an der richtigen Stelle frage, aber ich versuchs mal:
Es geht um ein Kontaktformular welches mit dem Befehl mail() eine eMail sendet.
Wenn ein User ein Kontakt-Formular auf einer Webseite mit SSL Zertifikat via "https://" ausfüllt und abschickt, dann ist der Weg seiner Daten vom User-PC zum WebServer verschlüsselt. So weit - so klar. Auf dem WebServer schickt nun ein PHP Skript die Userdaten z.B. via mail() zum MailServer. Dieser Transportweg, also genau die Strecke vom WebServer zum MailServer ist ohne besondere Massnahmen unverschlüsselt - richtig?
Die Abholung der Mail vom MailServer zum MailClient des Webseitenbetreibers, also z.B. Outlook, ist wiederum verschlüsselt, da die Mails via SSL abgeholt werden.
Nach langer Recherche habe ich mir nun was zusammengebastelt, was den Inhalt der Mail vom Kontaktformular (per S/MIME) zunächst verschlüsselt und dann via mail() abschickt. Funktioniert ganz gut. Kommt verschlüsselt einwandfrei an und kann nur mit installiertem S/MIME Zertifikat wieder entschlüsselt und gelesen werden.
Meine Frage ist nun: Ist so ein Aufwand (nach DSGVO) nötig oder nicht? Der 1&1 Support behauptet z.B. dass interne Wege - also vom WebServer bei 1&1 zum MailServer bei 1&1 sowieso verschlüsselt seien, aber wem kann man heute noch vertrauen...?
Fazit: Sind Daten vom Kontaktformular via https bis zur Mail-Abholung via SSL sicher?
Danke für eine Antwort.
Gruß, Beamstream
ich bin gerade eben neu hier eingestiegen. Ich bin mir auch nicht ganz sicher, ob ich an der richtigen Stelle frage, aber ich versuchs mal:
Es geht um ein Kontaktformular welches mit dem Befehl mail() eine eMail sendet.
Wenn ein User ein Kontakt-Formular auf einer Webseite mit SSL Zertifikat via "https://" ausfüllt und abschickt, dann ist der Weg seiner Daten vom User-PC zum WebServer verschlüsselt. So weit - so klar. Auf dem WebServer schickt nun ein PHP Skript die Userdaten z.B. via mail() zum MailServer. Dieser Transportweg, also genau die Strecke vom WebServer zum MailServer ist ohne besondere Massnahmen unverschlüsselt - richtig?
Die Abholung der Mail vom MailServer zum MailClient des Webseitenbetreibers, also z.B. Outlook, ist wiederum verschlüsselt, da die Mails via SSL abgeholt werden.
Nach langer Recherche habe ich mir nun was zusammengebastelt, was den Inhalt der Mail vom Kontaktformular (per S/MIME) zunächst verschlüsselt und dann via mail() abschickt. Funktioniert ganz gut. Kommt verschlüsselt einwandfrei an und kann nur mit installiertem S/MIME Zertifikat wieder entschlüsselt und gelesen werden.
Meine Frage ist nun: Ist so ein Aufwand (nach DSGVO) nötig oder nicht? Der 1&1 Support behauptet z.B. dass interne Wege - also vom WebServer bei 1&1 zum MailServer bei 1&1 sowieso verschlüsselt seien, aber wem kann man heute noch vertrauen...?
Fazit: Sind Daten vom Kontaktformular via https bis zur Mail-Abholung via SSL sicher?
Danke für eine Antwort.
Gruß, Beamstream
Kommentar