11
Viele Provider stellen ab 2014 ihre Mailserver auf SSL um.
Nur falls es jemandem entgangen ist:
Einige Provider (z.B. 1&1 / GMX etc) stellen ab 2014 ihre Mailserver auf SSL um. Das heißt, dass sowohl Clients - die direkt Mails abrufen - als auch Exchange-Server die einen der Provider als Smarthost nutzen, auf SSL umgestellt werden müssen.
Sonst könnte es evtl. böse Überraschungen geben.
Also einfach mal checken!
Exchange 2010 - 1und1 Smarthost - Sendeconnector per SSL (Port 587)
Einige Provider (z.B. 1&1 / GMX etc) stellen ab 2014 ihre Mailserver auf SSL um. Das heißt, dass sowohl Clients - die direkt Mails abrufen - als auch Exchange-Server die einen der Provider als Smarthost nutzen, auf SSL umgestellt werden müssen.
Sonst könnte es evtl. böse Überraschungen geben.
Also einfach mal checken!
Exchange 2010 - 1und1 Smarthost - Sendeconnector per SSL (Port 587)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 224779
Url: https://administrator.de/contentid/224779
Printed on: April 19, 2024 at 05:04 o'clock
11 Comments
Latest comment
Zitat von @BlueStarDE:
Nur falls es jemandem entgangen ist:
Einige Provider (z.B. 1&1 / GMX etc) stellen ab 2014 ihre Mailserver auf SSL um. Das heißt, dass sowohl Clients - die
direkt Mails abrufen - als auch Exchange-Server die einen der Provider als Smarthost nutzen, auf SSL umgestellt werden
müssen.
Nur falls es jemandem entgangen ist:
Einige Provider (z.B. 1&1 / GMX etc) stellen ab 2014 ihre Mailserver auf SSL um. Das heißt, dass sowohl Clients - die
direkt Mails abrufen - als auch Exchange-Server die einen der Provider als Smarthost nutzen, auf SSL umgestellt werden
müssen.
Ach!. Die Hinken der Zeit um Jahre hinterher.
lks
1
Und sicher macht das die Mails dann auch nicht, da sie auf deren Servern weiterhin völlig unverschlüsselt zwischengespeichert werden und die genannten oben dann fröhlich weiter in den Mails rumschnüffeln. Ist nur damit sich die Masse der dummen Schafe in trügerischer Sicherheit wähnen….
http://www.heise.de/ct/artikel/E-Mail-im-Visier-1970102.html
und
http://www.heise.de/security/meldung/Deutsche-Mail-Provider-lassen-trac ...
http://www.heise.de/ct/artikel/E-Mail-im-Visier-1970102.html
und
http://www.heise.de/security/meldung/Deutsche-Mail-Provider-lassen-trac ...
2Zitat von @aqui:
Und sicher macht das die Mails dann auch nicht, da sie auf deren Servern weiterhin völlig unverschlüsselt
zwischengespeichert werden und die genannten oben dann fröhlich weiter in den Mails rumschnüffeln.
Und sicher macht das die Mails dann auch nicht, da sie auf deren Servern weiterhin völlig unverschlüsselt
zwischengespeichert werden und die genannten oben dann fröhlich weiter in den Mails rumschnüffeln.
Ich erklär das den Leuten so:
Vorher hat jeder, der die Postkarten befördert hat, den Inhalt lesen können. Jetzt werden die Postkarten für den transport in Umschläge gesteckt udn am Zielpostamt wieder ausgepackt. Dann kan sie der Briefträger lesen bevor er sie zustellt. .-)
lks
1
Interessant wird ja auch - wie transportieren die Mailserver die Mails untereinander? Das ist ja nett wenn ich die von mir zum GMX|WEB|YAHOO-Server per ssl übertrage. Wenn die dann untereinander im Plain-SMTP sprechen hilft das nur irgendwie wenig... Und irgendwie habe ich das Gefühl das die genau das tun werden - da es ja einiges an Aufwand machen würde ne Liste zu pflegen mit welchem Server man verschlüsselt und mit welchem man nur offen reden kann...
Also wäre es - analog zur Postkarte - so das ich die zwar in nem Umschlag bis zum Briefkasten gebe - die aber da schon ausgepackt und offen transportiert wird...
