SMTP Header konfigurieren (StartTLS anzeigen)

[Tode]

Wenn man eine Mail erhält, kann man im "Received"- Header sehr schön sehen, welche Hops die Mail genommen hat, und wie sie zugestellt wurde (verschlüsselt / unverschlüsselt), nur der Domino ist da sehr "auskunftsfaul": Gibt es da irgendeinen geheimen Switch, um sichtbar zu machen, dass die Mail verschlüsselt übertragen wurde?

Ich habe bei meiner Recherche diese Domino Idea von Daniel Nashed gefunden, aber vielleicht gibt es ja schon heute etwas ohne die gewünschten Cipher. Anbei ein Beispiel davon, was ich meine. Überall sieht man "using TLS" oder "ESMTPS", nur beim Domino (blauer Abschnitt) nicht:

Received: from mail01.domain.de ([192.168.20.20])
          by domino.domain.de (IBM Domino Release 9.0.1FP9 HF139)
          with ESMTP id 2019062513544843-4029 ;
          Tue, 25 Jun 2019 13:54:48 +0200
Received: from mx.otherdomain.com (mx.otherdomain.com [178.249.84.22])
       (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
       (No client certificate requested)
       by mail01.domain.de (MTA) with ESMTPS id 45Y4Mm59Ldzqh91
       for <torsten.link@domain.de>; Tue, 25 Jun 2019 13:54:44 +0200 (CEST)
Received: from pps.filterd (b001cvs000442.otherdomain.de [127.0.0.1])
       by b001cvs000442.otherdomain.de (8.16.0.27/8.16.0.27) with SMTP id x5PBq1r5011217;
       Tue, 25 Jun 2019 13:54:44 +0200
Received: from b001cvs000416.otherdomain.de ([10.250.2.244])
       by b001cvs000442.otherdomain.de with ESMTP id 2t9ad4h8bm-1
       (version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NOT);
       Tue, 25 Jun 2019 13:54:44 +0200
Received: from b001crs000023.otherdomain.net (unknown [10.252.30.118])
       by B001CVS000416.otherdomain.de (Postfix) with ESMTPS;
       Tue, 25 Jun 2019 13:54:43 +0200 (CEST)

[m3]

Servus!

Ich weiß nicht. Der relevante Informationsgehalt ist da ja eher gering, da es ja nur um die Transportverschlüsselung zwischen den einzelnen Hops geht. In Deinem Fall war ja zum Beispiel der erste und letzte Hop unverschlüsselt.
Dass zwischen einzelnen Hops verschlüsselt wurde, sagt ja nix drüber aus ob/wer die Mail mitgelesen oder am Weg verändert hat.
Ich würde in Deinem Beispiel nicht behaupten, dass die Mail "verschlüsselt übertragen" wurde.

End-To-End Verschlüsselung via Notes-ID, S/MIME bzw. PGP (mit Plugin) wird ja entsprechend im UI angezeigt.

[Tode]

Ich stimme Dir vollkommen zu. Aber ich hatte nunmal bereits 2x die Anforderung: Beweise mir, dass Deine Konfiguration richtig ist, und die Mail wirklich verschlüsselt zwischen Domino und dem letzten Hop übertragen wurde.... Wie sinnvoll / sinnfrei diese Anforderung ist, und dass Content- Verschlüsselung viel sicherer ist als Transportverschlüsselung (manch Mailserver beschwert sich bspw. nicht über Self Signed Certificates auf der anderen Seite, was das Ganze ad absurdum führt), ist mir voll bewusst... Trotzdem könnte diese Information manchmal hilfreich sein...

[m3]

OK, ja. In dem Context ergibt die Anforderung zumindest ein wenig Sinn.

Dafür müsste mensch einen Parser für die Mail-Header schreiben und dann die Info im GUI rendern. Ich denke, das will man nicht.

Du könntest den SMTP natürlich nicht-RFC konform konfigurieren und unverschlüsselte Verbindungen komplett ablehnen. Aber das ist auch grauslich und dann wird sicher das "super wichtige" Mail an den Chef auf einmal nicht zugestellt.