Was passiert wenn TLS nicht funktioniert?
Hallo zusammen,
ich nutze Android 5.0 und das vorinstallierte Mailprogramm.
Die Ausgangsmailserver habe ich z.B. die von GMX und googlemail auf TLS und Port 587 gelegt, wie von GMX beschrieben.
TLS müsste ja in diesem Zusammenhang STARTTLS sein, ist meines wissens bei vielen Mailclients ein wenig verwirrent angegeben.
Meine Frage lautet jetzt, was ist wenn GMX Störungen hat, versucht dann der Mailclient die Daten unverschlüsselt an den Mailprovider zu übertragen oder wird die Verbindung sofort beendet?
Es gab ja bei vielen alten Mailclients die Funktion, dass wenn TLS nicht funktioniert unverschlüsselt übertragen wird, durch Port 587 ja auch unverschlüsselte Verbindungen möglich sind.
Grüße Sebasitan.
ich nutze Android 5.0 und das vorinstallierte Mailprogramm.
Die Ausgangsmailserver habe ich z.B. die von GMX und googlemail auf TLS und Port 587 gelegt, wie von GMX beschrieben.
TLS müsste ja in diesem Zusammenhang STARTTLS sein, ist meines wissens bei vielen Mailclients ein wenig verwirrent angegeben.
Meine Frage lautet jetzt, was ist wenn GMX Störungen hat, versucht dann der Mailclient die Daten unverschlüsselt an den Mailprovider zu übertragen oder wird die Verbindung sofort beendet?
Es gab ja bei vielen alten Mailclients die Funktion, dass wenn TLS nicht funktioniert unverschlüsselt übertragen wird, durch Port 587 ja auch unverschlüsselte Verbindungen möglich sind.
Grüße Sebasitan.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 272282
Url: https://administrator.de/forum/was-passiert-wenn-tls-nicht-funktioniert-272282.html
Ausgedruckt am: 27.12.2024 um 03:12 Uhr
6 Kommentare
Neuester Kommentar
Hey, kenne das Protokoll nicht im Detail, aber ich nehme mal an dass der Provider vordiktiert was möglich ist und was nicht. Der Provider kann ja für seine Server festlegen welche Verschlüsslungsmethoden erlaubt werden und welche nicht
Moin,
kommt drauf an ob der Provider Oportunistic- oder Required TLS auf dem Port aktiviert hat.
Eine gute Beschreibung findest du hier:
Exchange 2007: TLS aktivieren
Gruß jodel32
kommt drauf an ob der Provider Oportunistic- oder Required TLS auf dem Port aktiviert hat.
Eine gute Beschreibung findest du hier:
Exchange 2007: TLS aktivieren
Gruß jodel32
Port 587 ist der sogenannte Submission-Port. Da wird TLS ("STARTTLS") empfohlen, aber nicht vorgeschrieben.
Port 465 hingegen ist SMTP-S, hier wird durchgängige Verschlüsselung impliziert (also erfordert).
Beide Ports erfüllen die selbe Funktion, beim einen ist Verschlüsselung mittels STARTTLS einfach draufgesetzt, beim anderen wird von vornherein durchgängig mit Schlüsselaustausch u.s.w. verschlüsselt.
Bei Port 587 erfolgt die Datenübertragung erstmal unverschlüsselt im Klartext, der Server bietet aber dem Client eine optionale Verschlüsselung an:
Da taucht dieses konspirative "STARTTLS" auf.
Ein Angreifer, der in der Leitung hockt, könnte aber diese STARTTLS-Zeile einfach aus der Verbindung rauswerfen. Die Verbindung erfolgt hier noch im Klartext, also ist das problemlos möglich.
Wenn der Server oder der Client jetzt nicht auf STARTTLS insistieren, wird die Verbindung weiterhin unverschlüsselt bleiben - denn der Client ist ja der Meinung, dass der Server kein STARTTLS kann. GMX in diesem Beispiel lässt den Login auch ohne vorheriges STARTTLS zu!
