13
E-mail Verschlüsselung
Hallo Forum User,
ich bin neu hier im Forum und möchte mich hiermit erstmal an der Teilnahme am Forum bedanken!
Natürlich habe ich auch eine Frage die ich gerne an die Erfahrenen richten möchte, die "Fragen durchsuchen" funktion hat mir leider nicht weiterhelfen können und eine andere Suchfunktion konnte ich nicht finden. Klärt mich bitte auf, falls es diese Funktion gibt, DANKE!
Nun zu meinem Problem:
Unser Datenschutzbeauftragter hat sich mit E-mail verschlüsselung auseinander gesetzt und löchert uns permanent mit was passiert - wenn - fragen.
Unser Exchange Server haven wir entsprechend konfiguriert, dass TLS durchgesetzt wird.
Da unser Datenschutzbeauftragter nie eine Info erhält, dass eine E-mail nicht beim Empfänger ankommen kann, da dieser kein TLS verwendet, möchte er nun dass wir den Exchange so konfigurieren, dass der Sender eine benachrichtigung erhält, wenn der Empfänger die E-mail nicht erhalten kann.
Natürlich habe ich mich dann hingesetzt und alles ausprobiert um mal herauszufinden, was überhaupt passiert wenn man an einen NICHT-TLS-Empfänger versendet...
Entweder stehe ich gewaltig auf dem Schlauch, weil mittlerweile alle TLS verwenden oder wir haben an unserem Exchange etwas falsch eingestellt... denn es passiert nichts...
Kennt jemand von euch eine Lösung?
Würde mich über eure Unterstützung freuen!
MFG
ich bin neu hier im Forum und möchte mich hiermit erstmal an der Teilnahme am Forum bedanken!
Natürlich habe ich auch eine Frage die ich gerne an die Erfahrenen richten möchte, die "Fragen durchsuchen" funktion hat mir leider nicht weiterhelfen können und eine andere Suchfunktion konnte ich nicht finden. Klärt mich bitte auf, falls es diese Funktion gibt, DANKE!
Nun zu meinem Problem:
Unser Datenschutzbeauftragter hat sich mit E-mail verschlüsselung auseinander gesetzt und löchert uns permanent mit was passiert - wenn - fragen.
Unser Exchange Server haven wir entsprechend konfiguriert, dass TLS durchgesetzt wird.
Da unser Datenschutzbeauftragter nie eine Info erhält, dass eine E-mail nicht beim Empfänger ankommen kann, da dieser kein TLS verwendet, möchte er nun dass wir den Exchange so konfigurieren, dass der Sender eine benachrichtigung erhält, wenn der Empfänger die E-mail nicht erhalten kann.
Natürlich habe ich mich dann hingesetzt und alles ausprobiert um mal herauszufinden, was überhaupt passiert wenn man an einen NICHT-TLS-Empfänger versendet...
Entweder stehe ich gewaltig auf dem Schlauch, weil mittlerweile alle TLS verwenden oder wir haben an unserem Exchange etwas falsch eingestellt... denn es passiert nichts...
Kennt jemand von euch eine Lösung?
Würde mich über eure Unterstützung freuen!
MFG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 438433
Url: https://administrator.de/contentid/438433
Printed on: April 16, 2024 at 05:04 o'clock
13 Comments
Latest comment
Moin,
sendet Dein Exchange direkt oder hängt da noch ein Mailgateway dazwischen?
Bitte denk' dran, dass Du wahrscheinlich lediglich eine Transportverschlüsselung aktivert hast und keine Emailverschlüsselung.
Gruss
sendet Dein Exchange direkt oder hängt da noch ein Mailgateway dazwischen?
Bitte denk' dran, dass Du wahrscheinlich lediglich eine Transportverschlüsselung aktivert hast und keine Emailverschlüsselung.
Gruss
Hallo,
TLS zwangsweise (erforderlich?) oder nur angeboten?
Ferner, wie @sabines bereits angemerkt hat, TLS ist keine Emailverschlüsselung, nur der Transport von Euch zu HostA auf Kundenseite ist verschlüsselt - was danach kommt ist offen.
VG
TLS zwangsweise (erforderlich?) oder nur angeboten?
Ferner, wie @sabines bereits angemerkt hat, TLS ist keine Emailverschlüsselung, nur der Transport von Euch zu HostA auf Kundenseite ist verschlüsselt - was danach kommt ist offen.
