Mailserver SSL und PFS (Perfect Forward Secrecy) aktivieren

[AlexZX]

Guten Morgen!

gibt es eine Möglichkeit am Lotus Mailserver PFS (Perfect Forward Secrecy) zu aktivieren? Die SSL Einstellung für ausgehende und eingehende Mails habe ich bereits gefunden (im Konfigurationsdokument für eingehende und im Serverdokument für ausgehende Mails). Die einstellung für PFS konnte ich jedoch nirgends finden. Bei uns läuft Domino Server 8.5.3 FP6.

Vielen Dank!
Gruß Alex

[Pfefferminz-T]

PFS wird doch meines Wissens nach nur beim Zugriff auf Webmail-Basis eingesetzt, also wenn man mit dem Browser bei einem Provider auf sein Mailpostfach zugreift? Das hat meines Wissens nach nichts mit ein- oder ausgehender Mail zu tun, oder?

Lasse mich natürlich gerne eines besseren belehren!

Gruß,
Thorsten

[umi]

Moin

Ich denke diese Option gibts im Domino nicht. Die ganze SSL/TLS geschichte ist da nicht auf dem aktuellen Stand der Dinge.

[m3]

Der SSL stack in Domino kann genau das, was sein Name sagt, "SSL". Und zwar bis SSL 3.0.
Das kann er auch für SMTP mit STARTSSL.
Dabei unterstützt er nur RSA Ciphers.

In der Praxis benötigt (Perfect) Forward Secrecy die Transport Layer Security (TLS) mit Elliptic Curve Diffie–Hellman Cipher, was der Domino SSL stack nicht kann.

Wenn Du TLS 1.2 mit modernen Ciphers (EC, SHA2, ...) gerne im Domino hättest, wäre es super, wenn Du Dich mit einem PMR an den SPR ABAI7SASE6 "anhängen" würdest (Details siehe http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?action=openDocument&documentId=0BBA1D75D92075FC85257D3B006FABB8 und http://blog.darrenduke.net/Darren/DDBZ.nsf/dx/so-domino-and-sha2.....theres-a-spr-for-that.htm und http://www.mcpressonline.com/commentary/in-the-wheelhouse-ibm-we-have-an-ssl-problem.html ).
Alles, was von Deiner Seite dazu notwendig wäre, ist ein PMR mit folgendem (angepassten) Text:

This is an additional customer report for SPR ABAI7SASE6 reproducible with Domino x.x.x on OS___ . Please create an additional customer report for SPR ABAI7SASE6 to increase likeliness of a fix and close this PMR. Thanks!

@Thorsten: PFS ist eine SSL/TLS Konfiguration, also TRANSPORT Layer Security. Das funktioniert auch mit SMTP, IMAP, POP3 und nicht nur mit HTTP.

[AlexZX]

Vielen Dank für die ausführliche Antwort, dem PMR habe ich mich angehängt 

Gruß
Alex

[Pfefferminz-T]

@Martin, danke für die Info! Hatte das nur im Zusammenhang mit Webmailern gesehen.

Gruß,
Thorsten

[Ottoderxte]

Hallo,
hatte am Wochenende mal folgenden Artikel bei Heise gelesen. http://www.heise.de/newsticker/meldung/Datenschuetzer-mahnen-Mail-Server-Betreiber-wegen-fehlender-Verschluesselung-2390692.html

Kann mir jemand sagen wo ich die Doku finde die SSl-Verschlüsselung richtig zu aktivieren. Möchte ungerne am Server was verändern ohne wirklich zu wissen was ich tue.


Ich hatte bei meiner Suche folgendes Dokument gefunden:

http://www-304.ibm.com/support/docview.wss?uid=swg21108352

Ist das so noch aktuell?
Gruß
Otto

[AlexZX]

Hallo,
ja das ist absolut aktuell. Wir wurden letzte Woche vom "Bayerischen Landesamt für die Datenschutzaufsicht" angeschrieben und genau auf dieses Problem hingewiesen. Aus diesem Grund habe ich auch die Frage hier im Forum gestellt 

Aber anscheinend kann Lotus kein TLS und dadurch auch kein (Perfect) Forward Secrecy die Transport (siehe Post von m3).

Nach dem ich diesen Umstand dem Bayerischen Landesamt für die Datenschutzaufsicht mitgeteilt habe, habe ich eine Atwort bekommen, dass dier Fall gesondert behandelt wird und sie sich noch mal bei uns melden.

Gruß
Alex

[hallo.dirk]

Ihr könnt ohne weiteres in der SMTP Task die Unterstützung für STARTTLS einschalten. Anleitungen dazuwurde oben ja schon verlinkt.

So habe ich das schon seit Domino 7 am laufen!

Aber:

Da Domino veraltete Technologien benutzt kommt es vor, dass die Gegenseite die SMTP Verbindung beendet und man von diesen Domains keine Mails mehr bekommt. (zb. microsoft.com)
Ich habe das zusammen mit Daniel Nashed und IBM vor 2 Jahren komplett auseinander genommen und wir haben fest gestellt, dass es irgendwann in der Kommunikation der SMTP Server in der Phase des Handshakes (Austausch der Verschlüsselungs Schlüssels) die Gegenseite mit einem Error die Kommunikation beendet....das war es dann und die Kommunikation läuft im Loop)
Web.de, Google und andere Provider funktionieren aber ohne Probleme.
Selbst eine Eskalation mit einem IBM crisit Manager führte zu keinem Ergebnis.

Ich hab schon einen Tread  im 9er Bereich verfasst.

Wen IBM da nichts dran ändert, ist unter diesen Umständen ein Domino Server als SMTP/Intenet Gateway bald Geschichte.

[AlexZX]

Hallo,

STARTTLS haben wir ja schon länger im Einsatz, bemängelt (vom Bayerischen Landesamt für die Datenschutzaufsicht) wurde, dass wir kein PFS (Perfect Forward Secrecy) benutzen und das geht leider nicht.

Für den Fall, dass beim Versenden keine verschlüsselte Verbindung zustande kommt, haben wir in der Notes.ini den Parameter "RouterFallbackNonTLS=1" drin.

Gruß
Alex