TLS im Required Mode vs opportunistischem TLS

[maxritti]

Hallo zusammen,

wir haben eine Anfrage bzgl Mailkommunikation und TLS erhalten.
Es soll nur noch eine TLS Kommunikation via SMTP stattfinden. Soweit so gut.

Allerdings gibt es auch noch die Anforderung, dass es sich um ein TLS im Required Mode genutzt wird und nicht ein so genannter opportunistisches TLS.
Jetzt habe ich schon die Dominohilfe bemüht und Tante Google befragt. Komme aber nicht weiter.

Gibt es diesen unterschiedlichen TLS Typ gar nicht in Domino?
Bzw heisst dies dort nur anders und ich weiß nur nicht wie.

Bin für jeden Tip dankbar.

[schroederk]

Ich verstehe unter "opportunistisch", dass erst versucht wird mit TLS zu kommunizieren, aber wenn nicht, dann Fallback auf unverschlüsselt.
"Required" versteht sich dann so, dass ausschließlich TLS akzeptiert wird, wenn es nicht klappt, wird die Kommunikation abgelehnt.

[maxritti]

Danke Dir schon mal. Soweit bin ich bei Dir. 

Nur was macht der Domino wenn ich "Negotiated SSL" aktiviere?
Geht der u.U. auf unverschlüsselt zurück?

[(h)uMan]

Client fragt an und Server antwortet auf die Anfrage mit seinen konfigurierten TLS Möglichkeiten (v1, v2, Ciphersuites, etc.).

Wenn der Client die serverseitigen TLS Vorgaben beherrscht, wird die Verbindung etabliert.

Wenn unverschlüsselte Verbindungen generell nicht erlaubt sind, wird auch keine unverschlüsselte Verbindung etabliert.

[maxritti]

Danke Euch beiden.

Jetzt habe ich doch was gefunden. 

https://www.assono.de/blog/dsgvo-enforce-tls-fuer-smtp

Wenn "Negotiated SSL" im Serverdokument aktiviert ist, ist es "Required" TLS.
Mit einem notes.ini Eintrag könnte das noch geändert werden. Wollen wir (bzw das anfragende Unternehmen) aber nicht.

Somit ist das hier erledigt.

[hallo.dirk]

Eine Sache beherrscht Domino hier aber nicht:

Falls die andere Seite in ihrem EHLO kein TLS anbietet, würde Domino hier auch unverschlüsselt übertragen.

Ich weiß zwar bis heute nicht, warum das ein Server machen würde, aber hier haben wir eine fehlende Option im Domino.

Oder ist das mittlerweile in Domino 10 endlich drinnen?
Gefordert wurde es ja oft genug.


Gesendet von iPad mit Tapatalk

[Manfred W.]

Also "Negotiated SSL" am Domino Server ist kein "Required" TLS.
Wenn der Empfänger-Server TLS anbietet, die Verschlüsselung aus irgendeinem Grund dann aber nicht zustande kommt (z.B. keine gemeinsamen Cipher oder Probleme mit dem Zertifikat), dann überträgt der Domino Server das Mail nicht. D.h. es gibt keinen Fallback auf unverschlüsselt. Das ist das was assono meint.
Bietet der Empfänger-Server aber gar kein TLS an, wird das Mail vom Domino Server unverschlüsselt übertragen. Required TLS wäre aber, dass das Mail dann auch nicht übertragen wird, die Übertragung also definitiv nur über eine verschlüsselte Verbindung stattfindet.

Lasst ihr denn die Mails aus dem Internet direkt vom Domino Server annehmen, oder habt ihr da ein Gateway dazwischen, das auch den ausgehenden Verkehr übernehmen könnte, und mehr Einstell-Möglichkeiten bezüglich TLS bietet?