MTA-STS vs TLS Verschlüsselung erzwingen
Moin zusammen,
unsere erfahrenen Mailadmin kennen sicherlich das MTA-STS. Warum den ganzen Aufwand, wenn ich doch am MTA sagen kann, ab sofort bietest du nur noch verschlüsselten SMTP-Eingang an?
Kann jemand diese Frage beantworten?
unsere erfahrenen Mailadmin kennen sicherlich das MTA-STS. Warum den ganzen Aufwand, wenn ich doch am MTA sagen kann, ab sofort bietest du nur noch verschlüsselten SMTP-Eingang an?
Kann jemand diese Frage beantworten?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 470924
Url: https://administrator.de/forum/mta-sts-vs-tls-verschluesselung-erzwingen-470924.html
Ausgedruckt am: 26.12.2024 um 08:12 Uhr
16 Kommentare
Neuester Kommentar
Zitat von @WinLiCLI:
Moin zusammen,
unsere erfahrenen Mailadmin kennen sicherlich das MTA-STS. Warum den ganzen Aufwand, wenn ich doch am MTA sagen kann, ab sofort bietest du nur noch verschlüsselten SMTP-Eingang an?
Kann jemand diese Frage beantworten?
Moin zusammen,
unsere erfahrenen Mailadmin kennen sicherlich das MTA-STS. Warum den ganzen Aufwand, wenn ich doch am MTA sagen kann, ab sofort bietest du nur noch verschlüsselten SMTP-Eingang an?
Kann jemand diese Frage beantworten?
Moin,
1. Es verschlüsseln nicht alle.
2. MITM hebelt die verschlüsselung aus, weil die Zertifikate selten sauber geprüft werden.
3. Sinnvoller ist es, die Mails zu verschlüsseln, statt mur den Transport.
4. MTA-STS wird sich auch nicht durchsetzen.
lks
Was machst du denn wenn ich MEINEN Mailserver sage er darf eben nur plain-text versenden? Klar - in ner perfekten Welt hast du recht... in der REALEN Welt musst du jetzt zu jedem der euch Mails sendet gehen und die überzeugen. Viel Erfolg...
Du hast nebenbei grad mal wieder das Henne-Ei-Problem erkannt: Wenn du das einstellst würdest du ggf. dafür sorgen das andere auch umstellen - aber gleichzeitig würdest du eben auch div. Mails nicht mehr erhalten. Und solang nicht alle umstellen lohnt es für den einzelnen im normalfall einfach nicht. Klar KANN die Mail auf dem Weg mitgelesen werden - nur da ist der Transportweg zwischen den Mailservern m.E. noch das kleinste Übel... Der Weg zwischen Endgerät und Mailserver ist da mEn deutlich relevanter - und DA kannst du natürlich was machen da du diese Geräte unter Kontrolle haben solltest.
Du hast nebenbei grad mal wieder das Henne-Ei-Problem erkannt: Wenn du das einstellst würdest du ggf. dafür sorgen das andere auch umstellen - aber gleichzeitig würdest du eben auch div. Mails nicht mehr erhalten. Und solang nicht alle umstellen lohnt es für den einzelnen im normalfall einfach nicht. Klar KANN die Mail auf dem Weg mitgelesen werden - nur da ist der Transportweg zwischen den Mailservern m.E. noch das kleinste Übel... Der Weg zwischen Endgerät und Mailserver ist da mEn deutlich relevanter - und DA kannst du natürlich was machen da du diese Geräte unter Kontrolle haben solltest.
Zitat von @maretz:
Was machst du denn wenn ich MEINEN Mailserver sage er darf eben nur plain-text versenden? Klar - in ner perfekten Welt hast du recht... in der REALEN Welt musst du jetzt zu jedem der euch Mails sendet gehen und die überzeugen. Viel Erfolg...
Was machst du denn wenn ich MEINEN Mailserver sage er darf eben nur plain-text versenden? Klar - in ner perfekten Welt hast du recht... in der REALEN Welt musst du jetzt zu jedem der euch Mails sendet gehen und die überzeugen. Viel Erfolg...
Der Ansatz von MTA-STS ist gut, aber gerade weil kein Downgrade auf unverschlüsselte Verbinungen möglich sein darf (weil sonst eine MITM Angriff das erzwingen könnte und damit das Ganze Konzept Unsinn ist) geht eben nichts mehr unverschlüsselt.
