j1m3e84
Goto Top

E-mail Verschlüsselung

Hallo Forum User,

ich bin neu hier im Forum und möchte mich hiermit erstmal an der Teilnahme am Forum bedanken!

Natürlich habe ich auch eine Frage die ich gerne an die Erfahrenen richten möchte, die "Fragen durchsuchen" funktion hat mir leider nicht weiterhelfen können und eine andere Suchfunktion konnte ich nicht finden. Klärt mich bitte auf, falls es diese Funktion gibt, DANKE! face-smile

Nun zu meinem Problem:

Unser Datenschutzbeauftragter hat sich mit E-mail verschlüsselung auseinander gesetzt und löchert uns permanent mit was passiert - wenn - fragen.

Unser Exchange Server haven wir entsprechend konfiguriert, dass TLS durchgesetzt wird.

Da unser Datenschutzbeauftragter nie eine Info erhält, dass eine E-mail nicht beim Empfänger ankommen kann, da dieser kein TLS verwendet, möchte er nun dass wir den Exchange so konfigurieren, dass der Sender eine benachrichtigung erhält, wenn der Empfänger die E-mail nicht erhalten kann.

Natürlich habe ich mich dann hingesetzt und alles ausprobiert um mal herauszufinden, was überhaupt passiert wenn man an einen NICHT-TLS-Empfänger versendet...
Entweder stehe ich gewaltig auf dem Schlauch, weil mittlerweile alle TLS verwenden oder wir haben an unserem Exchange etwas falsch eingestellt... denn es passiert nichts...

Kennt jemand von euch eine Lösung?

Würde mich über eure Unterstützung freuen!

MFG

Content-ID: 438433

Url: https://administrator.de/forum/e-mail-verschluesselung-438433.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

sabines
sabines 09.04.2019 um 13:00:18 Uhr
Goto Top
Moin,

sendet Dein Exchange direkt oder hängt da noch ein Mailgateway dazwischen?
Bitte denk' dran, dass Du wahrscheinlich lediglich eine Transportverschlüsselung aktivert hast und keine Emailverschlüsselung.

Gruss
certifiedit.net
certifiedit.net 09.04.2019 um 13:11:15 Uhr
Goto Top
Hallo,

TLS zwangsweise (erforderlich?) oder nur angeboten?

Ferner, wie @sabines bereits angemerkt hat, TLS ist keine Emailverschlüsselung, nur der Transport von Euch zu HostA auf Kundenseite ist verschlüsselt - was danach kommt ist offen.

VG
St-Andreas
St-Andreas 09.04.2019 um 13:13:47 Uhr
Goto Top
Hallo,

was hast Du denn ausprobiert und was ist dann passiert als Du versucht hast an einem Empfänger zu versenden der kein TLS akzeptiert?

Und bist Du Dir sicher das dem Datenschutzbauftragtem eine Transportwegeverschlüsselung reicht?
sabines
sabines 09.04.2019 aktualisiert um 13:29:06 Uhr
Goto Top
Wichtig wäre auch noch darauf zu achten TLS 1.2 einzusetzen, darunter gilt als unsicher.
Kann das auf dem Exchange überhaupt eingestellt werden?

Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
j1m3e84
j1m3e84 09.04.2019 um 13:48:51 Uhr
Goto Top
Hallo,

danke für all eure schnellen Antworten.

@Sabine / certifiedit.net:
Ich habe mich mit der "E-mailverschlüsselung" falsch ausgedrückt, Sorry.
Dies wäre natürlich viel zu umständlich. Es handelt sich um eine "Transport verschlüsselung".
wir haben ein Mailgateway, allerdings ist das glaube ich nur für eingehende e-mails. Dort läuft nämlich ein Spamfilter.

@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.

Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...

Gibts da eine Möglichkeit?
St-Andreas
St-Andreas 09.04.2019 um 14:07:11 Uhr
Goto Top
Versendet Ihr in Emails personenbezogene Daten?
Dann wird eigentlich eine Transportverschlüsselung nicht reichen. Ein "viel zu umständlich" rettet Euren Datenschutzbeauftragten dann auch nicht.

Wie habt ihr denn den Sendeconnector konfiguriert und vor allem was sagen die Queues?
certifiedit.net
certifiedit.net 09.04.2019 um 14:07:51 Uhr
Goto Top
wir haben ein Mailgateway, allerdings ist das glaube ich nur für eingehende e-mails. Dort läuft nämlich ein Spamfilter.

was für eines?
139374
139374 09.04.2019 aktualisiert um 14:24:03 Uhr
Goto Top
Zitat von @j1m3e84:

Hallo,


@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.
Dann sind die DSNs / NDRs bei euch deaktiviert denn per default wirst du benachrichtigt wenn deine Mail verzögert oder nicht zugestellt werden kann!
Hier lesen:
https://docs.microsoft.com/de-de/exchange/mail-flow/non-delivery-reports ...
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...