VG
Hallo,
was hast Du denn ausprobiert und was ist dann passiert als Du versucht hast an einem Empfänger zu versenden der kein TLS akzeptiert?
Und bist Du Dir sicher das dem Datenschutzbauftragtem eine Transportwegeverschlüsselung reicht?
was hast Du denn ausprobiert und was ist dann passiert als Du versucht hast an einem Empfänger zu versenden der kein TLS akzeptiert?
Und bist Du Dir sicher das dem Datenschutzbauftragtem eine Transportwegeverschlüsselung reicht?
Wichtig wäre auch noch darauf zu achten TLS 1.2 einzusetzen, darunter gilt als unsicher.
Kann das auf dem Exchange überhaupt eingestellt werden?
Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
Kann das auf dem Exchange überhaupt eingestellt werden?
Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
Hallo,
danke für all eure schnellen Antworten.
@Sabine / certifiedit.net:
Ich habe mich mit der "E-mailverschlüsselung" falsch ausgedrückt, Sorry.
Dies wäre natürlich viel zu umständlich. Es handelt sich um eine "Transport verschlüsselung".
wir haben ein Mailgateway, allerdings ist das glaube ich nur für eingehende e-mails. Dort läuft nämlich ein Spamfilter.
@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...
Gibts da eine Möglichkeit?
danke für all eure schnellen Antworten.
@Sabine / certifiedit.net:
Ich habe mich mit der "E-mailverschlüsselung" falsch ausgedrückt, Sorry.
Dies wäre natürlich viel zu umständlich. Es handelt sich um eine "Transport verschlüsselung".
wir haben ein Mailgateway, allerdings ist das glaube ich nur für eingehende e-mails. Dort läuft nämlich ein Spamfilter.
@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...
Gibts da eine Möglichkeit?
Versendet Ihr in Emails personenbezogene Daten?
Dann wird eigentlich eine Transportverschlüsselung nicht reichen. Ein "viel zu umständlich" rettet Euren Datenschutzbeauftragten dann auch nicht.
Wie habt ihr denn den Sendeconnector konfiguriert und vor allem was sagen die Queues?
Dann wird eigentlich eine Transportverschlüsselung nicht reichen. Ein "viel zu umständlich" rettet Euren Datenschutzbeauftragten dann auch nicht.
Wie habt ihr denn den Sendeconnector konfiguriert und vor allem was sagen die Queues?
wir haben ein Mailgateway, allerdings ist das glaube ich nur für eingehende e-mails. Dort läuft nämlich ein Spamfilter.
was für eines?
Zitat von @j1m3e84:
Hallo,
@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.
Dann sind die DSNs / NDRs bei euch deaktiviert denn per default wirst du benachrichtigt wenn deine Mail verzögert oder nicht zugestellt werden kann!Hallo,
@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.
Hier lesen:
https://docs.microsoft.com/de-de/exchange/mail-flow/non-delivery-reports ...
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...
Gibts da eine Möglichkeit?
Gibt es nennt sich DSN / NDR und Default beim Exchange, konfiguriere es richtig dann geht das auch.Gibts da eine Möglichkeit?
Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.
Zitat von @j1m3e84:
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...
so gehts nicht - du kannst aber erzwingen, dass der Exchange nur Verbindungen zu Servern aufbaut, die TLS (1.2) unterstützen.Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...
@sabines
Grundsätzlich ist TLS 1.2 nur in Verbindung mit gewissen Chihper Suites sicher. Wobei die Auswahl unter Windows Server (je nach Edition) grenzwürdig ist. Aktuell bekommt man mit Windows Server 2012R2 noch ein A+ mit 100 Punkten hin.
Nun hast du noch 3rd Party Tools, welche mit deinem Mailserver kommunzieren. Das fängt schon mit Windows 7 / Outlook 2010 Clients los, geht weiter mit Microsoft AD FS, Linux Sendmail, ältere Smartphones welche TLS 1.2 nicht kennen bis hinSpam Proxy/Gateways, etc...
Es ist auch darauf zu achten, dass nach einem Software Update der jeweiligen Komponete die Cipher Suites auf einmal verschwunden waren oder TLS 1.0/1.1 wieder aktivert waren.
@j1m3e84
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen
Ich warn dich schon einmal vor. Du wirst stauen, wie viele Mailserver kein TLS oder noch TLS 1.0 bzw. TLS 1.1 verstehen. Ich würde sagen eure Mitarbeiter werden der Geschäftsführung die Hölle heiß machen, wenn jede dritte Mail zurückkommt.
