E-mail Verschlüsselung
Hallo Forum User,
ich bin neu hier im Forum und möchte mich hiermit erstmal an der Teilnahme am Forum bedanken!
Natürlich habe ich auch eine Frage die ich gerne an die Erfahrenen richten möchte, die "Fragen durchsuchen" funktion hat mir leider nicht weiterhelfen können und eine andere Suchfunktion konnte ich nicht finden. Klärt mich bitte auf, falls es diese Funktion gibt, DANKE!
Nun zu meinem Problem:
Unser Datenschutzbeauftragter hat sich mit E-mail verschlüsselung auseinander gesetzt und löchert uns permanent mit was passiert - wenn - fragen.
Unser Exchange Server haven wir entsprechend konfiguriert, dass TLS durchgesetzt wird.
Da unser Datenschutzbeauftragter nie eine Info erhält, dass eine E-mail nicht beim Empfänger ankommen kann, da dieser kein TLS verwendet, möchte er nun dass wir den Exchange so konfigurieren, dass der Sender eine benachrichtigung erhält, wenn der Empfänger die E-mail nicht erhalten kann.
Natürlich habe ich mich dann hingesetzt und alles ausprobiert um mal herauszufinden, was überhaupt passiert wenn man an einen NICHT-TLS-Empfänger versendet...
Entweder stehe ich gewaltig auf dem Schlauch, weil mittlerweile alle TLS verwenden oder wir haben an unserem Exchange etwas falsch eingestellt... denn es passiert nichts...
Kennt jemand von euch eine Lösung?
Würde mich über eure Unterstützung freuen!
MFG
ich bin neu hier im Forum und möchte mich hiermit erstmal an der Teilnahme am Forum bedanken!
Natürlich habe ich auch eine Frage die ich gerne an die Erfahrenen richten möchte, die "Fragen durchsuchen" funktion hat mir leider nicht weiterhelfen können und eine andere Suchfunktion konnte ich nicht finden. Klärt mich bitte auf, falls es diese Funktion gibt, DANKE!
Nun zu meinem Problem:
Unser Datenschutzbeauftragter hat sich mit E-mail verschlüsselung auseinander gesetzt und löchert uns permanent mit was passiert - wenn - fragen.
Unser Exchange Server haven wir entsprechend konfiguriert, dass TLS durchgesetzt wird.
Da unser Datenschutzbeauftragter nie eine Info erhält, dass eine E-mail nicht beim Empfänger ankommen kann, da dieser kein TLS verwendet, möchte er nun dass wir den Exchange so konfigurieren, dass der Sender eine benachrichtigung erhält, wenn der Empfänger die E-mail nicht erhalten kann.
Natürlich habe ich mich dann hingesetzt und alles ausprobiert um mal herauszufinden, was überhaupt passiert wenn man an einen NICHT-TLS-Empfänger versendet...
Entweder stehe ich gewaltig auf dem Schlauch, weil mittlerweile alle TLS verwenden oder wir haben an unserem Exchange etwas falsch eingestellt... denn es passiert nichts...
Kennt jemand von euch eine Lösung?
Würde mich über eure Unterstützung freuen!
MFG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 438433
Url: https://administrator.de/forum/e-mail-verschluesselung-438433.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
TLS zwangsweise (erforderlich?) oder nur angeboten?
Ferner, wie @sabines bereits angemerkt hat, TLS ist keine Emailverschlüsselung, nur der Transport von Euch zu HostA auf Kundenseite ist verschlüsselt - was danach kommt ist offen.
VG
TLS zwangsweise (erforderlich?) oder nur angeboten?
Ferner, wie @sabines bereits angemerkt hat, TLS ist keine Emailverschlüsselung, nur der Transport von Euch zu HostA auf Kundenseite ist verschlüsselt - was danach kommt ist offen.
VG
Wichtig wäre auch noch darauf zu achten TLS 1.2 einzusetzen, darunter gilt als unsicher.
Kann das auf dem Exchange überhaupt eingestellt werden?
Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
Kann das auf dem Exchange überhaupt eingestellt werden?
Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
Zitat von @j1m3e84:
Hallo,
@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.
Dann sind die DSNs / NDRs bei euch deaktiviert denn per default wirst du benachrichtigt wenn deine Mail verzögert oder nicht zugestellt werden kann!Hallo,
@St-Andreas:
ich habe versucht eine e-mail verschlüsselt zu OK.de zu schicken, welche allerdings nicht angekommen ist. Es gab keine Rückmeldung, weder im OK.de portal als Empfänger, noch bei mir als Sender.
Hier lesen:
https://docs.microsoft.com/de-de/exchange/mail-flow/non-delivery-reports ...
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...
Gibts da eine Möglichkeit?
Gibt es nennt sich DSN / NDR und Default beim Exchange, konfiguriere es richtig dann geht das auch.Gibts da eine Möglichkeit?
Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.
Zitat von @j1m3e84:
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...
so gehts nicht - du kannst aber erzwingen, dass der Exchange nur Verbindungen zu Servern aufbaut, die TLS (1.2) unterstützen.Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen...
@sabines
Grundsätzlich ist TLS 1.2 nur in Verbindung mit gewissen Chihper Suites sicher. Wobei die Auswahl unter Windows Server (je nach Edition) grenzwürdig ist. Aktuell bekommt man mit Windows Server 2012R2 noch ein A+ mit 100 Punkten hin.
Nun hast du noch 3rd Party Tools, welche mit deinem Mailserver kommunzieren. Das fängt schon mit Windows 7 / Outlook 2010 Clients los, geht weiter mit Microsoft AD FS, Linux Sendmail, ältere Smartphones welche TLS 1.2 nicht kennen bis hinSpam Proxy/Gateways, etc...
