9
STARTTLS oder SSL-Ports
Hallo zusammen,
ich versuche, gerade herauszubekommen, was die Best-Practice für einen EMail-Server ist. Folgender Link https://doc.dovecot.org/admin_manual/ssl/ liest sich so, als wäre die aktuelle Empfehlung, primär unverschlüsselte Ports mit anschließendem STARTTLS zu verwenden (und dort Verkehr ohne STARTTLS nicht mehr zuzulassen.). Ich hatte bisher angenommen, das langfristige "Ziel" wären dedizierte TLS/SSL-Ports?
Wie sollte das nun sein? (Wobei bei Internetprotokollen eigentlich nie alles so ist, wie es mal gedacht war....
)
Wie macht Ihr das?
Grüße
lcer
ich versuche, gerade herauszubekommen, was die Best-Practice für einen EMail-Server ist. Folgender Link https://doc.dovecot.org/admin_manual/ssl/ liest sich so, als wäre die aktuelle Empfehlung, primär unverschlüsselte Ports mit anschließendem STARTTLS zu verwenden (und dort Verkehr ohne STARTTLS nicht mehr zuzulassen.). Ich hatte bisher angenommen, das langfristige "Ziel" wären dedizierte TLS/SSL-Ports?
Wie sollte das nun sein? (Wobei bei Internetprotokollen eigentlich nie alles so ist, wie es mal gedacht war....
)Wie macht Ihr das?
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1863011299
Url: https://administrator.de/contentid/1863011299
Printed on: April 23, 2024 at 23:04 o'clock
9 Comments
Latest comment
Hi,
das ist korrekt
"STARTTLS bezeichnet ein Verfahren zum Einleiten der Verschlüsselung einer Netzwerkkommunikation mittels Transport Layer Security (TLS). ... Da das Verfahren keine Vorteile mehr gegenüber TLS bietet, wird generell die Einstellung „SSL/TLS" in E-Mail-Clients empfohlen und somit von STARTTLS abgeraten."
Die Ports gibt es doch auch verschlüsselt ?!
SSL/TLS oder STARTTLS
Wie einfach es ist, unverschlüsselte Verbindungen zu den Mailservern zu belauschen, die Passwörter zu extrahieren und den Account zu kompromittieren, wurde von T. Pritlove auf der re:publica 2007 gezeigt. Die Aktivierung der Transportverschlüsselung ist also ein Muss.
In der Account Konfiguration kann man wählen, ob man "old-style SSL/TLS" oder das neuer "STARTTLS" Protokoll für die Transportverschlüsselung zwischen E-Mail Client und Mailserver verwenden will. Aus Sicherheitsgründen ist SSL/TLS zu bevorzugen.
Wenn man SSL/TLS: verwendet, wird als erstes eine verschlüsselte Verbindung aufgebaut und danach beginnt die protokoll-spezifische Kommunikation.
Es werden keine Daten über eine unverschlüsselte Verbindung gesendet und der Server muss sich zuerst authentifizieren, bevor der Client irgendwelche Daten sendet.
Wenn STARTTLS: genutzt wird, beginnt die Kommunikation unverschlüsselt. Der E-Mail Client wartet ab, ob der Mailserver in seinen Capabilities mit 250-STARTTLS eine Transportverschlüsselung anbietet. Erst äußert der Client den Wunsch, verschlüsselt zu kommunizieren, was der Server nochmals bestätigen muss. Dann erfolgt ein Aufbau der verschlüsselten Verbindung und der Client beginnt nochmal von vorn.
Eine SMTP-Verbindung wird mit STARTTLS wie folgt aufgebaut:
Client: unverschlüsselter Connect
Server: 220 smtp.server.tld Simple Mail Transfer Service Ready
Client: EHLO 192.168.23.44
Server: 250-smtp.server.tld
Server: 250-SIZE 100000000
Server: 250-AUTH LOGIN PLAIN
Server: 250-STARTTLS
Client: STARTTLS
Server: 220 go ahead
SSL/TLS Handshake zwischen Client und Server
Client: EHLO 192.168.23.44
Wie man sieht, können dabei unter Umständen auch private Daten unverschlüsselt gesendet werden. Bei SMTP wird im ersten EHLO Kommando die IP-Adresse oder der Hostname des Rechners aus dem internen Netz unverschlüsselt gesendet. Ein "Lauscher am Draht" kann damit u.U. den Mitarbeiter in einer Firma identifizieren.
