cyberurmel
Goto Top

TLS bei Email

Hi all,

kann mir jemand sagen wo ich mir die Abläufe zum Mailversand anschauen kann bzw. wie die Abfolge ist.

Im speziellen würde ich gerne wissen was z.B. passiert wie die einzelnen Einstellungen zueinander stehen:

Also z.B.
Versender schickt nur TLS 1.3 aber Empfang nur bis TLS 1.2 (preferred) = Mail kommt an aber unverschlüsselt oder mail kommt nich an?
Oder was passiert wenn der SSL Cipher nicht ausgehandelt werden kann ? usw.
Dazu kommt ja auch das renegotiation ..Heißt das dann wenn 1.3 nicht angeboten wird (siehe oben... und der Versender TLS 1.2 anbietet. ..dann wird das ausgehandelt? Auch hier dann wieder was wenn Problem.. nicht geschickt oder unverschlüsselt?

Kurzum dann noch.. warum kann der unverschlüsselte Traffic incoming z.B. fast 15 % Anteil haben? Geht darum was genau best practices ist bei den Einstellungen ohne mails zu blocken ?

Danke

Greets
Cyb

Content-ID: 4707423428

Url: https://administrator.de/forum/tls-bei-email-4707423428.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

SlainteMhath
Lösung SlainteMhath 21.11.2022 um 10:32:26 Uhr
Goto Top
Moin,

einen "festgelegten Ablauf" gibt's nicht. Das kommt immer auf die Konfiguration der beiden Kommunikationspartner an.

Grundsätzlich gilt:
- Haben Sender+Empfänger eine Schnittmenge an unterstützen Cypher? Ja- -> Verschlüsseln
- Wenn nicht, ist unverschlüsselte Übertragung erlaubt? Ja -> Unverschlüsselt, Nein -> Abbruch mit 5xx

lg,
Slainte
Lochkartenstanzer
Lösung Lochkartenstanzer 21.11.2022 um 10:33:39 Uhr
Goto Top
Zitat von @Cyberurmel:


Versender schickt nur TLS 1.3 aber Empfang nur bis TLS 1.2 (preferred) = Mail kommt an aber unverschlüsselt oder mail kommt nich an?


Ganz einfach, das kommt darauf an, ob die beteiligten MTAs unverschlüsseltes SMTP überhaupt zulassen.

Oder was passiert wenn der SSL Cipher nicht ausgehandelt werden kann ? usw.

Fallback auf unverschlüsselt, sofern erlaubt.

Dazu kommt ja auch das renegotiation ..Heißt das dann wenn 1.3 nicht angeboten wird (siehe oben... und der Versender TLS 1.2 anbietet. ..dann wird das ausgehandelt? Auch hier dann wieder was wenn Problem.. nicht geschickt oder unverschlüsselt?

s.o.

Kurzum dann noch.. warum kann der unverschlüsselte Traffic incoming z.B. fast 15 % Anteil haben? Geht darum was genau best practices ist bei den Einstellungen ohne mails zu blocken ?

Ganz einfach: Weil es imemrnoch Mailserver gibt, die umnverschlüsselte Mails verschicken oder annehmen.

Es gilt immer abzuwägen, ob das das Zustellen der Mail wichtiger ist oder verschlüsselte Transport. Dementsprechend macht man entweder einen Fallback auf unverschlüsseltes SMTp oder halt nicht.

Wenn einem aber die vertraulichkeit oder Authentizität wichtig ist, nimmt man eine Ende-zu-Ende Verschlüsselung und vertraut nicht auf die Transportverschlüsselung, denn die wirkt nur auf dem Transport. Wenn die Mails auf den MTA "herumliegen", sind sie nämlich sonst unverschlüsselt.

lks
SlainteMhath
SlainteMhath 21.11.2022 um 10:35:13 Uhr
Goto Top
unverschlüsselte Traffic incoming z.B. fast 15 % Anteil haben?
Verschlüsselung == Mehr Rechenzeit == Mehr Kosten
Lochkartenstanzer
Lochkartenstanzer 21.11.2022 um 10:39:14 Uhr
Goto Top
Zitat von @SlainteMhath:

unverschlüsselte Traffic incoming z.B. fast 15 % Anteil haben?
Verschlüsselung == Mehr Rechenzeit == Mehr Kosten

Und es gibt noch legacy-Systeme im Internet aus den Urzeiten, die gar kein SSL/TLS können. face-smile

lks
Cyberurmel
Cyberurmel 21.11.2022 um 11:22:42 Uhr
Goto Top
Danke für die Info.. hatte es mir schon in die Richtung gedacht. Danke für die Erklärung / Hilfe

greets
Cyb
Cyberurmel
Cyberurmel 01.12.2022 um 14:45:07 Uhr
Goto Top
Hallo Lochkartenstanzer,

muss nochmal nachharken und deine Meinung bzw. best practice zu erfragen:

Sollte man stur auf TLS ohne Rückfall setzen auf Grund der Sicherheit ( MTAs zwischendrin ja trotzdem offen?) Leitung IT geht in diese Richtung.