Sorry, aber wenn ich wirklich verschlüsseln möchte sollte ich mich nich auf den Provider verlassen - hier gibt es ja PGP usw. die das doch nen stück weit besser machen (ob die jetzt wirklich sicher sind oder nicht möchte ich nicht sagen -> da ich den Quellcode nicht kenne kann ich nicht sagen ob da irgendwelche Backdoors eingebaut wurden)
Also wäre es - analog zur Postkarte - so das ich die zwar in nem Umschlag bis zum Briefkasten gebe - die aber da schon ausgepackt und offen transportiert wird...
Sorry, aber wenn ich wirklich verschlüsseln möchte sollte ich mich nich auf den Provider verlassen - hier gibt es ja PGP usw. die das doch nen stück weit besser machen (ob die jetzt wirklich sicher sind oder nicht möchte ich nicht sagen -> da ich den Quellcode nicht kenne kann ich nicht sagen ob da irgendwelche Backdoors eingebaut wurden)
1Zitat von @maretz:
Sorry, aber wenn ich wirklich verschlüsseln möchte sollte ich mich nich auf den Provider verlassen - hier gibt es ja PGP
usw. die das doch nen stück weit besser machen (ob die jetzt wirklich sicher sind oder nicht möchte ich nicht sagen
-> da ich den Quellcode nicht kenne kann ich nicht sagen ob da irgendwelche Backdoors eingebaut wurden)
Sorry, aber wenn ich wirklich verschlüsseln möchte sollte ich mich nich auf den Provider verlassen - hier gibt es ja PGP
usw. die das doch nen stück weit besser machen (ob die jetzt wirklich sicher sind oder nicht möchte ich nicht sagen
-> da ich den Quellcode nicht kenne kann ich nicht sagen ob da irgendwelche Backdoors eingebaut wurden)
GnuPG ist da schon recht brauchbar und vermutlich weitgehend gehärtet. Außerdem ist der Source offen, so daß man jederzeit nachschauen könntem, wenn man es denn tut und auch noch versteht, was da steht.
lks
Das ist ja der Knackpunkt. Man könnte nachschauen - dies ist aber keine Garantie für Sicherheit. Wenn 1000 Leute nachschauen *könnten* hilft das wenig - und da ich persönlich nicht nachgeschaut habe (und mir auch niemand persönlich bekannt ist der das getan hat - inkl. aller zusatz-lib's) würde ich immer nur sagen das es sicher sein KANN, nicht das es sicher IST...
Für mich liegt das Problem eher bei den Empfängern.
Ich habe vor Jahren schon einmal versucht, meine E-Mails per GnuPG zu verschlüsseln und habe nicht einen meiner Empfänger, ok alles Privatleute, motivieren können, sich das einrichten zu lassen. Selbst jetzt, wo ich nur noch den öffentlichen Schlüssel im Anhang mitschicke, bekomme ich immer wieder Anfragen á la "Dein Anhang konnte ich aber nicht öffnen".
Im Privatbereich wird das sicherlich auch noch lange so bleiben.
grüße vom it-frosch
Ich habe vor Jahren schon einmal versucht, meine E-Mails per GnuPG zu verschlüsseln und habe nicht einen meiner Empfänger, ok alles Privatleute, motivieren können, sich das einrichten zu lassen. Selbst jetzt, wo ich nur noch den öffentlichen Schlüssel im Anhang mitschicke, bekomme ich immer wieder Anfragen á la "Dein Anhang konnte ich aber nicht öffnen".
Im Privatbereich wird das sicherlich auch noch lange so bleiben.
grüße vom it-frosch
Hallo,
also TLS/SSL im e-Mail Umfeld sichert lediglich die Zugangsdaten die der Mailclient übermittelt. Beim Transfer zwischen den beteiligten Mailserver (MTA zu MTA) werden i.d.R: die Zertifikate nicht geprüft und falls die Gegenstelle kein TLS/SSL anbietet per Klartext verschickt. Damit sind MitM Angriffe ein Kinderspiel, wenn man Zugriff auf die Leitung hat oder den Traffic einfach per Routing Manipulation oder DNS umleitet.
Den Inhalt kann man nur per Ende-zu-Ende Verschlüsselung mit S/MIME oder PGP schützen, die Transaktionsdaten (wer, wann mit wem und wie oft) gar nicht.
Leider krankt das Ganze daran das der *Empfänger* etwas tun muß um verschlüsselte Mails zu erhalten, der Absender hat darauf keinen Einfluß.
