gelöst MTA-STS vs TLS Verschlüsselung erzwingen

Mitglied: WinLiCLI

WinLiCLI (Level 2) - Jetzt verbinden

08.07.2019 um 22:24 Uhr, 1625 Aufrufe, 16 Kommentare

Moin zusammen,

unsere erfahrenen Mailadmin kennen sicherlich das MTA-STS. Warum den ganzen Aufwand, wenn ich doch am MTA sagen kann, ab sofort bietest du nur noch verschlüsselten SMTP-Eingang an?

Kann jemand diese Frage beantworten?
Mitglied: Spirit-of-Eli
08.07.2019 um 22:37 Uhr
Es verschlüssen längst nicht alle.
Das macht das ganze so kompliziert.
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 08.07.2019 um 22:58 Uhr
Zitat von WinLiCLI:

Moin zusammen,

unsere erfahrenen Mailadmin kennen sicherlich das MTA-STS. Warum den ganzen Aufwand, wenn ich doch am MTA sagen kann, ab sofort bietest du nur noch verschlüsselten SMTP-Eingang an?

Kann jemand diese Frage beantworten?

Moin,

1. Es verschlüsseln nicht alle.
2. MITM hebelt die verschlüsselung aus, weil die Zertifikate selten sauber geprüft werden.
3. Sinnvoller ist es, die Mails zu verschlüsseln, statt mur den Transport.
4. MTA-STS wird sich auch nicht durchsetzen.

lks
Bitte warten ..
Mitglied: maretz
LÖSUNG 09.07.2019 um 08:17 Uhr
Was machst du denn wenn ich MEINEN Mailserver sage er darf eben nur plain-text versenden? Klar - in ner perfekten Welt hast du recht... in der REALEN Welt musst du jetzt zu jedem der euch Mails sendet gehen und die überzeugen. Viel Erfolg...

Du hast nebenbei grad mal wieder das Henne-Ei-Problem erkannt: Wenn du das einstellst würdest du ggf. dafür sorgen das andere auch umstellen - aber gleichzeitig würdest du eben auch div. Mails nicht mehr erhalten. Und solang nicht alle umstellen lohnt es für den einzelnen im normalfall einfach nicht. Klar KANN die Mail auf dem Weg mitgelesen werden - nur da ist der Transportweg zwischen den Mailservern m.E. noch das kleinste Übel... Der Weg zwischen Endgerät und Mailserver ist da mEn deutlich relevanter - und DA kannst du natürlich was machen da du diese Geräte unter Kontrolle haben solltest.
Bitte warten ..
Mitglied: WinLiCLI
10.07.2019 um 10:51 Uhr
dann ist das MTA-STS also nur dafür da, das ein Angreifer nicht die Mail-Kommunikation aus Plaintext downgraden kann.
Ich habe das bei mir einfach mal mit am laufen und schaue mal wie sich das entwickelt.

Danke euch

Lg
Bitte warten ..
Mitglied: sabines
10.07.2019 um 11:42 Uhr
Zitat von maretz:

Was machst du denn wenn ich MEINEN Mailserver sage er darf eben nur plain-text versenden? Klar - in ner perfekten Welt hast du recht... in der REALEN Welt musst du jetzt zu jedem der euch Mails sendet gehen und die überzeugen. Viel Erfolg...


Der Ansatz von MTA-STS ist gut, aber gerade weil kein Downgrade auf unverschlüsselte Verbinungen möglich sein darf (weil sonst eine MITM Angriff das erzwingen könnte und damit das Ganze Konzept Unsinn ist) geht eben nichts mehr unverschlüsselt.

Bei uns sind das aktuell 20%-30% aller Mails, die unverschlüsselt (Transport) eingekippt werden, teilweise von namhaften Größen, von denen ich das nicht erwartet hätte.

Wenn eine Mail Appliance eingesetzt wird, kann ggfs. die Transportverschlüsselung auf prefered umgestellte werden, schützt aber gerade dadurch nicht gegen MITM. Und wenn Du zusätzlich hierzu noch bspw. TLS 1.2 vorgibst, dann bouncen Mails, die noch 1.0 oder 1.1 einsetzen. Dann muss hierfür eine Ausnahme konfiguriert werden. Und wenn zusätzlich noch CiperSuites beschränkt werden, wird's noch schöner.

Das mit der Realen Welt hast Du schön geschrieben
Bitte warten ..
Mitglied: Lochkartenstanzer
10.07.2019 um 12:04 Uhr
Zitat von sabines:

Bei uns sind das aktuell 20%-30% aller Mails, die unverschlüsselt (Transport) eingekippt werden, teilweise von namhaften Größen, von denen ich das nicht erwartet hätte.

