Mit COI den Mailserver um Chat-Fähigkeiten erweitern

Sprechpost

Markus !!! Feilner !!!

Für die einen ist E-Mail out, veraltet und kaputt gespammt, für die anderen sind SMTP und IMAP ausgereift und bieten viel Raum für Neuerungen. Chat over IMAP von Open-Xchange soll auf dieser Basis den Messenger-Markt aufmischen.

Viele halten E-Mail, und damit eine der ältesten Protokollfamilien des Internets, für überholt und nicht zuletzt wegen SPAM und Phishing auch für nicht reanimierbar. Dem halten Befürworter entgegen, gerade wegen seines Alters sei E-Mail ein wohlüberlegtes und ausgereiftes Format, zugleich offen für Neuerungen – ähnlich wie TCP/IP oder HTTP: Abgesehen von Audio- und Videostreaming ließe sich fast alles, was Anwender heute am Internet lieben und nutzen, auch mit SMTP und IMAP abwickeln – frei von Datensilos wie Facebook/WhatsApp, Google und Twitter, aus denen es kein Entrinnen gibt.

Ein Schlagwort lautet „Federated Messaging Networks“. Was für Datenschützer und Verfechter des freien Internets wie ein Traum klingt, ist eigentlich nicht neu. Doch erst mit der Idee der Federations, also loser Verbünde privater Server, bekommen einige Ansätze wieder so richtig Aufwind. Jüngster Spross in diesem Feld ist Chat over IMAP (COI) von Open-Xchange. Was sich zunächst wie eine allzu künstliche Verbindung anhört, ergibt bei genauerer Betrachtung durchaus Sinn und verlangt nur wenige Änderungen an den bekannten E-Mail-Standards und RFCs. Die Infrastruktur steht, ist dezentral und gut organisiert. Der Kasten „Warum eigentlich E-Mail?“ fasst diverse Rahmenbedingungen zusammen.

Warum eigentlich E-Mail?

Die E-Mail wird noch lange erhalten bleiben. Sie dient fast jedem als Fallback für die meisten Internetdienste, etwa beim Reset von Passwörtern, beim Login oder beim Bestätigen von Konfigurationsänderungen. Laut CMSWire nutzen nur 27 Prozent der Angestellten soziale Netze zur Kommunikation mit Kollegen, während 41 Prozent eigentlich nicht erlaubte Chat-Apps am Arbeitsplatz installieren. Es gäbe vier gute Argumente, warum E-Mail eine Alternative zu den großen Chat-Silos bleiben wird (siehe ix.de/zk23):

Jeder hat eine E-Mail-Adresse, E-Mail hat 100 Prozent Marktdurchdringung. Jeder neue Mitarbeiter bekommt als Erstes eine E-Mail-Adresse; Slack-, Chat- und Team-Accounts kommen erst später.
Der E-Mail-Standard ist unabhängig von einzelnen Firmen, die das System steuern.
E-Mail ist flexibel – in der Cloud oder lokal, selbstverwaltet oder als Service, alles ist möglich.
Das Format ist ausgereift und genießt Jahrzehnte Erfahrungsvorsprung gegenüber Alternativen wie Slack oder WhatsApp.

Neben dem Anwenderwunsch spielen aber auch Sicherheit und Datenschutz eine wichtige Rolle. Auch die Tipps des BSI [1] sind an der Stelle eindeutig:

„Es gibt Messenger, die mit sozialen Netzwerken verknüpft sind. Solche Verknüpfungen sind aus Sicht von Datenschützern bedenklich. Sie können zudem rasch den Überblick darüber verlieren, welchen Inhalt Sie gegenüber welchen Personen freigegeben haben. [...] Achten Sie auf die Vertrauenswürdigkeit des Anbieters. Bedenken Sie dabei auch, aus welchem Land der Anbieter stammt. Gesetze zum Schutz der Privatsphäre unterscheiden sich weltweit. [...] Bei Anwendungen, bei denen Sicherheit und Vertrauen im Vordergrund stehen, ist die Einsicht in den Quelltext unerlässlich, um eine unabhängige Kontrolle zu gewährleisten.“

All diese erfüllt ein Chat über E-Mail im Stile von COI quasi ganz nebenbei und bietet Standard-Mail-Clients als einfachen Fallback – ohne zusätzliche Add-ons allerdings, wie in Abbildung 2 zu sehen, nur noch ohne Verschlüsselung. Offen, frei, dank RFC-Standardisierung für jedermann nachvollziehbar und dauerhaft verlässlich, erlaubt E-Mail auch das Einbetten beliebiger Inhalte sowie sichere und komfortable End-to-End-Verschlüsselung via PGP und Autocrypt. Letzteres sorgt dank opportunistischer Sicherheit gemäß RFC 7435 für eine unkomplizierte und schnelle, aber gleichzeitig sichere Verschlüsselung zwischen unbekannten Kommunikationspartnern. Kompatibel zu OpenPGP baut es auf dem freien Standard auf, nimmt dem Anwender aber fast alle Arbeit ab. Bis dato können Thunderbirds Enigmail, Mailpile, Delta Chat Messenger, OX COI und der Android-Mailclient K9 Mail mit Autocrypt umgehen. Darüber hinaus bietet COI Verfahren mit Sende-, Empfangs- und Lesebestätigungen, Gruppenchats und vieles mehr.