Gruß
Andi
also TLS/SSL im e-Mail Umfeld sichert lediglich die Zugangsdaten die der Mailclient übermittelt. Beim Transfer zwischen den beteiligten Mailserver (MTA zu MTA) werden i.d.R: die Zertifikate nicht geprüft und falls die Gegenstelle kein TLS/SSL anbietet per Klartext verschickt. Damit sind MitM Angriffe ein Kinderspiel, wenn man Zugriff auf die Leitung hat oder den Traffic einfach per Routing Manipulation oder DNS umleitet.
Den Inhalt kann man nur per Ende-zu-Ende Verschlüsselung mit S/MIME oder PGP schützen, die Transaktionsdaten (wer, wann mit wem und wie oft) gar nicht.
Leider krankt das Ganze daran das der *Empfänger* etwas tun muß um verschlüsselte Mails zu erhalten, der Absender hat darauf keinen Einfluß.
Gruß
Andi
Ich häng' mich jetzt mal auf diesen thread drauf, weil es um SSL bei GMX geht.
Ich habe seit Jahren ein kleines, schönes EMail-Benachrictigungstool namens PostDa (http://www.scheernet.de/de/postda) und der Programmierer hat kein Windows mehr, wird es somit nicht mehr auf SSL updaten.
Hat jemand ein anderes, ähnlich gutes im Einsatz und könnte eines empfehlen? Ich habe mir "Magic Mail Monitor 3" heruntergeladen, aber noch nicht installiert.
Ich habe seit Jahren ein kleines, schönes EMail-Benachrictigungstool namens PostDa (http://www.scheernet.de/de/postda) und der Programmierer hat kein Windows mehr, wird es somit nicht mehr auf SSL updaten.
Hat jemand ein anderes, ähnlich gutes im Einsatz und könnte eines empfehlen? Ich habe mir "Magic Mail Monitor 3" heruntergeladen, aber noch nicht installiert.
Vor wenigen Jahren gab es noch bei GMX die SSL-Verschlüsselung per Handschake.
Das wurde dann bei FreeMail abgeschafft. Die Mail war Klartextübertragung!
Jetzt wieder Werbung für etwas neues altes?
Was gibt es nun mehr, was vorher mal da war aber abgeschafft?
Ich trink jetzt erst mal mein Billigbier nach den 9 Jahre Wein.
Gruß Phil
Das wurde dann bei FreeMail abgeschafft. Die Mail war Klartextübertragung!
Jetzt wieder Werbung für etwas neues altes?
Was gibt es nun mehr, was vorher mal da war aber abgeschafft?
Ich trink jetzt erst mal mein Billigbier nach den 9 Jahre Wein.
Gruß Phil
Hallo,
Nur, dass man da im allgemeinen keine Liste pflegt, sondern die Server das dynamisch untereinander aushanden ("Du, ich kann auch TLS" - "Cool, dann lass mal machen"). Mittlerweile ist es auch definitiv "State of the Art", dass die Server TLS unterstützen (anbieten & Angebot wahrnehmen) - was natürlich nicht heißt, dass das alle tun. Siehe aber etwa auch http://www.heise.de/newsticker/meldung/E-Mail-Made-in-Germany-SSL-Versc ...
Grüße
Filipp
Das ist ja nett wenn ich die von mir zum
GMX|WEB|YAHOO-Server per ssl übertrage. Wenn die dann untereinander im Plain-SMTP sprechen hilft das nur irgendwie wenig...
Und irgendwie habe ich das Gefühl das die genau das tun werden - da es ja einiges an Aufwand machen würde ne Liste zu
pflegen mit welchem Server man verschlüsselt und mit welchem man nur offen reden kann...
Äh... ja.GMX|WEB|YAHOO-Server per ssl übertrage. Wenn die dann untereinander im Plain-SMTP sprechen hilft das nur irgendwie wenig...
Und irgendwie habe ich das Gefühl das die genau das tun werden - da es ja einiges an Aufwand machen würde ne Liste zu
pflegen mit welchem Server man verschlüsselt und mit welchem man nur offen reden kann...
Nur, dass man da im allgemeinen keine Liste pflegt, sondern die Server das dynamisch untereinander aushanden ("Du, ich kann auch TLS" - "Cool, dann lass mal machen"). Mittlerweile ist es auch definitiv "State of the Art", dass die Server TLS unterstützen (anbieten & Angebot wahrnehmen) - was natürlich nicht heißt, dass das alle tun. Siehe aber etwa auch http://www.heise.de/newsticker/meldung/E-Mail-Made-in-Germany-SSL-Versc ...
Grüße
Filipp
