Das Notes Forum

Lotus Notes / Domino 10 => ND10: Administration & Userprobleme => Thema gestartet von: maxritti am 02.05.19 - 13:34:28

Titel: TLS im Required Mode vs opportunistischem TLS
Beitrag von: maxritti am 02.05.19 - 13:34:28

Hallo zusammen,

wir haben eine Anfrage bzgl Mailkommunikation und TLS erhalten.
Es soll nur noch eine TLS Kommunikation via SMTP stattfinden. Soweit so gut.

Allerdings gibt es auch noch die Anforderung, dass es sich um ein TLS im Required Mode genutzt wird und nicht ein so genannter opportunistisches TLS.
Jetzt habe ich schon die Dominohilfe bemüht und Tante Google befragt. Komme aber nicht weiter.

Gibt es diesen unterschiedlichen TLS Typ gar nicht in Domino?
Bzw heisst dies dort nur anders und ich weiß nur nicht wie. ;)

Bin für jeden Tip dankbar.

Titel: Re: TLS im Required Mode vs opportunistischem TLS
Beitrag von: schroederk am 02.05.19 - 14:07:53

Ich verstehe unter "opportunistisch", dass erst versucht wird mit TLS zu kommunizieren, aber wenn nicht, dann Fallback auf unverschlüsselt.
"Required" versteht sich dann so, dass ausschließlich TLS akzeptiert wird, wenn es nicht klappt, wird die Kommunikation abgelehnt.

Titel: Re: TLS im Required Mode vs opportunistischem TLS
Beitrag von: maxritti am 02.05.19 - 14:12:24

Danke Dir schon mal. Soweit bin ich bei Dir.  :)

Nur was macht der Domino wenn ich "Negotiated SSL" aktiviere?
Geht der u.U. auf unverschlüsselt zurück?

Titel: Re: TLS im Required Mode vs opportunistischem TLS
Beitrag von: (h)uMan am 02.05.19 - 14:18:48

Client fragt an und Server antwortet auf die Anfrage mit seinen konfigurierten TLS Möglichkeiten (v1, v2, Ciphersuites, etc.).

Wenn der Client die serverseitigen TLS Vorgaben beherrscht, wird die Verbindung etabliert.

Wenn unverschlüsselte Verbindungen generell nicht erlaubt sind, wird auch keine unverschlüsselte Verbindung etabliert.

Titel: Re: TLS im Required Mode vs opportunistischem TLS
Beitrag von: maxritti am 02.05.19 - 14:27:50

Danke Euch beiden.

Jetzt habe ich doch was gefunden.  :D

https://www.assono.de/blog/dsgvo-enforce-tls-fuer-smtp

Wenn "Negotiated SSL" im Serverdokument aktiviert ist, ist es "Required" TLS.
Mit einem notes.ini Eintrag könnte das noch geändert werden. Wollen wir (bzw das anfragende Unternehmen) aber nicht.

Somit ist das hier erledigt.

Titel: Re: TLS im Required Mode vs opportunistischem TLS
Beitrag von: hallo.dirk am 19.05.19 - 18:02:09

Eine Sache beherrscht Domino hier aber nicht:

Falls die andere Seite in ihrem EHLO kein TLS anbietet, würde Domino hier auch unverschlüsselt übertragen.

Ich weiß zwar bis heute nicht, warum das ein Server machen würde, aber hier haben wir eine fehlende Option im Domino.

Oder ist das mittlerweile in Domino 10 endlich drinnen?
Gefordert wurde es ja oft genug.


Gesendet von iPad mit Tapatalk

Titel: Re: TLS im Required Mode vs opportunistischem TLS
Beitrag von: Manfred W. am 23.05.19 - 09:06:02

Also "Negotiated SSL" am Domino Server ist kein "Required" TLS.
Wenn der Empfänger-Server TLS anbietet, die Verschlüsselung aus irgendeinem Grund dann aber nicht zustande kommt (z.B. keine gemeinsamen Cipher oder Probleme mit dem Zertifikat), dann überträgt der Domino Server das Mail nicht. D.h. es gibt keinen Fallback auf unverschlüsselt. Das ist das was assono meint.
Bietet der Empfänger-Server aber gar kein TLS an, wird das Mail vom Domino Server unverschlüsselt übertragen. Required TLS wäre aber, dass das Mail dann auch nicht übertragen wird, die Übertragung also definitiv nur über eine verschlüsselte Verbindung stattfindet.

Lasst ihr denn die Mails aus dem Internet direkt vom Domino Server annehmen, oder habt ihr da ein Gateway dazwischen, das auch den ausgehenden Verkehr übernehmen könnte, und mehr Einstell-Möglichkeiten bezüglich TLS bietet?