Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst E-mail Verschlüsselung

Mitglied: j1m3e84

j1m3e84 (Level 1) - Jetzt verbinden

09.04.2019 um 12:56 Uhr, 1753 Aufrufe, 13 Kommentare

Hallo Forum User,

ich bin neu hier im Forum und möchte mich hiermit erstmal an der Teilnahme am Forum bedanken!

Natürlich habe ich auch eine Frage die ich gerne an die Erfahrenen richten möchte, die "Fragen durchsuchen" funktion hat mir leider nicht weiterhelfen können und eine andere Suchfunktion konnte ich nicht finden. Klärt mich bitte auf, falls es diese Funktion gibt, DANKE!

Nun zu meinem Problem:

Unser Datenschutzbeauftragter hat sich mit E-mail verschlüsselung auseinander gesetzt und löchert uns permanent mit was passiert - wenn - fragen.

Unser Exchange Server haven wir entsprechend konfiguriert, dass TLS durchgesetzt wird.

Da unser Datenschutzbeauftragter nie eine Info erhält, dass eine E-mail nicht beim Empfänger ankommen kann, da dieser kein TLS verwendet, möchte er nun dass wir den Exchange so konfigurieren, dass der Sender eine benachrichtigung erhält, wenn der Empfänger die E-mail nicht erhalten kann.

Natürlich habe ich mich dann hingesetzt und alles ausprobiert um mal herauszufinden, was überhaupt passiert wenn man an einen NICHT-TLS-Empfänger versendet...
Entweder stehe ich gewaltig auf dem Schlauch, weil mittlerweile alle TLS verwenden oder wir haben an unserem Exchange etwas falsch eingestellt... denn es passiert nichts...

Kennt jemand von euch eine Lösung?

Würde mich über eure Unterstützung freuen!

MFG
Mitglied: sabines
09.04.2019 um 13:00 Uhr
Moin,

sendet Dein Exchange direkt oder hängt da noch ein Mailgateway dazwischen?
Bitte denk' dran, dass Du wahrscheinlich lediglich eine Transportverschlüsselung aktivert hast und keine Emailverschlüsselung.

Gruss
Bitte warten ..
Mitglied: certifiedit.net
09.04.2019 um 13:11 Uhr
Hallo,

TLS zwangsweise (erforderlich?) oder nur angeboten?

Ferner, wie @sabines bereits angemerkt hat, TLS ist keine Emailverschlüsselung, nur der Transport von Euch zu HostA auf Kundenseite ist verschlüsselt - was danach kommt ist offen.

VG
Bitte warten ..
Mitglied: St-Andreas
09.04.2019 um 13:13 Uhr
Hallo,

was hast Du denn ausprobiert und was ist dann passiert als Du versucht hast an einem Empfänger zu versenden der kein TLS akzeptiert?

Und bist Du Dir sicher das dem Datenschutzbauftragtem eine Transportwegeverschlüsselung reicht?
Bitte warten ..
Mitglied: sabines
09.04.2019, aktualisiert um 13:29 Uhr
Wichtig wäre auch noch darauf zu achten TLS 1.2 einzusetzen, darunter gilt als unsicher.
Kann das auf dem Exchange überhaupt eingestellt werden?

Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
Bitte warten ..
Mitglied: j1m3e84
09.04.2019 um 13:48 Uhr
Hallo,

danke für all eure schnellen Antworten.

@Sabine / certifiedit.net:
Ich habe mich mit der "E-mailverschlüsselung" falsch ausgedrückt, Sorry.
Dies wäre natürlich viel zu umständlich. Es handelt sich um eine "Transport verschlüsselung".
wir haben ein Mailgateway, allerdings ist das glaube ich nur für eingehende e-mails. Dort läuft nämlich ein Spamfilter.

@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.

Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...