Wir werten regelmäßig die genutzen Protokolle und Cipher Suites aus. In den letzen 4 Wochen haben wir mit
ca. 400 Mailserver kommunziert, welche TLS nicht unterstützen.
ca. 3500 Mailserver kommunziert, welche TLS 1.0 unterstützen.
ca. 1900 Mailserver kommunziert, welche TLS 1.1 unterstützen.
ca. 10200 Mailserver kommunziert, welche TLS 1.2 unterstützen.
Gruß,
Dani
Kann das auf dem Exchange überhaupt eingestellt werden?
Ja, kann man. TLS ist nicht im Exchange Server implementierr sondern in Bertriebssystem (SCHANNEL bzw. WinHTTP).Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
Das ist nur ein Teil des Kuchens...Grundsätzlich ist TLS 1.2 nur in Verbindung mit gewissen Chihper Suites sicher. Wobei die Auswahl unter Windows Server (je nach Edition) grenzwürdig ist. Aktuell bekommt man mit Windows Server 2012R2 noch ein A+ mit 100 Punkten hin.
Nun hast du noch 3rd Party Tools, welche mit deinem Mailserver kommunzieren. Das fängt schon mit Windows 7 / Outlook 2010 Clients los, geht weiter mit Microsoft AD FS, Linux Sendmail, ältere Smartphones welche TLS 1.2 nicht kennen bis hinSpam Proxy/Gateways, etc...
Es ist auch darauf zu achten, dass nach einem Software Update der jeweiligen Komponete die Cipher Suites auf einmal verschwunden waren oder TLS 1.0/1.1 wieder aktivert waren.
@j1m3e84
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen
Ich warn dich schon einmal vor. Du wirst stauen, wie viele Mailserver kein TLS oder noch TLS 1.0 bzw. TLS 1.1 verstehen. Ich würde sagen eure Mitarbeiter werden der Geschäftsführung die Hölle heiß machen, wenn jede dritte Mail zurückkommt.
Wir werten regelmäßig die genutzen Protokolle und Cipher Suites aus. In den letzen 4 Wochen haben wir mit
ca. 400 Mailserver kommunziert, welche TLS nicht unterstützen.
ca. 3500 Mailserver kommunziert, welche TLS 1.0 unterstützen.
ca. 1900 Mailserver kommunziert, welche TLS 1.1 unterstützen.
ca. 10200 Mailserver kommunziert, welche TLS 1.2 unterstützen.
Gruß,
Dani
Zitat von @139374:
Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.
Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.
Moin, bist Du Dir mit dieser Aussage sicher?
Ich kenne das so, dass Sender und Empfänger vorab die TLS Protokoll Version und die Ciphersuite verhandeln und dann ggfs. durchgängig verschlüsselt transportieren. Was genau meinst Du mit Zwischenstation, ein weiteres Mailgateway o.ä.?
Moin sabines,
ich denke er bezieht sich auf Setups wie Sender - tls - EmpfängerMX1 - pop EmpfängerClient
VG
ich denke er bezieht sich auf Setups wie Sender - tls - EmpfängerMX1 - pop EmpfängerClient
VG
Ja.
Deswegen nutzt die Transportverschlüsselung nur etwas wenn der Weg bekannt und abgesprochen ist das alle folgenden Prozesse ebenfalls über TLS/SSL ablaufen. Aber selbst dann liegen die Nachrichten auf den Gateways im Klartext.
Richtige End-To-End Verschlüsselung ist also was ganz anderes.
Ich kenne das so, dass Sender und Empfänger vorab die TLS Protokoll Version und die Ciphersuite verhandeln und dann ggfs. durchgängig verschlüsselt transportieren. Was genau meinst Du mit Zwischenstation, ein weiteres Mailgateway o.ä.?
Jepp, der MX als Nexthop kann unter Umständen nur eine Zwischenstation auf dem Weg zum Empfänger sein, auf das was dahinter kommt(weiteres Mailgateway/Proxy/POP/IMAP) hast du somit keinen Einfluss.Deswegen nutzt die Transportverschlüsselung nur etwas wenn der Weg bekannt und abgesprochen ist das alle folgenden Prozesse ebenfalls über TLS/SSL ablaufen. Aber selbst dann liegen die Nachrichten auf den Gateways im Klartext.
Richtige End-To-End Verschlüsselung ist also was ganz anderes.