Bei uns sind das aktuell 20%-30% aller Mails, die unverschlüsselt (Transport) eingekippt werden, teilweise von namhaften Größen, von denen ich das nicht erwartet hätte.
Wenn eine Mail Appliance eingesetzt wird, kann ggfs. die Transportverschlüsselung auf prefered umgestellte werden, schützt aber gerade dadurch nicht gegen MITM. Und wenn Du zusätzlich hierzu noch bspw. TLS 1.2 vorgibst, dann bouncen Mails, die noch 1.0 oder 1.1 einsetzen. Dann muss hierfür eine Ausnahme konfiguriert werden. Und wenn zusätzlich noch CiperSuites beschränkt werden, wird's noch schöner.
Das mit der Realen Welt hast Du schön geschrieben
Zitat von @sabines:
Bei uns sind das aktuell 20%-30% aller Mails, die unverschlüsselt (Transport) eingekippt werden, teilweise von namhaften Größen, von denen ich das nicht erwartet hätte.
Bei uns sind das aktuell 20%-30% aller Mails, die unverschlüsselt (Transport) eingekippt werden, teilweise von namhaften Größen, von denen ich das nicht erwartet hätte.
Die Transportverschlüsselung ist nicht das kritische. Das Problem ist eher die Content-Verschlüsselung, die nicht stattfindet.
Wenn eine Mail Appliance eingesetzt wird, kann ggfs. die Transportverschlüsselung auf prefered umgestellte werden, schützt aber gerade dadurch nicht gegen MITM. Und wenn Du zusätzlich hierzu noch bspw. TLS 1.2 vorgibst, dann bouncen Mails, die noch 1.0 oder 1.1 einsetzen. Dann muss hierfür eine Ausnahme konfiguriert werden. Und wenn zusätzlich noch CiperSuites beschränkt werden, wird's noch schöner.
Das mit der Realen Welt hast Du schön geschrieben
Das mit der Realen Welt hast Du schön geschrieben
Naja, Mails muß man genauso sehen wie Papierpost. Da kannst Du auch keinem Vorschreiben, Dir einen verschlossenen Brief mit Siegel zu schicken statt einem normalen Brief (der leicht geöffnet werden kann) oder eine Postkarte. Auch da wird von keinem erwartet, daß er Briefe immer persönlich übergibt und dabei den Ausweis des Empfängers überprüft.
Und bei Mails bei denen einen MITM ein Problem wäre sollte man nicht auf die Transport-Verschlüsselung, sondern auf die Ende-zu-Ende-Verschlüsselung.
lks
lks
Zitat von @WinLiCLI:
Man erreicht mit MTA-STS immerhin, dass eine mögliche Kommunikation mit STARTTLS gekappt wird sondern erzwungen wird.
Server die keine Verschlüsselung anbieten werfen das dann eben im Klartext rein, so schade es auch ist.
Man erreicht mit MTA-STS immerhin, dass eine mögliche Kommunikation mit STARTTLS gekappt wird sondern erzwungen wird.
Server die keine Verschlüsselung anbieten werfen das dann eben im Klartext rein, so schade es auch ist.
Bist Du sicher, dass dann plain gesendet wird?
Mit dem verschlüsseln des Contents bin ich auch voll bei dir. Aber wenn es soviele Admins gibt, die das mit dem verschlüsselten Transport nicht hinbekommen, dann wird alles andere oben drüber vermutlich auch nicht klappen.
Yepp, ich rede hier seit 5 Jahren davon, dass wir das machen müssen.
Oups, das kostet ja auch noch Geld!
Da faxen wir doch lieber
Moin,
ich schlage vor, dass du diesen Artikel /deutsch) nochmal liest, in dich gehst und somit wird deine Frage sich von alleine beantworten.
Gruß,
Dani
ich schlage vor, dass du diesen Artikel /deutsch) nochmal liest, in dich gehst und somit wird deine Frage sich von alleine beantworten.
Gruß,
Dani
Zitat von @WinLiCLI:
Moin,
MSTS erzwingt eine Verschlüsselung zwischen Servern die Verschlüsselung beherrschen.
Moin,
MSTS erzwingt eine Verschlüsselung zwischen Servern die Verschlüsselung beherrschen.
Nein.
MTA-STS sagt dem Absender nur, mit welchen MX er reden muß, um den "richtigen" dranzuhaben. das Erzwingen muß der MX machen, indem er plaintext ablehnt.
Nachtrag: Bei MTA-STS geht es darum, mit dem "richtigen" MX zu reden und nicht irgendeinem MITM-MX.
lks