Der Transport der Nachrichten läuft ausschließlich per SMTP, lediglich die Auslieferung an die Clients der Anwender erfolgt über IMAP. Denn die Nachrichten selbst sind ganz normale E-Mails, je nach Bedarf ergänzt um zusätzliche Informationen. Listing 1 zeigt exemplarisch die E-Mail-Header einer einfachen COI-Nachricht.

Neue und erweiterteE-Mail-Header

Listing 1: Eine einfache COI-Nachricht

From: Me Myself <me@example.com> 
To: You <you@recipientdomain.com> 
Subject: 
Date: Mon, 4 Dec 2019 15:51:37 +0100 
Message-ID: <coi$S2571BC.2878&8@sample.com> 
Content-Type: text/plain; charset=UTF-8; 
 format="flowed" 
References: <coi$434571BC.89A707D2@sample.com> 
Chat-Version: 1.0
MIME-Version: 1.0
Disposition-Notification-To: <me@example.com> 
 
Hello World

Im Header Message-ID: findet man den COI-spezifischen Präfix coi$ gefolgt von einer Domain-weit einzigartigen ID und der Mail-Domain. Der optionale Eintrag in References: enthält die Message-ID, auf die sich eine Antwort bezieht. Bei längeren Threads finden sich hier – ganz im Gegensatz zu den Empfehlungen des RFC5322 – aus Platz- und Übersichtlichkeitsgründen lediglich Informationen zur ersten und letzten Nachricht des Threads. Das Header-Feld Chat-Version: zeigt an, dass es sich um eine Chat-Nachricht handelt. Eine Gruppennachricht enthält wie in Listing 2 zu sehen lediglich mehrere Empfänger im To:-Header und einen Gruppenpräfix (coi$.<Gruppen-ID>) für die Message-ID.

Listing 2: Eine Gruppennachricht

From: Me Myself <me@sample.com>
To: alice@example.com, bob@example.com
Date: Mon, 4 Dec 2019 15:51:37 +0100
Content-Type: text/plain; charset=UTF-8
MIME-Version: 1.0
Disposition-Notification-To: Me Myself <me@sample.com>
Message-ID: <coi$group.4321dcba1234.434571BC.S2571BC.2878&8@sample.com>
Chat-Version: 1.0
Subject: COI at FOSDEM
Hi gang, hope you're doing fine!

Zum Verfolgen von Veränderungen an vorhandenen Mitteilungen dienen die beiden Felder Chat-Content: und In-Reply-To:; letzteres refererenziert dabei die ID der ursprünglichen Nachricht. Dabei signalisiert

Chat-Content: ammend;

dass eine Nachricht verändert wurde, und

Chat-Content: collapsed;

dokumentiert eine gelöschte Message. Details zu den COI-spezifischen Header-Feldern finden sich in der COI-Client-Spezifikation (siehe ix.de/zk23). Einen ersten Eindruck, wie das in Clients aussieht, verschafft Abbildung 1.

Für Chat over IMAP (COI) existieren bereits zwei Android- und ein Linux-Desktop-Client. Links im Bild Delta Chat, rechts OX COI, bis Version 0.6 noch als OX Talk unterwegs (Abb. 1).

Google Mail eignet sich gut fürs Testen von COI: Der Server ist auch ohne COI-Erweiterungen schnell, die Chat-Nachrichten landet in einem eigenen Mailordner namens Delta Chat (Abb. 2).

Noch ist nicht alles davon bereits umgesetzt, manches erfordert RFC-Drafts für Erweiterungen an den Mailservern, etwa zur garantiert schnellen Zustellung, doch dazu später mehr. Mehrere Firmen arbeiten derzeit daran und werden nicht müde, Entwickler zur Mitarbeit einzuladen. Der Kasten „Details zur Entstehungsgeschichte“ am Ende des Artikels liefert einige Hintergrundinformationen zur Motivation für Open-Xchange und zum Weg von der Idee zum Produkt.

Die leidige Datenfalle WhatsApp

Mit COI haben sich die Kölner wie schon vor einigen Jahren wieder Facebook als Ziel ausgesucht, diesmal deren Chat-Produkt WhatsApp. Mit zusammen um die 2,5 Mrd. aktiven Benutzern dominieren die auf dem Markt der mobilen Chats. Seit dem Kauf hat Facebook den Messenger WhatsApp in seine Dienste integriert und nutzt – entgegen eigenen Versprechen – auch die ausgetauschten Daten und Metainformationen für sein Geschäftsmodell des Targeted Advertisement. Vor allem in Deutschland mehren sich dabei in den letzten Jahren zunehmend Bedenken, und spätestens seit der DSGVO, die eine Einwilligung bei der Weitergabe von persönlichen Daten Dritter vorschreibt, dürfte WhatsApp in vielen Aspekten im europäischen Markt nicht mehr datenschutz- und rechtskonform verwendbar sein.