Es geht um eingehende Mails ... welche ja dann nicht mehr zugestellt werden könnten.. "nur" auf Grund von was ? Erhöhter Spam Schutz ? Mehr Sicherheit vor was ?
Und was ist wenn wie in unserem Fall das System noch gar kein TLS1.3 unterstützt?

Danke vorab

Gruß
Cyber
Lochkartenstanzer
Lochkartenstanzer 01.12.2022 aktualisiert um 15:17:04 Uhr
Goto Top
Zitat von @Cyberurmel:

Sollte man stur auf TLS ohne Rückfall setzen auf Grund der Sicherheit ( MTAs zwischendrin ja trotzdem offen?) Leitung IT geht in diese Richtung.

Es geht um eingehende Mails ... welche ja dann nicht mehr zugestellt werden könnten.. "nur" auf Grund von was ? Erhöhter Spam Schutz ? Mehr Sicherheit vor was ?

SSL/TLS ist kein SPAMschutz. Das muß auf anderem Wege geschehen.

Und was ist wenn wie in unserem Fall das System noch gar kein TLS1.3 unterstützt?

Pech gehabt. face-smile

Also das ist so wie wenn Du einen Briefkasten hast, in den nur Briefe eingeworfen werden können, wenn man einen passenden Schlüssel hat. Dann verpaßt Du ggf. amtliche Schriftstücke, die dann nicht in dem Briefkasten landen und durch "öffentlichen Aushang" (siehe z.B. die Baupläne in "Hitchhikers Guide") bekanntgemacht werden.

Ein Briefkasten muß imho immer so gestaltet sein, daß Dir jeder einen Brief einwerfen kann, auch wenn das ärgerlicherweise manchmal Spam ist. Wenn Ihr Kommunikationspartner habt, die euch vertrauliche Sachen schicken sollen, müßt Ihr mirt denen mal ein ernstes Wörtchen über Ende-zu_Ende-verschlüsselung reden.

Beim, Senden könnt ihr selber entscheiden, ob Ihr eine "Postkarte" oder "einen verschlossenen Brief" schicken wollt und müßt ggf. mit den KOmmunikationspartnern reden, die verschlossene Briefe nicht annehmen (können).

lks
Cyberurmel
Cyberurmel 02.12.2022 um 13:04:31 Uhr
Goto Top
Danke erstmal,

Spamschutz dachte ich in dem Sinne, dass eventuell aus ungesicherteren Quellen dies öfter womöglich versendet wird. Oder ist auch das Irrglaube?

Im Grunde geht es darum, dass die Leitung IT meint damit wäre man sicherer unterwegs rein TLS zu nutzen.


Nochmal zur Nachfrage ob ich das richtig verinnerlicht habe--
wenn Sender A zu Empfänger B etwas sendet was über MTA 1 - 4 ginge .
Sender A sendet TLS 1.3 über MTA1 ohne Rückfall... MTA 2 kann auch TLS1.3 und nimmt an.
MTA2 sendet TLS 1.3 mit Rückfall unverschlüsselt. MTA 2 hat kein 1.3 und nimmt unverschlüsselt an.
Schickt dann mit TLS1.2 an MTA3 der nimmt das an mit TLS 1.2 und schickt mit 1.3 weiter ..letzter nimmt auch 1.3 entgegen.

Wäre dies so möglich?

Es geht auch ausschließlich um eingehende mails bei uns .. ich möchte halt die Arbeit vermeiden, wenn es zur Klärung kommen muss warum mails nicht eingehen. Aber wie mache ich das plausibel wenn der Capo meint das TLS irgendwelche Angriffe minimieren würde?

Zum 2. unsere mit Sicherheit zur besseren Klasse der Email Gateways gehörenden Devices hat nicht mal 1.3 im aktuellen Softwarestand.
Wenn dies so eklatant wäre warum dann nicht wäre meine Frage. Standard gibt es ja nicht erst seit heute.

Thx
Cyb
Lochkartenstanzer
Lochkartenstanzer 02.12.2022 aktualisiert um 13:25:31 Uhr
Goto Top
Zitat von @Cyberurmel:

Spamschutz dachte ich in dem Sinne, dass eventuell aus ungesicherteren Quellen dies öfter womöglich versendet wird. Oder ist auch das Irrglaube?

Moin,

TLS hat überhaupt nichts mit SPAMschutz zu tun, solange Du das nicht Clientzertifikat als Grundlage nimmst, nur eine begrenzte Menge an Mail-Einsendern als legitimer "Briefeinwerfer" zu brandmarken. Um es mit einem Bild zu verdeutlichen:

Wenn Du auf ein Gelädner nur Leute mit einem Ausweis reinläßt, aber es letztendlich egal ist, wer (genauer welches land und welche Behörde) den Ausweis ausgestellt hat, kannst Du auch gleich darauf verzichten solche Kontrollen zu machen. TLS ist nur eine Transportsicherung, kein SPAM-Schutz (zumindest bei einem allgemein zugänglichen MTA).


Im Grunde geht es darum, dass die Leitung IT meint damit wäre man sicherer unterwegs rein TLS zu nutzen.


Sicherer als was? Was ist deren Bedrohungsszenario? Solange man nur "sicherer" sagt, ohne das Bedrohungszenario zu nennen und relativ zu was sich dieses "sicherer" bezieht ist das nur Schaumschlägerei.

Das ist genauso wei wenn ich sage "Bargeld ist sicherer", ohne genau auszuführen sicherer als was es ist und gegen welches Bedrohungsszenario es besser schützt.


Nochmal zur Nachfrage ob ich das richtig verinnerlicht habe--
wenn Sender A zu Empfänger B etwas sendet was über MTA 1 - 4 ginge .
Sender A sendet TLS 1.3 über MTA1 ohne Rückfall... MTA 2 kann auch TLS1.3 und nimmt an.
MTA2 sendet TLS 1.3 mit Rückfall unverschlüsselt. MTA 2 hat kein 1.3 und nimmt unverschlüsselt an.
Schickt dann mit TLS1.2 an MTA3 der nimmt das an mit TLS 1.2 und schickt mit 1.3 weiter ..letzter nimmt auch 1.3 entgegen.

Wäre dies so möglich?

Natürlich. So ist das auch vorgesehen.


Es geht auch ausschließlich um eingehende mails bei uns .. ich möchte halt die Arbeit vermeiden, wenn es zur Klärung kommen muss warum mails nicht eingehen. Aber wie mache ich das plausibel wenn der Capo meint das TLS irgendwelche Angriffe minimieren würde?

Welche Angriffe soll es denn minimieren? SPAM kann ich Dir auch tonnenweise einliefern, wenn Du ausschließlich TLS1.3 nutzt.


Zum 2. unsere mit Sicherheit zur besseren Klasse der Email Gateways gehörenden Devices hat nicht mal 1.3 im aktuellen Softwarestand.
Wenn dies so eklatant wäre warum dann nicht wäre meine Frage. Standard gibt es ja nicht erst seit heute.

TLS bei Email ist nur eine Transportsicherung. Du kannst Deinen MTA so konfigurieren, daß von bestimmten Absendern Mail nur angenommen wird, wenn diese transportsicherungen verwenden, Aber wenn Du keinen Fallback machst, können Dir halt Leute, die keine "aktuellen" Algorithmen verwenden können keien Mail mehr schicken.

Wenn die IT-leitung wirklich einige Kunden und Lieferanten davon abhalten will, euch mit Mails zu belästigen, könntet ihr auf Fallback verzichten. face-smile

lks

PS: Ich verkaufe Euch gerne mal einen oder mehrere Manntage Beratung und "Penetration Test", wenn Deine Leute uneinsichtig sind. face-smile
Cyberurmel
Cyberurmel 02.12.2022 aktualisiert um 20:18:45 Uhr
Goto Top
Danke.. ich werde es mal ins Gespräch bringen face-smile

Aber um erhlich zu sein habe ich den Sinn von TLS dann noch nicht verstanden. Wenn es um Transportverschlüsselung geht und ich die Wege zwischendrin (Beispiel MTA oben) nicht beeinflussen kann bzw. dort unverschlüsselt liegen oder weitergesendet werden kann...ist doch dort auch immer ein Mitlesen oder mitm attack möglich oder??

Ach vielleicht noch ne Frage zum Übertragungsweg... mal angenommen ich schicke von T-online / Gmx oder whatever ne mail zu mir ins Geschäft...kann man da sehen wieviele MTAs da dazwischen sind ähnlich traceroute mit Router?

Danke vorab

greets
Cyb

Bin mir nicht sicher ob der Cheffe meint das dann halt weniger die Möglichkeit besteht was mitzulesen (sicherer gegen Daten auslesen) oder ob er meint TLS schützt gegen whatever alles.. (Spam, Viren, Phishing) face-smile

ach ja so nach dem Motto.. wer halt nicht mit TLS verschlüsselt ist selbst schuld wenn wir es nicht annehmen. Nur so stimmt das dann ja nicht unbedingt ... sage nur mal Mailinglisten oder?


greets
Cyb
Lochkartenstanzer
Lochkartenstanzer 04.12.2022 aktualisiert um 22:56:46 Uhr
Goto Top
Zitat von @Cyberurmel:

Danke.. ich werde es mal ins Gespräch bringen face-smile

Aber um erhlich zu sein habe ich den Sinn von TLS dann noch nicht verstanden. Wenn es um Transportverschlüsselung geht und ich die Wege zwischendrin (Beispiel MTA oben) nicht beeinflussen kann bzw. dort unverschlüsselt liegen oder weitergesendet werden kann...ist doch dort auch immer ein Mitlesen oder mitm attack möglich oder??