Die Transportverschlüsselung ist nicht das kritische. Das Problem ist eher die Content-Verschlüsselung, die nicht stattfindet.

Wenn eine Mail Appliance eingesetzt wird, kann ggfs. die Transportverschlüsselung auf prefered umgestellte werden, schützt aber gerade dadurch nicht gegen MITM. Und wenn Du zusätzlich hierzu noch bspw. TLS 1.2 vorgibst, dann bouncen Mails, die noch 1.0 oder 1.1 einsetzen. Dann muss hierfür eine Ausnahme konfiguriert werden. Und wenn zusätzlich noch CiperSuites beschränkt werden, wird's noch schöner.

Das mit der Realen Welt hast Du schön geschrieben

Naja, Mails muß man genauso sehen wie Papierpost. Da kannst Du auch keinem Vorschreiben, Dir einen verschlossenen Brief mit Siegel zu schicken statt einem normalen Brief (der leicht geöffnet werden kann) oder eine Postkarte. Auch da wird von keinem erwartet, daß er Briefe immer persönlich übergibt und dabei den Ausweis des Empfängers überprüft.

Und bei Mails bei denen einen MITM ein Problem wäre sollte man nicht auf die Transport-Verschlüsselung, sondern auf die Ende-zu-Ende-Verschlüsselung.

lks

lks
Bitte warten ..
Mitglied: WinLiCLI
10.07.2019 um 15:15 Uhr
Man erreicht mit MTA-STS immerhin, dass eine mögliche Kommunikation mit STARTTLS gekappt wird sondern erzwungen wird.
Server die keine Verschlüsselung anbieten werfen das dann eben im Klartext rein, so schade es auch ist.

Mit dem verschlüsseln des Contents bin ich auch voll bei dir. Aber wenn es soviele Admins gibt, die das mit dem verschlüsselten Transport nicht hinbekommen, dann wird alles andere oben drüber vermutlich auch nicht klappen.
Bitte warten ..
Mitglied: sabines
11.07.2019 um 08:41 Uhr
Zitat von WinLiCLI:

Man erreicht mit MTA-STS immerhin, dass eine mögliche Kommunikation mit STARTTLS gekappt wird sondern erzwungen wird.
Server die keine Verschlüsselung anbieten werfen das dann eben im Klartext rein, so schade es auch ist.

Bist Du sicher, dass dann plain gesendet wird?

Mit dem verschlüsseln des Contents bin ich auch voll bei dir. Aber wenn es soviele Admins gibt, die das mit dem verschlüsselten Transport nicht hinbekommen, dann wird alles andere oben drüber vermutlich auch nicht klappen.

Yepp, ich rede hier seit 5 Jahren davon, dass wir das machen müssen.
Oups, das kostet ja auch noch Geld!
Da faxen wir doch lieber
Bitte warten ..
Mitglied: WinLiCLI
11.07.2019, aktualisiert um 09:33 Uhr
Naja, MTA-STS verhindert ja nur, dass eine Server der verschlüsselt senden kann, doch als Plantext sendet, weil ein MITM in die Aushandlung der Kommunikationsart rum pfuscht und die Server die ja verschlüsselt senden könnten, doch dann nur Plaintext verwenden.
Wenn ein Server was einliefern möchte der keine Verschlüsselung spricht, dann checkt er ja auch nicht das MTA-STS.

Sollte es doch so sein, dass man durch das MTA-STS die Verschlüsselung für "jeden" Server erzwingt, dann weis ich nicht warum man MTA-STS betreiben sollte, wenn man einfach am MTA sagen kann, das smtpd nur verschlüsselt laufen soll. Dann kann man sich den Aufwand mit einem HTTP-Server sparen.
Bitte warten ..
Mitglied: Dani
12.07.2019 um 12:17 Uhr
Moin,
ich schlage vor, dass du diesen Artikel /deutsch) nochmal liest, in dich gehst und somit wird deine Frage sich von alleine beantworten.


Gruß,
Dani
Bitte warten ..
Mitglied: WinLiCLI
12.07.2019 um 13:10 Uhr
Den Bericht kennt man schon.
Der beantwortet aber nicht die Frage ob es zwingen erforderlich ist, dass der smtpd-server ein gültiges Zertifikat haben muss oder ob es auch ein selbst signiertes sein kann.

lg
Bitte warten ..
Mitglied: Dani
12.07.2019 um 13:14 Uhr
Moin,
Der beantwortet aber nicht die Frage ob es zwingen erforderlich ist, dass der smtpd-server ein gültiges Zertifikat haben muss oder ob es auch ein selbst signiertes sein kann.
Was prüft deinem Verständnis nach MTA STS bzw. was soll damit unterbunden werden?


