TLS bei Email
Hi all,
kann mir jemand sagen wo ich mir die Abläufe zum Mailversand anschauen kann bzw. wie die Abfolge ist.
Im speziellen würde ich gerne wissen was z.B. passiert wie die einzelnen Einstellungen zueinander stehen:
Also z.B.
Versender schickt nur TLS 1.3 aber Empfang nur bis TLS 1.2 (preferred) = Mail kommt an aber unverschlüsselt oder mail kommt nich an?
Oder was passiert wenn der SSL Cipher nicht ausgehandelt werden kann ? usw.
Dazu kommt ja auch das renegotiation ..Heißt das dann wenn 1.3 nicht angeboten wird (siehe oben... und der Versender TLS 1.2 anbietet. ..dann wird das ausgehandelt? Auch hier dann wieder was wenn Problem.. nicht geschickt oder unverschlüsselt?
Kurzum dann noch.. warum kann der unverschlüsselte Traffic incoming z.B. fast 15 % Anteil haben? Geht darum was genau best practices ist bei den Einstellungen ohne mails zu blocken ?
Danke
Greets
Cyb
kann mir jemand sagen wo ich mir die Abläufe zum Mailversand anschauen kann bzw. wie die Abfolge ist.
Im speziellen würde ich gerne wissen was z.B. passiert wie die einzelnen Einstellungen zueinander stehen:
Also z.B.
Versender schickt nur TLS 1.3 aber Empfang nur bis TLS 1.2 (preferred) = Mail kommt an aber unverschlüsselt oder mail kommt nich an?
Oder was passiert wenn der SSL Cipher nicht ausgehandelt werden kann ? usw.
Dazu kommt ja auch das renegotiation ..Heißt das dann wenn 1.3 nicht angeboten wird (siehe oben... und der Versender TLS 1.2 anbietet. ..dann wird das ausgehandelt? Auch hier dann wieder was wenn Problem.. nicht geschickt oder unverschlüsselt?
Kurzum dann noch.. warum kann der unverschlüsselte Traffic incoming z.B. fast 15 % Anteil haben? Geht darum was genau best practices ist bei den Einstellungen ohne mails zu blocken ?
Danke
Greets
Cyb
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4707423428
Url: https://administrator.de/forum/tls-bei-email-4707423428.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
12 Kommentare
Neuester Kommentar
Moin,
einen "festgelegten Ablauf" gibt's nicht. Das kommt immer auf die Konfiguration der beiden Kommunikationspartner an.
Grundsätzlich gilt:
- Haben Sender+Empfänger eine Schnittmenge an unterstützen Cypher? Ja- -> Verschlüsseln
- Wenn nicht, ist unverschlüsselte Übertragung erlaubt? Ja -> Unverschlüsselt, Nein -> Abbruch mit 5xx
lg,
Slainte
einen "festgelegten Ablauf" gibt's nicht. Das kommt immer auf die Konfiguration der beiden Kommunikationspartner an.
Grundsätzlich gilt:
- Haben Sender+Empfänger eine Schnittmenge an unterstützen Cypher? Ja- -> Verschlüsseln
- Wenn nicht, ist unverschlüsselte Übertragung erlaubt? Ja -> Unverschlüsselt, Nein -> Abbruch mit 5xx
lg,
Slainte
Versender schickt nur TLS 1.3 aber Empfang nur bis TLS 1.2 (preferred) = Mail kommt an aber unverschlüsselt oder mail kommt nich an?
Ganz einfach, das kommt darauf an, ob die beteiligten MTAs unverschlüsseltes SMTP überhaupt zulassen.
Oder was passiert wenn der SSL Cipher nicht ausgehandelt werden kann ? usw.
Fallback auf unverschlüsselt, sofern erlaubt.
Dazu kommt ja auch das renegotiation ..Heißt das dann wenn 1.3 nicht angeboten wird (siehe oben... und der Versender TLS 1.2 anbietet. ..dann wird das ausgehandelt? Auch hier dann wieder was wenn Problem.. nicht geschickt oder unverschlüsselt?
s.o.
