cosasbs
Goto Top

Forced TLS von Bank gefordert. Suche Mailprovider, die forced TLS anbieten

Hallo,

eine Bank verlangt von einem Rechtsnawalt, mit dem sie bisher "normal" per Mail kommuniziert hat, dass er zukünftig verbindlich "forced TLS" einsetzt. Der RA ist Kunde bei 1&1. Weder 1&1, noch Strato, Hoste Europe oder domain factory bieten, meiner telefonischen Recherche nach, "forced TLS" an. Am liebsten würden wir ein einzelnes Postfach bei einem Provider mieten, der "forced TLS" garantiert. Einen eigenen Mailserver aufzusetzen und zu warten nur wegen einens einzelnen Postfachs schient mir extrem aufwändig. Das diesbezügliche Know-How ist auch nicht im Hause vorhanden.

Daher die Frage, ob jemand anders auch diese Problematik kennt und wie er sie gelöst hat, bzw. ob jemand einen Provider kennt, der "forced TLS" anbietet.


Gruß,
Florian

Content-Key: 303350

Url: https://administrator.de/contentid/303350

Printed on: July 25, 2024 at 19:07 o'clock

Member: catachan
catachan Apr 30, 2016 at 09:08:47 (UTC)
Goto Top
Hi

Office365 sollte das können !!!

LG
Member: Cornitus
Cornitus Apr 30, 2016 updated at 11:03:01 (UTC)
Goto Top
Hallo,

forced TLS ist keine gesonderte TLS Implementation. Die Bank meint damit nur zwingend TLS. Wenn du bei 1und1 schaust: hier ist dort TLS Port angegeben. Den eMailclient einrichten und gut ist. TLS unterstützt jeder eMailanbieter.


Nachtrag: Vielleicht auch ganz interessant: Verschlüsselung: E-Mail nur noch mit TLS

Viele Grüße!
Member: LordGurke
LordGurke Apr 30, 2016 updated at 11:21:06 (UTC)
Goto Top
AFAIK bezieht sich das "Forced TLS" darauf, dass der MailSERVER des Kunden mit dem Mailserver der Bank immer per TLS kommuniziert und am Besten noch die Zertifikate per DANE überprüft. Wenn keine TLS-Verbindung möglich ist, wird die Mail dann nicht übertragen und geht an den Absender zurück.
Ob der Mailclient das per TLS beim Server des Providers einwirft sagt ja nichts darüber aus, ob es von dort aus mit Transportverschlüsselung weitergeht.

Vom Prinzip her kann man da Anbieter wie Posteo empfehlen, da solltest du einmal nachfragen wie das mit Forced TLS bei denen aussieht.
Eventuell lässt sich durch Ende-zu-Ende-Verschlüsselung die Not von Forced TLS aufweichen. Dann braucht der RA nur ein S/MIME-Zertifikat (bekommt man für ca. 20-30 Euro) und einen Mailclient der das kann - was Outlook und Thunderbird problemlos hinbekommen.
Member: AndiEoh
AndiEoh Apr 30, 2016 at 16:33:07 (UTC)
Goto Top
Hallo,

lass mich raten HSBC Bank (http://www.hsbc.com/internet-banking/online-security/secure-email-and-t .)
Forced TLS bedeutet nur das der Sender Server nicht versuchen soll eine unverschlüsselte Verbindung aufzubauen sondern die E-Mail zurück zu stellen bzw. nach einiger Zeit zu bouncen. Ist weder RFC konform noch wirklich sicher, da der Sender zunächst mal mit jeder Gegenstelle eine verschlüsselte Verbindung aufbaut ohne zu prüfen ob es der richtige Empfangsserver ist. Deshalb erweitern manche Anbieter (z.B. Office 365) das System indem der Sender nur mit Gegenstellen spricht die von einer "bekannten" CA Zertifikate verwenden, mit welchem Server die Verbindung aufgebaut wird erfahren sie aber weiterhin aus Plain-Text DNS UDP Packeten.