Gibts da eine Möglichkeit?
Gibt es nennt sich DSN / NDR und Default beim Exchange, konfiguriere es richtig dann geht das auch.

Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.
Kraemer
Kraemer 09.04.2019 um 16:02:30 Uhr
Goto Top
Zitat von @j1m3e84:
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...
so gehts nicht - du kannst aber erzwingen, dass der Exchange nur Verbindungen zu Servern aufbaut, die TLS (1.2) unterstützen.
Dani
Dani 09.04.2019 aktualisiert um 22:56:14 Uhr
Goto Top
@sabines
Kann das auf dem Exchange überhaupt eingestellt werden?
Ja, kann man. TLS ist nicht im Exchange Server implementierr sondern in Bertriebssystem (SCHANNEL bzw. WinHTTP).

Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
Das ist nur ein Teil des Kuchens...

Grundsätzlich ist TLS 1.2 nur in Verbindung mit gewissen Chihper Suites sicher. Wobei die Auswahl unter Windows Server (je nach Edition) grenzwürdig ist. Aktuell bekommt man mit Windows Server 2012R2 noch ein A+ mit 100 Punkten hin.

Nun hast du noch 3rd Party Tools, welche mit deinem Mailserver kommunzieren. Das fängt schon mit Windows 7 / Outlook 2010 Clients los, geht weiter mit Microsoft AD FS, Linux Sendmail, ältere Smartphones welche TLS 1.2 nicht kennen bis hinSpam Proxy/Gateways, etc...

Es ist auch darauf zu achten, dass nach einem Software Update der jeweiligen Komponete die Cipher Suites auf einmal verschwunden waren oder TLS 1.0/1.1 wieder aktivert waren.

@j1m3e84
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen
Ich warn dich schon einmal vor. Du wirst stauen, wie viele Mailserver kein TLS oder noch TLS 1.0 bzw. TLS 1.1 verstehen. Ich würde sagen eure Mitarbeiter werden der Geschäftsführung die Hölle heiß machen, wenn jede dritte Mail zurückkommt.

Wir werten regelmäßig die genutzen Protokolle und Cipher Suites aus. In den letzen 4 Wochen haben wir mit
ca. 400 Mailserver kommunziert, welche TLS nicht unterstützen.
ca. 3500 Mailserver kommunziert, welche TLS 1.0 unterstützen.
ca. 1900 Mailserver kommunziert, welche TLS 1.1 unterstützen.
ca. 10200 Mailserver kommunziert, welche TLS 1.2 unterstützen.


Gruß,
Dani
sabines
sabines 10.04.2019 um 10:00:37 Uhr
Goto Top
Zitat von @139374:

Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.

Moin, bist Du Dir mit dieser Aussage sicher?
Ich kenne das so, dass Sender und Empfänger vorab die TLS Protokoll Version und die Ciphersuite verhandeln und dann ggfs. durchgängig verschlüsselt transportieren. Was genau meinst Du mit Zwischenstation, ein weiteres Mailgateway o.ä.?
certifiedit.net
certifiedit.net 10.04.2019 um 10:04:11 Uhr
Goto Top
Moin sabines,

ich denke er bezieht sich auf Setups wie Sender - tls - EmpfängerMX1 - pop EmpfängerClient

VG
139374
139374 10.04.2019 aktualisiert um 10:29:03 Uhr
Goto Top
Zitat von @sabines:
Moin, bist Du Dir mit dieser Aussage sicher?
Ja.
Ich kenne das so, dass Sender und Empfänger vorab die TLS Protokoll Version und die Ciphersuite verhandeln und dann ggfs. durchgängig verschlüsselt transportieren. Was genau meinst Du mit Zwischenstation, ein weiteres Mailgateway o.ä.?
Jepp, der MX als Nexthop kann unter Umständen nur eine Zwischenstation auf dem Weg zum Empfänger sein, auf das was dahinter kommt(weiteres Mailgateway/Proxy/POP/IMAP) hast du somit keinen Einfluss.
Deswegen nutzt die Transportverschlüsselung nur etwas wenn der Weg bekannt und abgesprochen ist das alle folgenden Prozesse ebenfalls über TLS/SSL ablaufen. Aber selbst dann liegen die Nachrichten auf den Gateways im Klartext.
Richtige End-To-End Verschlüsselung ist also was ganz anderes.