Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst E-mail Verschlüsselung

Mitglied: j1m3e84

j1m3e84 (Level 1) - Jetzt verbinden

09.04.2019 um 12:56 Uhr, 893 Aufrufe, 13 Kommentare

Hallo Forum User,

ich bin neu hier im Forum und möchte mich hiermit erstmal an der Teilnahme am Forum bedanken!

Natürlich habe ich auch eine Frage die ich gerne an die Erfahrenen richten möchte, die "Fragen durchsuchen" funktion hat mir leider nicht weiterhelfen können und eine andere Suchfunktion konnte ich nicht finden. Klärt mich bitte auf, falls es diese Funktion gibt, DANKE!

Nun zu meinem Problem:

Unser Datenschutzbeauftragter hat sich mit E-mail verschlüsselung auseinander gesetzt und löchert uns permanent mit was passiert - wenn - fragen.

Unser Exchange Server haven wir entsprechend konfiguriert, dass TLS durchgesetzt wird.

Da unser Datenschutzbeauftragter nie eine Info erhält, dass eine E-mail nicht beim Empfänger ankommen kann, da dieser kein TLS verwendet, möchte er nun dass wir den Exchange so konfigurieren, dass der Sender eine benachrichtigung erhält, wenn der Empfänger die E-mail nicht erhalten kann.

Natürlich habe ich mich dann hingesetzt und alles ausprobiert um mal herauszufinden, was überhaupt passiert wenn man an einen NICHT-TLS-Empfänger versendet...
Entweder stehe ich gewaltig auf dem Schlauch, weil mittlerweile alle TLS verwenden oder wir haben an unserem Exchange etwas falsch eingestellt... denn es passiert nichts...

Kennt jemand von euch eine Lösung?

Würde mich über eure Unterstützung freuen!

MFG
Mitglied: sabines
09.04.2019 um 13:00 Uhr
Moin,

sendet Dein Exchange direkt oder hängt da noch ein Mailgateway dazwischen?
Bitte denk' dran, dass Du wahrscheinlich lediglich eine Transportverschlüsselung aktivert hast und keine Emailverschlüsselung.

Gruss
Bitte warten ..
Mitglied: certifiedit.net
09.04.2019 um 13:11 Uhr
Hallo,

TLS zwangsweise (erforderlich?) oder nur angeboten?

Ferner, wie @sabines bereits angemerkt hat, TLS ist keine Emailverschlüsselung, nur der Transport von Euch zu HostA auf Kundenseite ist verschlüsselt - was danach kommt ist offen.

VG
Bitte warten ..
Mitglied: St-Andreas
09.04.2019 um 13:13 Uhr
Hallo,

was hast Du denn ausprobiert und was ist dann passiert als Du versucht hast an einem Empfänger zu versenden der kein TLS akzeptiert?

Und bist Du Dir sicher das dem Datenschutzbauftragtem eine Transportwegeverschlüsselung reicht?
Bitte warten ..
Mitglied: sabines
09.04.2019, aktualisiert um 13:29 Uhr
Wichtig wäre auch noch darauf zu achten TLS 1.2 einzusetzen, darunter gilt als unsicher.
Kann das auf dem Exchange überhaupt eingestellt werden?

Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
Bitte warten ..
Mitglied: j1m3e84
09.04.2019 um 13:48 Uhr
Hallo,

danke für all eure schnellen Antworten.

@Sabine / certifiedit.net:
Ich habe mich mit der "E-mailverschlüsselung" falsch ausgedrückt, Sorry.
Dies wäre natürlich viel zu umständlich. Es handelt sich um eine "Transport verschlüsselung".
wir haben ein Mailgateway, allerdings ist das glaube ich nur für eingehende e-mails. Dort läuft nämlich ein Spamfilter.

@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.

Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...

Gibts da eine Möglichkeit?
Bitte warten ..
Mitglied: St-Andreas
09.04.2019 um 14:07 Uhr
Versendet Ihr in Emails personenbezogene Daten?
Dann wird eigentlich eine Transportverschlüsselung nicht reichen. Ein "viel zu umständlich" rettet Euren Datenschutzbeauftragten dann auch nicht.

Wie habt ihr denn den Sendeconnector konfiguriert und vor allem was sagen die Queues?
Bitte warten ..
Mitglied: certifiedit.net
09.04.2019 um 14:07 Uhr
wir haben ein Mailgateway, allerdings ist das glaube ich nur für eingehende e-mails. Dort läuft nämlich ein Spamfilter.

was für eines?
Bitte warten ..
Mitglied: 139374
09.04.2019, aktualisiert um 14:24 Uhr
Zitat von j1m3e84:

Hallo,


@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.
Dann sind die DSNs / NDRs bei euch deaktiviert denn per default wirst du benachrichtigt wenn deine Mail verzögert oder nicht zugestellt werden kann!
Hier lesen:
https://docs.microsoft.com/de-de/exchange/mail-flow/non-delivery-reports ...
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...

Gibts da eine Möglichkeit?
Gibt es nennt sich DSN / NDR und Default beim Exchange, konfiguriere es richtig dann geht das auch.

Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.
Bitte warten ..
Mitglied: Kraemer
09.04.2019 um 16:02 Uhr
Zitat von j1m3e84:
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...
so gehts nicht - du kannst aber erzwingen, dass der Exchange nur Verbindungen zu Servern aufbaut, die TLS (1.2) unterstützen.
Bitte warten ..
Mitglied: Dani
09.04.2019, aktualisiert um 22:56 Uhr
@sabines
Kann das auf dem Exchange überhaupt eingestellt werden?
Ja, kann man. TLS ist nicht im Exchange Server implementierr sondern in Bertriebssystem (SCHANNEL bzw. WinHTTP).

Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
Das ist nur ein Teil des Kuchens...

Grundsätzlich ist TLS 1.2 nur in Verbindung mit gewissen Chihper Suites sicher. Wobei die Auswahl unter Windows Server (je nach Edition) grenzwürdig ist. Aktuell bekommt man mit Windows Server 2012R2 noch ein A+ mit 100 Punkten hin.

Nun hast du noch 3rd Party Tools, welche mit deinem Mailserver kommunzieren. Das fängt schon mit Windows 7 / Outlook 2010 Clients los, geht weiter mit Microsoft AD FS, Linux Sendmail, ältere Smartphones welche TLS 1.2 nicht kennen bis hinSpam Proxy/Gateways, etc...

Es ist auch darauf zu achten, dass nach einem Software Update der jeweiligen Komponete die Cipher Suites auf einmal verschwunden waren oder TLS 1.0/1.1 wieder aktivert waren.

@j1m3e84
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen
Ich warn dich schon einmal vor. Du wirst stauen, wie viele Mailserver kein TLS oder noch TLS 1.0 bzw. TLS 1.1 verstehen. Ich würde sagen eure Mitarbeiter werden der Geschäftsführung die Hölle heiß machen, wenn jede dritte Mail zurückkommt.

Wir werten regelmäßig die genutzen Protokolle und Cipher Suites aus. In den letzen 4 Wochen haben wir mit
ca. 400 Mailserver kommunziert, welche TLS nicht unterstützen.
ca. 3500 Mailserver kommunziert, welche TLS 1.0 unterstützen.
ca. 1900 Mailserver kommunziert, welche TLS 1.1 unterstützen.
ca. 10200 Mailserver kommunziert, welche TLS 1.2 unterstützen.


Gruß,
Dani
Bitte warten ..
Mitglied: sabines
10.04.2019 um 10:00 Uhr
Zitat von 139374:

Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.

Moin, bist Du Dir mit dieser Aussage sicher?
Ich kenne das so, dass Sender und Empfänger vorab die TLS Protokoll Version und die Ciphersuite verhandeln und dann ggfs. durchgängig verschlüsselt transportieren. Was genau meinst Du mit Zwischenstation, ein weiteres Mailgateway o.ä.?
Bitte warten ..
Mitglied: certifiedit.net
10.04.2019 um 10:04 Uhr
Moin sabines,

ich denke er bezieht sich auf Setups wie Sender - tls - EmpfängerMX1 - pop EmpfängerClient

VG
Bitte warten ..
Mitglied: 139374
10.04.2019, aktualisiert um 10:29 Uhr
Zitat von sabines:
Moin, bist Du Dir mit dieser Aussage sicher?
Ja.
Ich kenne das so, dass Sender und Empfänger vorab die TLS Protokoll Version und die Ciphersuite verhandeln und dann ggfs. durchgängig verschlüsselt transportieren. Was genau meinst Du mit Zwischenstation, ein weiteres Mailgateway o.ä.?
Jepp, der MX als Nexthop kann unter Umständen nur eine Zwischenstation auf dem Weg zum Empfänger sein, auf das was dahinter kommt(weiteres Mailgateway/Proxy/POP/IMAP) hast du somit keinen Einfluss.
Deswegen nutzt die Transportverschlüsselung nur etwas wenn der Weg bekannt und abgesprochen ist das alle folgenden Prozesse ebenfalls über TLS/SSL ablaufen. Aber selbst dann liegen die Nachrichten auf den Gateways im Klartext.
Richtige End-To-End Verschlüsselung ist also was ganz anderes.
Bitte warten ..
Ähnliche Inhalte
E-Mail
E-Mail Newsletter
Frage von ProtectedE-Mail7 Kommentare

Hallo, wir versenden im Monat rund 1.000 E-Mails mit unserem E-Mail Server. Leider gelangen wir oft in Spam-Ordner bei ...

Entwicklung
E-mail Textanalyse
gelöst Frage von BitconEntwicklung5 Kommentare

Hallo zusammen Ich möchte im Rahmen meiner Ausbildung zum Fachinformatiker ein Projekt für die meine Firma realisieren. Das Projekt ...

E-Mail
Weiterleitung von E-Mail
gelöst Frage von raba34E-Mail5 Kommentare

Hallo ihr alle, ich möchte bewirken, dass auf meinen Mailservern (exim und postfix) eingehende Mails wie folgt weitergeleitet werden: ...

Outlook & Mail
E-Mail Archivierung (GOBD)
Frage von palle1977Outlook & Mail8 Kommentare

Moin zusammen, wir beschäftigen uns aktuell mit dem Thema und testen gerade Barracuda. Ich wollte mal hören was ihr ...

Neue Wissensbeiträge
Humor (lol)

Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!

Tipp von Snowbird vor 17 StundenHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 2 TagenViren und Trojaner5 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Heiß diskutierte Inhalte
Hyper-V
Bei Neuaufbau auf Core-Server setzen?
gelöst Frage von dertowaHyper-V33 Kommentare

Hallo zusammen, ich habe vor einigen Monaten die Verantwortung für eine EDV-Landschaft übernommen die seit Jahren von einem Dienstleister ...

Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
Frage von imebroRouter & Routing17 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...