Dass da tatsächlich ein Angreifer in deiner Leitung hockt und STARTTLS wegfiltert passiert doch nie, sagst du?
http://www.heise.de/security/meldung/Eingriff-in-E-Mail-Verschluesselun ...
Bei Port 465 wird eine Verschlüsselung impliziert. Das heißt, dass erstmal eine TLS-Gesicherte Verbindung aufgebaut wird, bevor überhaupt irgendein Befehl an den Server gesendet wird. Wenn hier keine Verschlüsselung zustande kommt, kommt halt generell garkeine Verbindung zustande - denn der verwendete Port verlangt nach Verschlüsselung und Klartext geht da einfach nicht.
Das gilt für die Ports 993 (IMAP-S) und 995 (POP3-S) übrigens ebenfalls. Man *kann* auf dem normalen IMAP-Port mit STARTTLS anfangen zu verschlüsseln, aber wenn man direkt Port 993 benutzt kann man sich halt wirklich darauf verlassen, dass in jedem Fall verschlüsselt wird.
Aus diesem Grunde mag ich eigentlich diesen Mischmasch mit STARTTLS nur so mittelmäßig und nutze an sich immer die "echten" TLS-Ports
Port 465 hingegen ist SMTP-S, hier wird durchgängige Verschlüsselung impliziert (also erfordert).
Beide Ports erfüllen die selbe Funktion, beim einen ist Verschlüsselung mittels STARTTLS einfach draufgesetzt, beim anderen wird von vornherein durchgängig mit Schlüsselaustausch u.s.w. verschlüsselt.
Bei Port 587 erfolgt die Datenübertragung erstmal unverschlüsselt im Klartext, der Server bietet aber dem Client eine optionale Verschlüsselung an:
250-gmx.com Hello CLIENT [x.x.x.x]
250-SIZE 69920427
250-AUTH LOGIN PLAIN
250 STARTTLS
Ein Angreifer, der in der Leitung hockt, könnte aber diese STARTTLS-Zeile einfach aus der Verbindung rauswerfen. Die Verbindung erfolgt hier noch im Klartext, also ist das problemlos möglich.
Wenn der Server oder der Client jetzt nicht auf STARTTLS insistieren, wird die Verbindung weiterhin unverschlüsselt bleiben - denn der Client ist ja der Meinung, dass der Server kein STARTTLS kann. GMX in diesem Beispiel lässt den Login auch ohne vorheriges STARTTLS zu!
Dass da tatsächlich ein Angreifer in deiner Leitung hockt und STARTTLS wegfiltert passiert doch nie, sagst du?
http://www.heise.de/security/meldung/Eingriff-in-E-Mail-Verschluesselun ...
Bei Port 465 wird eine Verschlüsselung impliziert. Das heißt, dass erstmal eine TLS-Gesicherte Verbindung aufgebaut wird, bevor überhaupt irgendein Befehl an den Server gesendet wird. Wenn hier keine Verschlüsselung zustande kommt, kommt halt generell garkeine Verbindung zustande - denn der verwendete Port verlangt nach Verschlüsselung und Klartext geht da einfach nicht.
Das gilt für die Ports 993 (IMAP-S) und 995 (POP3-S) übrigens ebenfalls. Man *kann* auf dem normalen IMAP-Port mit STARTTLS anfangen zu verschlüsseln, aber wenn man direkt Port 993 benutzt kann man sich halt wirklich darauf verlassen, dass in jedem Fall verschlüsselt wird.
Aus diesem Grunde mag ich eigentlich diesen Mischmasch mit STARTTLS nur so mittelmäßig und nutze an sich immer die "echten" TLS-Ports
Das kommt halt ganz darauf an, wie der Client sich eine sichere Verbindung mit STARTTLS so vorstellt. Da gibt es keine so richtig verbindliche Konvention wie das benannt werden soll...
Wenn du ganz sicher gehen willst, nimmst du die TLS-Ports der jeweiligen Protokolle - dann kann der Client nicht anders, als zu verschlüsseln.
Wenn du ganz sicher gehen willst, nimmst du die TLS-Ports der jeweiligen Protokolle - dann kann der Client nicht anders, als zu verschlüsseln.