Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: Omegas am 04.05.16 - 09:34:09

Titel: SMTP mit TLS an T-Online
Beitrag von: Omegas am 04.05.16 - 09:34:09

Guten Morgen,

ich habe letzte Woche SMTP over TLS am Domino Server aktiviert. Ich habe hier ein selbstsigniertes Zertifikat mit einem 4096 Bit Schlüssel generiert. Der Domino-Server ist so eingestellt, dass eine TLS Verbindung versucht wird, und wenn dies nicht funktioniert, die Mail eben auf unverschlüsseltem Weg übertragen wird.

Ich habe nun festgestellt, dass dies mit Mails an @t-online.de gar nicht funktioniert. Diese bleiben in der Mail.box liegen, bis ich den Versand via TLS komplett dekaktiviere.

Bevor ich nun das große Debugging starte, wollte ich im Vorfeld fragen, ob jemand ähnliches bemerkt hat, oder ob jemand weiß, ob die Telekom eine Überprüfung des Zertifikats durchführt und somit mein selbst-signiertes Zertifikat ablehnt.

Titel: Re: SMTP mit TLS an T-Online
Beitrag von: hallo.dirk am 04.05.16 - 09:51:04

Ich habe keine T-Online Probleme mit TLS, allerdings nutze ich offizielle Zertifikate,

Würde sowieso raten dieses nicht mehr mit selbst signierten Zertifikaten zu machen, das gibt nur Ärger.

P.S.: Du kannst deine Server mit http://www.checktls.com testen

Titel: Re: SMTP mit TLS an T-Online
Beitrag von: Omegas am 04.05.16 - 10:00:51

Danke schon mal für die Antwort. Leider beantwortet es meine Frage nicht unbedingt. Ich möchte vor der Anschaffung eines Zertifikats prüfen, ob dieses denn auch wirklich notwendig ist.

checktls.com ist mir bekannt, allerdings hilft es hier auch nicht weiter, da der Test ja nicht zwingend ein gültiges Zertifikat voraussetzt.

Titel: Re: SMTP mit TLS an T-Online
Beitrag von: Tode am 04.05.16 - 10:58:40

Selbst wenn die Telekom ein selbst- zertifiziertes akzeptiert, viele andere tun das nicht.

Wir sprechen hier über Kosten von 99€ (Thawte) 39€ (Comodo) für 3 Jahre bei der PSW- Group.
Da sollte man sich im Unternehmensumfeld gar nicht erst Gedanken darüber machen, ein selbstzertifiziertes Zertifikat einzusetzen. Und für "Spielserver" gibt es ja sogar kostenlose Zertifikate z.B. von StartSSL.com

Ich habe erst gerade für einen Kunden ein Wildcard- Zertifikat von der PSW- Group gekauft, das kostet gerade mal 399€ (Thawte, hätte 279€ mit COMODO gekostet) für 3 Jahre... und damit können ALLE Server der Domain abgesichert werden...

Titel: Re: SMTP mit TLS an T-Online
Beitrag von: stoeps am 05.05.16 - 08:59:31

Ich geb da Torsten 100% Recht, aber als Zusatz:

Der Fallback auf unverschlüsselt erfolgt nur,  wenn der empfangende Server mit STARTTLS nichts anfangen kann. Der Schlüsselaustausch und Überprüfung der Zertifikate danach. Wenn also ein Server dein selfsigned Cert nicht akzeptiert (und das sind Viele, wenn das bisher nur t-online war hattest du Glück), geht die Mail nicht raus,  weil sich die Server nicht über ein Protokoll einig wurden. Kein Fallback auf unverschlüsselt!