Es ist auch darauf zu achten, dass nach einem Software Update der jeweiligen Komponete die Cipher Suites auf einmal verschwunden waren oder TLS 1.0/1.1 wieder aktivert waren.
@j1m3e84
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen
Ich warn dich schon einmal vor. Du wirst stauen, wie viele Mailserver kein TLS oder noch TLS 1.0 bzw. TLS 1.1 verstehen. Ich würde sagen eure Mitarbeiter werden der Geschäftsführung die Hölle heiß machen, wenn jede dritte Mail zurückkommt.
Wir werten regelmäßig die genutzen Protokolle und Cipher Suites aus. In den letzen 4 Wochen haben wir mit
ca. 400 Mailserver kommunziert, welche TLS nicht unterstützen.
ca. 3500 Mailserver kommunziert, welche TLS 1.0 unterstützen.
ca. 1900 Mailserver kommunziert, welche TLS 1.1 unterstützen.
ca. 10200 Mailserver kommunziert, welche TLS 1.2 unterstützen.
Gruß,
Dani
Kann das auf dem Exchange überhaupt eingestellt werden?
Ja, kann man. TLS ist nicht im Exchange Server implementierr sondern in Bertriebssystem (SCHANNEL bzw. WinHTTP).Und gerade hier habe ich die Erfahrung gemacht, dass TLS zwar bei über 90 % unserer Sender und Empfänger angeboten wird, bei einigen aber noch in TLS 1 oder 1.1 und weil wir nur 1.2 (oder plain) empfangen/senden, kommt es da schon mal zu kleineren Diskussionen.
Das ist nur ein Teil des Kuchens...Grundsätzlich ist TLS 1.2 nur in Verbindung mit gewissen Chihper Suites sicher. Wobei die Auswahl unter Windows Server (je nach Edition) grenzwürdig ist. Aktuell bekommt man mit Windows Server 2012R2 noch ein A+ mit 100 Punkten hin.
Nun hast du noch 3rd Party Tools, welche mit deinem Mailserver kommunzieren. Das fängt schon mit Windows 7 / Outlook 2010 Clients los, geht weiter mit Microsoft AD FS, Linux Sendmail, ältere Smartphones welche TLS 1.2 nicht kennen bis hinSpam Proxy/Gateways, etc...
Es ist auch darauf zu achten, dass nach einem Software Update der jeweiligen Komponete die Cipher Suites auf einmal verschwunden waren oder TLS 1.0/1.1 wieder aktivert waren.
@j1m3e84
Wenn man hier im Exchange eine Rückmeldung bekommen könnte, sowas wie: "Empfänger unterstützt keine TLS Verschlüsselung" wäre mein Datenschutz beauftragter sicherlich zufrieden und ich könnte das Thema abschließen
Ich warn dich schon einmal vor. Du wirst stauen, wie viele Mailserver kein TLS oder noch TLS 1.0 bzw. TLS 1.1 verstehen. Ich würde sagen eure Mitarbeiter werden der Geschäftsführung die Hölle heiß machen, wenn jede dritte Mail zurückkommt.
Wir werten regelmäßig die genutzen Protokolle und Cipher Suites aus. In den letzen 4 Wochen haben wir mit
ca. 400 Mailserver kommunziert, welche TLS nicht unterstützen.
ca. 3500 Mailserver kommunziert, welche TLS 1.0 unterstützen.
ca. 1900 Mailserver kommunziert, welche TLS 1.1 unterstützen.
ca. 10200 Mailserver kommunziert, welche TLS 1.2 unterstützen.
Gruß,
Dani
Zitat von @139374:
Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.
Beschäftige dich lieber mal mit Mail-Gateways die die Mails selbst mit SMIME verschlüsseln und nicht nur den Transport, denn beim Transport hast du keine Kontrolle über welche Stationen deine Mails im Endeffekt wandern, und wenn da nur eine Zwischenstation dabei ist die nicht verschlüsselt bringt dir deine Transportverschlüsselung nicht die Bohne.
Moin, bist Du Dir mit dieser Aussage sicher?
Ich kenne das so, dass Sender und Empfänger vorab die TLS Protokoll Version und die Ciphersuite verhandeln und dann ggfs. durchgängig verschlüsselt transportieren. Was genau meinst Du mit Zwischenstation, ein weiteres Mailgateway o.ä.?
Ja.
Deswegen nutzt die Transportverschlüsselung nur etwas wenn der Weg bekannt und abgesprochen ist das alle folgenden Prozesse ebenfalls über TLS/SSL ablaufen. Aber selbst dann liegen die Nachrichten auf den Gateways im Klartext.
Richtige End-To-End Verschlüsselung ist also was ganz anderes.
Ich kenne das so, dass Sender und Empfänger vorab die TLS Protokoll Version und die Ciphersuite verhandeln und dann ggfs. durchgängig verschlüsselt transportieren. Was genau meinst Du mit Zwischenstation, ein weiteres Mailgateway o.ä.?
Jepp, der MX als Nexthop kann unter Umständen nur eine Zwischenstation auf dem Weg zum Empfänger sein, auf das was dahinter kommt(weiteres Mailgateway/Proxy/POP/IMAP) hast du somit keinen Einfluss.Deswegen nutzt die Transportverschlüsselung nur etwas wenn der Weg bekannt und abgesprochen ist das alle folgenden Prozesse ebenfalls über TLS/SSL ablaufen. Aber selbst dann liegen die Nachrichten auf den Gateways im Klartext.
Richtige End-To-End Verschlüsselung ist also was ganz anderes.