Bewusst oder unbewusst könnten Provider als man-in-the-middle die verschlüsselte Übertragung deaktivieren. Es wird einfach die Meldung 250-STARTTLS gefiltert und überschrieben. Scheinbar verfügen alle DSL-Provider über die Möglichkeit, dieses Feature bei Bedarf für einzelne Nutzer zu aktivieren. Einige E-Mail Clients verwenden standardmäßig die Option "STARTTLS wenn möglich". Diese Einstellung ist genau in dem Moment wirkungslos, wenn man es braucht, weil der Traffic beschnüffelt wird.
Das STARTTLS wurde als Erweiterung für bestehende Protokolle entwickelt, um TLS Verschlüsselung für unterschiedliche Domains mit unterschiedlichen Zertifikaten auf einem Server anbieten zu können. Es wurde nicht mit der Zielstellung entwickelt, die Sicherheit von SSL/TLS zu erhöhen. Man sollte sich nicht irritieren lassen und evtl. schlussfolgern, dass "old-style TLS" veraltet sein könnte.
Auch die IETF empfiehlt in RFC 8314 "SSL/TLS" gegenüber "STARTTLS" zu bevorzugen.
Ich hoffe, ich konnte dir damit etwas weiterhelfen
Liebe Grüße
Pascal
das ist korrekt
"STARTTLS bezeichnet ein Verfahren zum Einleiten der Verschlüsselung einer Netzwerkkommunikation mittels Transport Layer Security (TLS). ... Da das Verfahren keine Vorteile mehr gegenüber TLS bietet, wird generell die Einstellung „SSL/TLS" in E-Mail-Clients empfohlen und somit von STARTTLS abgeraten."
Die Ports gibt es doch auch verschlüsselt ?!
SSL/TLS oder STARTTLS
Wie einfach es ist, unverschlüsselte Verbindungen zu den Mailservern zu belauschen, die Passwörter zu extrahieren und den Account zu kompromittieren, wurde von T. Pritlove auf der re:publica 2007 gezeigt. Die Aktivierung der Transportverschlüsselung ist also ein Muss.
In der Account Konfiguration kann man wählen, ob man "old-style SSL/TLS" oder das neuer "STARTTLS" Protokoll für die Transportverschlüsselung zwischen E-Mail Client und Mailserver verwenden will. Aus Sicherheitsgründen ist SSL/TLS zu bevorzugen.
Wenn man SSL/TLS: verwendet, wird als erstes eine verschlüsselte Verbindung aufgebaut und danach beginnt die protokoll-spezifische Kommunikation.
Es werden keine Daten über eine unverschlüsselte Verbindung gesendet und der Server muss sich zuerst authentifizieren, bevor der Client irgendwelche Daten sendet.
Wenn STARTTLS: genutzt wird, beginnt die Kommunikation unverschlüsselt. Der E-Mail Client wartet ab, ob der Mailserver in seinen Capabilities mit 250-STARTTLS eine Transportverschlüsselung anbietet. Erst äußert der Client den Wunsch, verschlüsselt zu kommunizieren, was der Server nochmals bestätigen muss. Dann erfolgt ein Aufbau der verschlüsselten Verbindung und der Client beginnt nochmal von vorn.
Eine SMTP-Verbindung wird mit STARTTLS wie folgt aufgebaut:
Client: unverschlüsselter Connect
Server: 220 smtp.server.tld Simple Mail Transfer Service Ready
Client: EHLO 192.168.23.44
Server: 250-smtp.server.tld
Server: 250-SIZE 100000000
Server: 250-AUTH LOGIN PLAIN
Server: 250-STARTTLS
Client: STARTTLS
Server: 220 go ahead
SSL/TLS Handshake zwischen Client und Server
Client: EHLO 192.168.23.44
Wie man sieht, können dabei unter Umständen auch private Daten unverschlüsselt gesendet werden. Bei SMTP wird im ersten EHLO Kommando die IP-Adresse oder der Hostname des Rechners aus dem internen Netz unverschlüsselt gesendet. Ein "Lauscher am Draht" kann damit u.U. den Mitarbeiter in einer Firma identifizieren.