Gibts da eine Möglichkeit?
Bitte warten ..
Mitglied: St-Andreas
09.04.2019 um 14:07 Uhr
Versendet Ihr in Emails personenbezogene Daten?
Dann wird eigentlich eine Transportverschlüsselung nicht reichen. Ein "viel zu umständlich" rettet Euren Datenschutzbeauftragten dann auch nicht.

Wie habt ihr denn den Sendeconnector konfiguriert und vor allem was sagen die Queues?
Bitte warten ..
Mitglied: certifiedit.net
09.04.2019 um 14:07 Uhr
wir haben ein Mailgateway, allerdings ist das glaube ich nur für eingehende e-mails. Dort läuft nämlich ein Spamfilter.

was für eines?
Bitte warten ..
Mitglied: 139374
09.04.2019, aktualisiert um 14:24 Uhr
Zitat von j1m3e84:

Hallo,


@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.
Dann sind die DSNs / NDRs bei euch deaktiviert denn per default wirst du benachrichtigt wenn deine Mail verzögert oder nicht zugestellt werden kann!
Hier lesen:
https://docs.microsoft.com/de-de/exchange/mail-flow/non-delivery-reports ...
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...

Gibts da eine Möglichkeit?
Gibt es nennt sich DSN / NDR und Default beim Exchange, konfiguriere es richtig dann geht das auch.

Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.
Bitte warten ..
Mitglied: Kraemer
09.04.2019 um 16:02 Uhr
Zitat von j1m3e84:
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...
so gehts nicht - du kannst aber erzwingen, dass der Exchange nur Verbindungen zu Servern aufbaut, die TLS (1.2) unterstützen.
Bitte warten ..
Mitglied: Dani
09.04.2019, aktualisiert um 22:56 Uhr
@sabines
Kann das auf dem Exchange überhaupt eingestellt werden?
Ja, kann man. TLS ist nicht im Exchange Server implementierr sondern in Bertriebssystem (SCHANNEL bzw. WinHTTP).

Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
Das ist nur ein Teil des Kuchens...

Grundsätzlich ist TLS 1.2 nur in Verbindung mit gewissen Chihper Suites sicher. Wobei die Auswahl unter Windows Server (je nach Edition) grenzwürdig ist. Aktuell bekommt man mit Windows Server 2012R2 noch ein A+ mit 100 Punkten hin.

Nun hast du noch 3rd Party Tools, welche mit deinem Mailserver kommunzieren. Das fängt schon mit Windows 7 / Outlook 2010 Clients los, geht weiter mit Microsoft AD FS, Linux Sendmail, ältere Smartphones welche TLS 1.2 nicht kennen bis hinSpam Proxy/Gateways, etc...

Es ist auch darauf zu achten, dass nach einem Software Update der jeweiligen Komponete die Cipher Suites auf einmal verschwunden waren oder TLS 1.0/1.1 wieder aktivert waren.

@j1m3e84
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen
Ich warn dich schon einmal vor. Du wirst stauen, wie viele Mailserver kein TLS oder noch TLS 1.0 bzw. TLS 1.1 verstehen. Ich würde sagen eure Mitarbeiter werden der Geschäftsführung die Hölle heiß machen, wenn jede dritte Mail zurückkommt.

Wir werten regelmäßig die genutzen Protokolle und Cipher Suites aus. In den letzen 4 Wochen haben wir mit
ca. 400 Mailserver kommunziert, welche TLS nicht unterstützen.
ca. 3500 Mailserver kommunziert, welche TLS 1.0 unterstützen.
ca. 1900 Mailserver kommunziert, welche TLS 1.1 unterstützen.
ca. 10200 Mailserver kommunziert, welche TLS 1.2 unterstützen.


Gruß,
Dani
Bitte warten ..
Mitglied: sabines
10.04.2019 um 10:00 Uhr
Zitat von 139374:

Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.