Kurzum dann noch.. warum kann der unverschlüsselte Traffic incoming z.B. fast 15 % Anteil haben? Geht darum was genau best practices ist bei den Einstellungen ohne mails zu blocken ?
Ganz einfach: Weil es imemrnoch Mailserver gibt, die umnverschlüsselte Mails verschicken oder annehmen.
Es gilt immer abzuwägen, ob das das Zustellen der Mail wichtiger ist oder verschlüsselte Transport. Dementsprechend macht man entweder einen Fallback auf unverschlüsseltes SMTp oder halt nicht.
Wenn einem aber die vertraulichkeit oder Authentizität wichtig ist, nimmt man eine Ende-zu-Ende Verschlüsselung und vertraut nicht auf die Transportverschlüsselung, denn die wirkt nur auf dem Transport. Wenn die Mails auf den MTA "herumliegen", sind sie nämlich sonst unverschlüsselt.
lks
Zitat von @SlainteMhath:
unverschlüsselte Traffic incoming z.B. fast 15 % Anteil haben?
Verschlüsselung == Mehr Rechenzeit == Mehr KostenUnd es gibt noch legacy-Systeme im Internet aus den Urzeiten, die gar kein SSL/TLS können.
lks
Zitat von @Cyberurmel:
Sollte man stur auf TLS ohne Rückfall setzen auf Grund der Sicherheit ( MTAs zwischendrin ja trotzdem offen?) Leitung IT geht in diese Richtung.
Es geht um eingehende Mails ... welche ja dann nicht mehr zugestellt werden könnten.. "nur" auf Grund von was ? Erhöhter Spam Schutz ? Mehr Sicherheit vor was ?
Sollte man stur auf TLS ohne Rückfall setzen auf Grund der Sicherheit ( MTAs zwischendrin ja trotzdem offen?) Leitung IT geht in diese Richtung.
Es geht um eingehende Mails ... welche ja dann nicht mehr zugestellt werden könnten.. "nur" auf Grund von was ? Erhöhter Spam Schutz ? Mehr Sicherheit vor was ?
SSL/TLS ist kein SPAMschutz. Das muß auf anderem Wege geschehen.
Und was ist wenn wie in unserem Fall das System noch gar kein TLS1.3 unterstützt?
Pech gehabt.
Also das ist so wie wenn Du einen Briefkasten hast, in den nur Briefe eingeworfen werden können, wenn man einen passenden Schlüssel hat. Dann verpaßt Du ggf. amtliche Schriftstücke, die dann nicht in dem Briefkasten landen und durch "öffentlichen Aushang" (siehe z.B. die Baupläne in "Hitchhikers Guide") bekanntgemacht werden.
Ein Briefkasten muß imho immer so gestaltet sein, daß Dir jeder einen Brief einwerfen kann, auch wenn das ärgerlicherweise manchmal Spam ist. Wenn Ihr Kommunikationspartner habt, die euch vertrauliche Sachen schicken sollen, müßt Ihr mirt denen mal ein ernstes Wörtchen über Ende-zu_Ende-verschlüsselung reden.
Beim, Senden könnt ihr selber entscheiden, ob Ihr eine "Postkarte" oder "einen verschlossenen Brief" schicken wollt und müßt ggf. mit den KOmmunikationspartnern reden, die verschlossene Briefe nicht annehmen (können).
lks
Zitat von @Cyberurmel:
Spamschutz dachte ich in dem Sinne, dass eventuell aus ungesicherteren Quellen dies öfter womöglich versendet wird. Oder ist auch das Irrglaube?
Spamschutz dachte ich in dem Sinne, dass eventuell aus ungesicherteren Quellen dies öfter womöglich versendet wird. Oder ist auch das Irrglaube?
Moin,
TLS hat überhaupt nichts mit SPAMschutz zu tun, solange Du das nicht Clientzertifikat als Grundlage nimmst, nur eine begrenzte Menge an Mail-Einsendern als legitimer "Briefeinwerfer" zu brandmarken. Um es mit einem Bild zu verdeutlichen:
Wenn Du auf ein Gelädner nur Leute mit einem Ausweis reinläßt, aber es letztendlich egal ist, wer (genauer welches land und welche Behörde) den Ausweis ausgestellt hat, kannst Du auch gleich darauf verzichten solche Kontrollen zu machen. TLS ist nur eine Transportsicherung, kein SPAM-Schutz (zumindest bei einem allgemein zugänglichen MTA).