Gruß,
Dani
Bitte warten ..
Mitglied: WinLiCLI
12.07.2019 um 13:26 Uhr
Moin,

MSTS erzwingt eine Verschlüsselung zwischen Servern die Verschlüsselung beherrschen. Somit kann man das STARTTLS nicht so einfach unterdrücken.

Lg
Bitte warten ..
Mitglied: Lochkartenstanzer
12.07.2019, aktualisiert um 13:52 Uhr
Zitat von WinLiCLI:

Moin,

MSTS erzwingt eine Verschlüsselung zwischen Servern die Verschlüsselung beherrschen.

Nein.

MTA-STS sagt dem Absender nur, mit welchen MX er reden muß, um den "richtigen" dranzuhaben. das Erzwingen muß der MX machen, indem er plaintext ablehnt.

Nachtrag: Bei MTA-STS geht es darum, mit dem "richtigen" MX zu reden und nicht irgendeinem MITM-MX.

lks
Bitte warten ..
Mitglied: Dani
12.07.2019 um 13:48 Uhr
Moin,
MSTS erzwingt eine Verschlüsselung zwischen Servern die Verschlüsselung beherrschen. Somit kann man das STARTTLS nicht so einfach unterdrücken.
Das ist falsch. Darum habe ich auch den deutschen Artikel verlinkt und nicht das RFC zu MTA STS.


Gruß,
Dani
Bitte warten ..
Mitglied: WinLiCLI
12.07.2019 um 14:01 Uhr
wie gesagt, ich kenne den bericht schon und einige andere. das ist auch richtig das MTA-STS nicht selbst die verschlüsselung erzwingt, dass habe ich falsch beschrieben. aber MTA-STS sagt zum einen wie eben gesagt wurde, mit welchem MTA geredet werden darf und in welchem mode. wenn enforce aktiv ist, dann weis der sendende MTA, dass hier verschlüsselung verwendet werden muss. dabei wird nicht plaintext abgelehnt sondern auf verschlüsselung bestanden.

lg
Bitte warten ..
Heiß diskutierte Inhalte
TK-Netze & Geräte
Störung Fax2Mail bei NFON am 24.10.20? Kein Mailversand von NFON möglich?
gelöst StefanKittelFrageTK-Netze & Geräte26 Kommentare

Hallo, scheinbar gibt es eine Störung bei NFONs Fax2Mail am heutigen Tag 24.10.20. Man kann Faxe an schicken und ...

Router & Routing
VPN Performance durch Mikrotik erhöhen
JseidiFrageRouter & Routing17 Kommentare

Hallo zusammen, ich habe Stand heute zwei Standort die ich per Site-to-Site VPN über zwei Fritzboxen verbinde. Da hier ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu11 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Ähnliche Inhalte
Linux

Wird MTA-STS automatisch geprüft vom MTA?

gelöst WinLiCLIFrageLinux2 Kommentare

Hallo zusammen, prüft ein MTA automatisch diesen record auf der zieldomain ab oder muss man ihm dies erst auf ...

Schulung & Training

Schlungsunterlagen MTA

KingLouieFrageSchulung & Training

Hallo zusammen, ich fange gerade damit an mich im Windows Umfeld weiter zu qualifizieren und starte deshalb erst einmal ...

Netzwerke

OpenVPN TLS

121851FrageNetzwerke4 Kommentare

Hallo zusammen, habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen ...

Linux

Postfix TLS einrichten

EmheonivekFrageLinux1 Kommentar

Ich bin neu im Thema SSL-Zertifikate und versuche die Situation zu erläutern. Ich habe vor einiger Zeit ein Wildcard ...

E-Mail

Werden spf automatisch vom MTA überprüft?

gelöst WinLiCLIFrageE-Mail14 Kommentare

Mir ist nun oft aufgefallen, dass ich trotz korrektem spf (-all) immer noch Mails im Namen von meiner Domain ...

Windows Server

Aktivierung TLS - GPO - Webseite greift nicht auf TLS zurück

Martin89FrageWindows Server1 Kommentar

Hallo, ich bin etwas ratlos. Folgendes Problem: Unsere Finanzbuchhaltung greift per IE auf die Seite von ElsterOnline zu. Insofern ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT