Sendmail oder SMTP?

  • Hallo Hanabi ,


    bei der Menge an Informationen, bzgl. DS-GVO kommen immer wieder Fragen/Probleme auf, wann ein Formular-Versand wirklich ds-gvo konform ist oder nicht. Vielleicht kann man hier ein paar Punkte zur Information zusammenführen wie z.B.:

    1. Genügt eine einfache SSL-Verschlüsselung?
    2. Was macht den Unterschied zwischen Mailversand per PHP oder SMTP?
    3. Wann brauche ich das alles überhaupt?

    Vielen Dank für die Mühen und die aufgebrachte Zeit. :thumbup:

  • ZU 2: Der Vorteil hier ist, dass man den vermittelnden SMTP-Server, dessen Standort und Konfiguration kennt und sogar die Kommunikation auf SSL einschränken kann. Beim versand über php mai() ist das dem Zufall (der Konfiguration des Webservers, die man bei einem Hostingpaket nicht beeinflussen kann) überlassen.

  • Hallo Andre,


    Die Verschlüsselung der Seite über https stellt nur sicher, dass die Kommunikation zwischen Server und Besucher SAFE ist. Bei einem Versand einer Nachricht über Formular kommt aber nach dem Weg Besucher -> Server noch die weitere Übermittlung Server -> Mailempfänger dazu. Bei Versand via PHP ist diese Strecke ungeschützt. Passend hierzu wären die Anforderungen an die Sicherheit der Datenverarbeitung:

    Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.

    SMTP ist Stand der Technik, ebenso die Verschlüsselung unter SMTP. Lediglich bei einigen sehr alten Hostingverträgen könnte ich mir vorstellen, dass die Aktivierung der Verschlüsselung Kosten verursacht.


    Nun könnte man sich noch ansehen, was denn die Schwere der Gefahren zu bedeuten hat:

    1. Kontaktformular für Reifenwechsel: Es besteht die Gefahr, dass jemand Unbefugtes Name und Mailadresse des Besuchers erfährt. Theoretisch könnte man damit schon einiges anstellen

    2. Kontaktformular für Frisör: Siehe 1 + eventuell Erkenntnis, dass der Besucher Schuppen hat

    3. Kontaktformular für Arzttermin: da brauchen wir über die Gefahren gar nicht zu diskutieren.


    Ergebnis: Verwendet den Versand per SMTP mit Verschlüsselung, sichert die Seite selbst mit https und stellt auch sicher, dass diese nur über https aufgerufen werden kann (Erzwingung über .htaccess). Damit ist der Weg vom Rechner des Besuchers über den Server bis hin zum eigenen Mail-Postfach gesichert.