Im Grunde geht es darum, dass die Leitung IT meint damit wäre man sicherer unterwegs rein TLS zu nutzen.
Sicherer als was? Was ist deren Bedrohungsszenario? Solange man nur "sicherer" sagt, ohne das Bedrohungszenario zu nennen und relativ zu was sich dieses "sicherer" bezieht ist das nur Schaumschlägerei.
Das ist genauso wei wenn ich sage "Bargeld ist sicherer", ohne genau auszuführen sicherer als was es ist und gegen welches Bedrohungsszenario es besser schützt.
Nochmal zur Nachfrage ob ich das richtig verinnerlicht habe--
wenn Sender A zu Empfänger B etwas sendet was über MTA 1 - 4 ginge .
Sender A sendet TLS 1.3 über MTA1 ohne Rückfall... MTA 2 kann auch TLS1.3 und nimmt an.
MTA2 sendet TLS 1.3 mit Rückfall unverschlüsselt. MTA 2 hat kein 1.3 und nimmt unverschlüsselt an.
Schickt dann mit TLS1.2 an MTA3 der nimmt das an mit TLS 1.2 und schickt mit 1.3 weiter ..letzter nimmt auch 1.3 entgegen.
Wäre dies so möglich?
Natürlich. So ist das auch vorgesehen.
Es geht auch ausschließlich um eingehende mails bei uns .. ich möchte halt die Arbeit vermeiden, wenn es zur Klärung kommen muss warum mails nicht eingehen. Aber wie mache ich das plausibel wenn der Capo meint das TLS irgendwelche Angriffe minimieren würde?
Welche Angriffe soll es denn minimieren? SPAM kann ich Dir auch tonnenweise einliefern, wenn Du ausschließlich TLS1.3 nutzt.
Zum 2. unsere mit Sicherheit zur besseren Klasse der Email Gateways gehörenden Devices hat nicht mal 1.3 im aktuellen Softwarestand.
Wenn dies so eklatant wäre warum dann nicht wäre meine Frage. Standard gibt es ja nicht erst seit heute.
Wenn dies so eklatant wäre warum dann nicht wäre meine Frage. Standard gibt es ja nicht erst seit heute.
TLS bei Email ist nur eine Transportsicherung. Du kannst Deinen MTA so konfigurieren, daß von bestimmten Absendern Mail nur angenommen wird, wenn diese transportsicherungen verwenden, Aber wenn Du keinen Fallback machst, können Dir halt Leute, die keine "aktuellen" Algorithmen verwenden können keien Mail mehr schicken.
Wenn die IT-leitung wirklich einige Kunden und Lieferanten davon abhalten will, euch mit Mails zu belästigen, könntet ihr auf Fallback verzichten.
lks
PS: Ich verkaufe Euch gerne mal einen oder mehrere Manntage Beratung und "Penetration Test", wenn Deine Leute uneinsichtig sind.
Zitat von @Cyberurmel:
Danke.. ich werde es mal ins Gespräch bringen
Aber um erhlich zu sein habe ich den Sinn von TLS dann noch nicht verstanden. Wenn es um Transportverschlüsselung geht und ich die Wege zwischendrin (Beispiel MTA oben) nicht beeinflussen kann bzw. dort unverschlüsselt liegen oder weitergesendet werden kann...ist doch dort auch immer ein Mitlesen oder mitm attack möglich oder??
Danke.. ich werde es mal ins Gespräch bringen
Aber um erhlich zu sein habe ich den Sinn von TLS dann noch nicht verstanden. Wenn es um Transportverschlüsselung geht und ich die Wege zwischendrin (Beispiel MTA oben) nicht beeinflussen kann bzw. dort unverschlüsselt liegen oder weitergesendet werden kann...ist doch dort auch immer ein Mitlesen oder mitm attack möglich oder??