Moin, bist Du Dir mit dieser Aussage sicher?
Ich kenne das so, dass Sender und Empfänger vorab die TLS Protokoll Version und die Ciphersuite verhandeln und dann ggfs. durchgängig verschlüsselt transportieren. Was genau meinst Du mit Zwischenstation, ein weiteres Mailgateway o.ä.?
Bitte warten ..
Mitglied: certifiedit.net
10.04.2019 um 10:04 Uhr
Moin sabines,

ich denke er bezieht sich auf Setups wie Sender - tls - EmpfängerMX1 - pop EmpfängerClient

VG
Bitte warten ..
Mitglied: 139374
10.04.2019, aktualisiert um 10:29 Uhr
Zitat von sabines:
Moin, bist Du Dir mit dieser Aussage sicher?
Ja.
Ich kenne das so, dass Sender und Empfänger vorab die TLS Protokoll Version und die Ciphersuite verhandeln und dann ggfs. durchgängig verschlüsselt transportieren. Was genau meinst Du mit Zwischenstation, ein weiteres Mailgateway o.ä.?
Jepp, der MX als Nexthop kann unter Umständen nur eine Zwischenstation auf dem Weg zum Empfänger sein, auf das was dahinter kommt(weiteres Mailgateway/Proxy/POP/IMAP) hast du somit keinen Einfluss.
Deswegen nutzt die Transportverschlüsselung nur etwas wenn der Weg bekannt und abgesprochen ist das alle folgenden Prozesse ebenfalls über TLS/SSL ablaufen. Aber selbst dann liegen die Nachrichten auf den Gateways im Klartext.
Richtige End-To-End Verschlüsselung ist also was ganz anderes.
Bitte warten ..
Ähnliche Inhalte
Entwicklung
E-mail Textanalyse
gelöst Frage von BitconEntwicklung5 Kommentare

Hallo zusammen Ich möchte im Rahmen meiner Ausbildung zum Fachinformatiker ein Projekt für die meine Firma realisieren. Das Projekt ...

E-Mail
Zertifikat e-mail
Frage von planarE-Mail2 Kommentare

Hallo, ich bin gerade dabei mir einen Überblick zu verschaffen. Es geht um Zertifikate um einen sicheren e-mail Verkehr ...

E-Mail
Weiterleitung von E-Mail
gelöst Frage von raba34E-Mail6 Kommentare

Hallo ihr alle, ich möchte bewirken, dass auf meinen Mailservern (exim und postfix) eingehende Mails wie folgt weitergeleitet werden: ...

Outlook & Mail
E-Mail Archivierung (GOBD)
Frage von palle1977Outlook & Mail8 Kommentare

Moin zusammen, wir beschäftigen uns aktuell mit dem Thema und testen gerade Barracuda. Ich wollte mal hören was ihr ...

Neue Wissensbeiträge
Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 1 TagMicrosoft Office2 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 3 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 3 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 5 TagenHumor (lol)19 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Heiß diskutierte Inhalte
Windows Server
Kontakt mit Warenwirtschaft Software Anbieter - Netzwerkstbilität
Frage von PoddeldunktWindows Server18 Kommentare

Hallo zusammen, entschuldigt erstmal den schlechten Titel, aber mir ist nicht eingefallen wie ich das ganze Aussagekräftiger gestalten soll. ...

Windows 10
Reicht eine 64GB SSD für einen Einwahl-PC für die Funktionsupgrade?
gelöst Frage von StefanKittelWindows 1018 Kommentare

Hallo, ich weiß, bei Google steht ganz viel, aber das meiste zu 32GB und irgendwie schreibt jeder was Anderes. ...

Windows Tools
Autologoff Local User Windows 10 bei idle Time von 900 Sekunden
Frage von Hendrik2586Windows Tools16 Kommentare

Hallo ihr lieben. :) Ich hatte das Thema schon mal vor einer Weile, aber nun muss ich es nochmal ...

Windows Server
Problem bei der Installation von .Net Framework 3.5 auf Server 2012R2
Frage von Timo0oWindows Server15 Kommentare

Hallo zusammen, vielleicht kann mir hier wer helfen ich bin nämlich langsam am Verzweifeln. Ich habe hier einen Server ...