Das ganze wäre viel einfacher mit S/MIME oder PGP zu lösen, das wollen aber die Banken nicht, da deren Data Leak Prevention Systeme dadurch blind werden.
Falls man das ganze tatsächlich mit TLS zwischen den Servern lösen will sollte die Bank DANE anbieten, das ist Forced TLS mit Forced Zielsystem.
Ein kleiner Tip : Man sieht der E-Mail in keinster Weise an ob Forced TLS verwendet wurde und auch die Bank kann nicht ohne weiteres festellen ob der Absender einfach TLS verwendet oder Forced TLS.

Gruß

Andi
Member: StefanKittel
StefanKittel Apr 30, 2016 at 17:11:11 (UTC)
Goto Top
Hallo,

Ich würde hier auch eine Ende-zu-Ende-Verschlüsselung empfehlen.
Wenn die Bank das denn kann?

Ich habe noch keine signierte Mail einer Bank jemals bekommen.

Forced-TLS hilft nur wenn vorher das Zertifikat des Mail-Server gepinnt wurde.
Sonst würde jedes gültige Zertifikat akzeptiert werden.

Stefan
Member: cosasbs
cosasbs May 01, 2016 at 09:39:56 (UTC)
Goto Top
Hallo,
so viel wie ich von Office365 weiß, ist da ein Exchange-Zugang dabei. Jetzt müsste aber noch der Exchange Betreiber seine Server so einstellen, dass ggf. nur Mails, die von meinem Mailkonto versendet werden nur dann versendet werden, wenn der empfangende Mailserver TLS fordert. Ich werde anfragen, ob Office365 solche einstellungen vornimmt ode evtl. schon als Grundeinstellung hat.

Gruß,
Florian
Member: cosasbs
cosasbs May 01, 2016 at 09:49:06 (UTC)
Goto Top
Hallo,

dass ich von meinem Outlook zu 1&1 mit TLS versende ist schon eingestellt. 1&1 teilte mir auf Anfrage aber mit, dass 1&1 seine SMTP Server nicht so einstellen will, dass Mails nur an Server versendet werden, die TLS fordern/bieten. So habe ich die Antwort von 1&1 zumindest verstanden.
Von mir zu 1&1: TLS möglich
Von 1&1 Server zu Server von empfangendem Provider: TLS ja, aber wenn empfangender Server kein TLS bietet wird trotzdem versandt. Eben kein forced TLS bei 1&1.

Scheint mir nachvollziehbar, weil sonst andere 1&1 Kunden, die mit Mailempfängern kommunizieren, deren Provider serverseitig nicht auf TLS eingestellt sind, ihre Mails nicht mehr versendet bekommen würden.

Gruß,
Florian
Member: cosasbs
cosasbs May 01, 2016 at 09:51:25 (UTC)
Goto Top
Hallo,

Danke, werde bei Posteo.de anfragen. Auf der Webseite von posteo.de steht allerdings, dass TLS serverseitig nur verwendet wird, wenn möglich. Akkurat als nicht "forced TLS".

Gruß,
Florian
Member: cosasbs
cosasbs May 01, 2016 at 09:54:14 (UTC)
Goto Top
Hallo Andi,

richtig geraten, eine HSCB Bank. Der Support der Bank wußte leider auch keinen Anbieter. Da du auch Office365 erwähnst, werde ich das montags gleich prüfen.

Gruß,
Florian
Member: Th0mKa
Th0mKa May 01, 2016 at 11:19:32 (UTC)
Goto Top
Zitat von @cosasbs:

Hallo Andi,

richtig geraten, eine HSCB Bank. Der Support der Bank wußte leider auch keinen Anbieter. Da du auch Office365 erwähnst, werde ich das montags gleich prüfen.

Gruß,
Florian

Moin,

wie man bei O365 Forced TLS fuer einen Empfaenger konfigurierst findest du hier. Wenn du nur ein Postfach brauchst heisst das Produkt 'Exchange Online'.

VG,

Thomas