Moin,
Der Sinn von TSL bei SMPT ist, die verbindung zwischen den MTAs vor Außenstehenden zu schüztzen.
Die Annahme ist, daß die MTAs selbst vertrauenswürding sind, was vor allem dann, wenn die direkt unter der Kontrolle des Absenders und des Empfängers sind, einigermaßen zutrifft. Damit auf dem Weg durch die vielen Router-verbindungen vom Start zum Ziele keiner auf der Leitung mithorchen kann, wurde SSL/TLS für SMTPO eingeführt.
Inzwischen ist es aber so, daß viele Mailserver von Hostern betrieben werden und der User nur eingeschränkte Kontrolle über die Hardware und das OS hat,, wenn überhaupt. Wenn man als Prämisse davon ausgeht, daß der Hoster vertrauenswürdig ist, schützt SSL/TLS immer noch den Transportweg und da der Hoster vertrauenswürdign ist, muß die Mail auf dem MTA/MDA nicht verschlüsselt sein.
Ich wiederhole also nochmal: Solange man davon ausgeht, daß die Mailknoten, auf denen die Mail zwischengelagert wird, i.d.R. ist das beim Absender, dem "vertruaenswürdigen Hoster" und dem Empfänger schützt TLS die Mailkommunikation. TLS schützt weder vor SPAM noch vor böswilligen Angriffen!
Ach vielleicht noch ne Frage zum Übertragungsweg... mal angenommen ich schicke von T-online / Gmx oder whatever ne mail zu mir ins Geschäft...kann man da sehen wieviele MTAs da dazwischen sind ähnlich traceroute mit Router?
Due brauchs kein traceroute. das steht alles im mailheader unter in den "Received:"-Zeilen. Dort steht i.d.R. welcher Host zu welchem Zeitpunkt die Mail von welchem Host empfangen hat. Wenn man die in die richtige Reihenfolge bringt hat man i.d.R. eine lückenlose kette vom Absender bis zum MDA des Empfängers. Wenn da zwischendurch eine Lücke ist, hat irgedneiner die Mails manipuliert oder ein Hoster hat die Mail von einem andere System (oder Interface) weitergeschickt als von dem an dem diese eingeliefert wurde.
Bin mir nicht sicher ob der Cheffe meint das dann halt weniger die Möglichkeit besteht was mitzulesen (sicherer gegen Daten auslesen) ...
Das ja, weil die ganzen Systeme die die IP-Pakete weterleiten den Inhalt derTLS-verbindung nicht sehen.
oder ob er meint TLS schützt gegen whatever alles.. (Spam, Viren, Phishing)
Dagegen überhaupt nciht.
Frag ihn doch einfach, wovor er genaus sich schützen will.
ach ja so nach dem Motto.. wer halt nicht mit TLS verschlüsselt ist selbst schuld wenn wir es nicht annehmen. Nur so stimmt das dann ja nicht unbedingt ... sage nur mal Mailinglisten oder?
Er ist selbst schuld, wenn er z.B. im geschäftlichen Verkehr in Verzug kommt. Wie schon oben als hinkenden vergleich geschrieben;: als Das ist so, als ob due Deinen Briefkasten nur für Leute öffneste, die passenden Schlüssel haben und Du dann dem Finanzamt, den Gerichten, Ordnungsämtern usw. eine lange Nase drehst und sagst, Ihr seind selbst schuld, wenn ihr mir keine amtlichen Briefe zustellen könnt udn ich daher weder Steuern noch BUßgelder zahlen muß.
(Berechtigte) Abmahnungen auf diem Wege verhindern zu wollen ist z.B. ein Eigentor.
lks
PS: Auch wenn ich gerne helfe, aber langsam kommt das in einen Bereich, wo es von Zeitaufwand her zuviel wird, alles zu haarklein zu erläutern und zu wiederholen. Wenn Ihr da wirklich interesse habt, können wir gerne eine Termin ausmachen oder Ihr holt bei Euch euren lokalen Dienstleister und last das von dem erklären.