Moin,

Der Sinn von TSL bei SMPT ist, die verbindung zwischen den MTAs vor Außenstehenden zu schüztzen.

Die Annahme ist, daß die MTAs selbst vertrauenswürding sind, was vor allem dann, wenn die direkt unter der Kontrolle des Absenders und des Empfängers sind, einigermaßen zutrifft. Damit auf dem Weg durch die vielen Router-verbindungen vom Start zum Ziele keiner auf der Leitung mithorchen kann, wurde SSL/TLS für SMTPO eingeführt.

Inzwischen ist es aber so, daß viele Mailserver von Hostern betrieben werden und der User nur eingeschränkte Kontrolle über die Hardware und das OS hat,, wenn überhaupt. Wenn man als Prämisse davon ausgeht, daß der Hoster vertrauenswürdig ist, schützt SSL/TLS immer noch den Transportweg und da der Hoster vertrauenswürdign ist, muß die Mail auf dem MTA/MDA nicht verschlüsselt sein. face-smile

Ich wiederhole also nochmal: Solange man davon ausgeht, daß die Mailknoten, auf denen die Mail zwischengelagert wird, i.d.R. ist das beim Absender, dem "vertruaenswürdigen Hoster" und dem Empfänger schützt TLS die Mailkommunikation. TLS schützt weder vor SPAM noch vor böswilligen Angriffen!


Ach vielleicht noch ne Frage zum Übertragungsweg... mal angenommen ich schicke von T-online / Gmx oder whatever ne mail zu mir ins Geschäft...kann man da sehen wieviele MTAs da dazwischen sind ähnlich traceroute mit Router?

Due brauchs kein traceroute. das steht alles im mailheader unter in den "Received:"-Zeilen. Dort steht i.d.R. welcher Host zu welchem Zeitpunkt die Mail von welchem Host empfangen hat. Wenn man die in die richtige Reihenfolge bringt hat man i.d.R. eine lückenlose kette vom Absender bis zum MDA des Empfängers. Wenn da zwischendurch eine Lücke ist, hat irgedneiner die Mails manipuliert oder ein Hoster hat die Mail von einem andere System (oder Interface) weitergeschickt als von dem an dem diese eingeliefert wurde.

Bin mir nicht sicher ob der Cheffe meint das dann halt weniger die Möglichkeit besteht was mitzulesen (sicherer gegen Daten auslesen) ...

Das ja, weil die ganzen Systeme die die IP-Pakete weterleiten den Inhalt derTLS-verbindung nicht sehen.

oder ob er meint TLS schützt gegen whatever alles.. (Spam, Viren, Phishing) face-smile

Dagegen überhaupt nciht.

Frag ihn doch einfach, wovor er genaus sich schützen will.

ach ja so nach dem Motto.. wer halt nicht mit TLS verschlüsselt ist selbst schuld wenn wir es nicht annehmen. Nur so stimmt das dann ja nicht unbedingt ... sage nur mal Mailinglisten oder?

Er ist selbst schuld, wenn er z.B. im geschäftlichen Verkehr in Verzug kommt. Wie schon oben als hinkenden vergleich geschrieben;: als Das ist so, als ob due Deinen Briefkasten nur für Leute öffneste, die passenden Schlüssel haben und Du dann dem Finanzamt, den Gerichten, Ordnungsämtern usw. eine lange Nase drehst und sagst, Ihr seind selbst schuld, wenn ihr mir keine amtlichen Briefe zustellen könnt udn ich daher weder Steuern noch BUßgelder zahlen muß. face-smile

(Berechtigte) Abmahnungen auf diem Wege verhindern zu wollen ist z.B. ein Eigentor.

lks

PS: Auch wenn ich gerne helfe, aber langsam kommt das in einen Bereich, wo es von Zeitaufwand her zuviel wird, alles zu haarklein zu erläutern und zu wiederholen. Wenn Ihr da wirklich interesse habt, können wir gerne eine Termin ausmachen oder Ihr holt bei Euch euren lokalen Dienstleister und last das von dem erklären.
Cyberurmel
Cyberurmel 06.12.2022 um 09:20:32 Uhr
Goto Top
Hi lks,

vielen Dank. Ja ist verständlich mit deiner Zeit. Ich werde es aber ansprechen wenn es diskutiert wird mit Dienstleistung.

thx vorab

greets
Cyb