Bewusst oder unbewusst könnten Provider als man-in-the-middle die verschlüsselte Übertragung deaktivieren. Es wird einfach die Meldung 250-STARTTLS gefiltert und überschrieben. Scheinbar verfügen alle DSL-Provider über die Möglichkeit, dieses Feature bei Bedarf für einzelne Nutzer zu aktivieren. Einige E-Mail Clients verwenden standardmäßig die Option "STARTTLS wenn möglich". Diese Einstellung ist genau in dem Moment wirkungslos, wenn man es braucht, weil der Traffic beschnüffelt wird.
Das STARTTLS wurde als Erweiterung für bestehende Protokolle entwickelt, um TLS Verschlüsselung für unterschiedliche Domains mit unterschiedlichen Zertifikaten auf einem Server anbieten zu können. Es wurde nicht mit der Zielstellung entwickelt, die Sicherheit von SSL/TLS zu erhöhen. Man sollte sich nicht irritieren lassen und evtl. schlussfolgern, dass "old-style TLS" veraltet sein könnte.
Auch die IETF empfiehlt in RFC 8314 "SSL/TLS" gegenüber "STARTTLS" zu bevorzugen.
Ich hoffe, ich konnte dir damit etwas weiterhelfen
Liebe Grüße
Pascal
Hallo,
Grüße
lcer
Edit: Dein Edit ist hilfreich! Danke.
Zitat von @pascal.wlz:
Hi
STARTTLS bezeichnet ein Verfahren zum Einleiten der Verschlüsselung einer Netzwerkkommunikation mittels Transport Layer Security (TLS). ...
ist klar.Hi
STARTTLS bezeichnet ein Verfahren zum Einleiten der Verschlüsselung einer Netzwerkkommunikation mittels Transport Layer Security (TLS). ...
Da das Verfahren keine Vorteile mehr gegenüber TLS bietet, wird generell die Einstellung „SSL/TLS" in E-Mail-Clients empfohlen und somit von STARTTLS abgeraten.
So hätte ich das auch eingeschätzt. Aber wer empfiehlt das jetzt wirklich? Der dovecot Link liest sich anders.,,,Ich hoffe, ich konnte dir damit etwas weiterhelfen
Eigentlich schon.Grüße
lcer
Edit: Dein Edit ist hilfreich! Danke.
Habs nochmal überarbeitet, mit Hilfe des "https://www.privacy-handbuch.de/index.htm"
Hier steht nochmal alles wichtige drin, was du vielleicht noch für Dein vorhaben benötigst.
"https://www.heinlein-support.de/sites/default/files/mailserver-best-practice.pdf"
Hier steht nochmal alles wichtige drin, was du vielleicht noch für Dein vorhaben benötigst.
"https://www.heinlein-support.de/sites/default/files/mailserver-best-practice.pdf"
So langsam komme ich dahinter (Wikipedia Lesen hilft )
https://de.wikipedia.org/wiki/SMTPS
Kein Wunder, dass da Wildwuchs herrscht.
Grüße
lcer
)https://de.wikipedia.org/wiki/SMTPS
- Anfang 1997 den Port 465 für SMTPS
- Portzuweisung Ende 1998 Widerrufen, STARTTLS stattdessen
- 2001 Port 465 für "URL Rendezvous" vergeben
- 2018 Kommando zurück - RFC 8314: Port 465 für SMTPS
Kein Wunder, dass da Wildwuchs herrscht.
Grüße
lcer
1
Moin,
gehts dir bei der Frage um die Kommunikation zwischen deinem und einem anderen E-Mail-Server oder/und um die Kommunikation zwischen deinem e-Mail-Server und einen Clients?!
Gruß,
Dani
gehts dir bei der Frage um die Kommunikation zwischen deinem und einem anderen E-Mail-Server oder/und um die Kommunikation zwischen deinem e-Mail-Server und einen Clients?!
Gruß,
Dani
Hallo
Grüße
lcer
Zitat von @Dani:
Moin,
gehts dir bei der Frage um die Kommunikation zwischen deinem und einem anderen E-Mail-Server oder/und um die Kommunikation zwischen deinem e-Mail-Server und einen Clients?!
Um die Einlieferung von emails durch die emailclients. Die Server-Server Kommunikation ist nicht gemeint. Ich will intern festlegen, welches Verfahren (smtps/imaps oder * mit starttls ) vorrangig verwendet werden soll. Wobei es mehr um Geräte und Dienste, die Mails verschicken geht, als um User.Moin,
gehts dir bei der Frage um die Kommunikation zwischen deinem und einem anderen E-Mail-Server oder/und um die Kommunikation zwischen deinem e-Mail-Server und einen Clients?!
Grüße
lcer
Zitat von @lcer00:
Um die Einlieferung von emails durch die emailclients. Die Server-Server Kommunikation ist nicht gemeint. Ich will intern festlegen, welches Verfahren (smtps/imaps oder * mit starttls ) vorrangig verwendet werden soll. Wobei es mehr um Geräte und Dienste, die Mails verschicken geht, als um User.
Um die Einlieferung von emails durch die emailclients. Die Server-Server Kommunikation ist nicht gemeint. Ich will intern festlegen, welches Verfahren (smtps/imaps oder * mit starttls ) vorrangig verwendet werden soll. Wobei es mehr um Geräte und Dienste, die Mails verschicken geht, als um User.
Moin,
Im wesentlichen gibt es ja nur die drei Standardports smtp (25, RFC5321), submission (587, RFC4409) oder ssmtp/smtps/submissions (465, RFC8314)
Bei port 465 nimm man, wie im RFC dargelegt immer TLS.
Bei smtp, daß eigentlich nur für die Kommunikation der Server untereinander ist, nimmt man üblicherweise STARTTLS, um nicht die Relays auszusperren, die nur Klartext reden oder einen Fallback zu haben, wenn die Server unterschidliche Chriffren haben und sich nciht einigen können. Man sollte i.d.R. smtp/port25 nicht für das einkippen von Mail durch Clients verwenden.
Bleibt also noch Port 587, daß i.d.R. mit STARTTLS konfiguriert wird, damit man auch mit Clients die nicht die richtige Chiffre können mails verschicken kann. In einem Unternehmensumfeld wo der Admin alles Clients unter Kontrolle hat (oder haben sollte), kann man da druchaus auch direkt TLS machen, auch wenn im RFC drinsteht, daß es ein nur ein "Cleitn darf Verschlüsseln" ist und nicht ein "muß".
Also meine Empfehlung:
465 mit TLS und 587 und 25 mit STARTTLS. Auf Port 25 aber keine Clients "dranlassen".
Oder einfach per "ordre die mufti" nur 465 für die Clients zulassen.
lks
Hallo,
momentaner Stand: Ich habe 465/TLS und 5877STARTTLS laufen und schaue nun nach, welche Clients was können (ich befürchte irgendwelche alten Clients können nicht alle Varianten..)
Grüße
lcer
Zitat von @Lochkartenstanzer:
Also meine Empfehlung:
465 mit TLS und 587 und 25 mit STARTTLS. Auf Port 25 aber keine Clients "dranlassen".
Oder einfach per "ordre die mufti" nur 465 für die Clients zulassen.
Genau das war die Frage.Also meine Empfehlung:
465 mit TLS und 587 und 25 mit STARTTLS. Auf Port 25 aber keine Clients "dranlassen".
Oder einfach per "ordre die mufti" nur 465 für die Clients zulassen.
momentaner Stand: Ich habe 465/TLS und 5877STARTTLS laufen und schaue nun nach, welche Clients was können (ich befürchte irgendwelche alten Clients können nicht alle Varianten..)
Grüße
lcer
Moin lcer00,
Gruß,
Dani
Um die Einlieferung von emails durch die emailclients.
wir lassen ausschließlich Port 587/tcp zu.Gruß,
Dani
