Autor Thema: TLS im Required Mode vs opportunistischem TLS  (Gelesen 3787 mal)

Offline maxritti

  • Senior Mitglied
  • ****
  • Beiträge: 490
TLS im Required Mode vs opportunistischem TLS
« am: 02.05.19 - 13:34:28 »
Hallo zusammen,

wir haben eine Anfrage bzgl Mailkommunikation und TLS erhalten.
Es soll nur noch eine TLS Kommunikation via SMTP stattfinden. Soweit so gut.

Allerdings gibt es auch noch die Anforderung, dass es sich um ein TLS im Required Mode genutzt wird und nicht ein so genannter opportunistisches TLS.
Jetzt habe ich schon die Dominohilfe bemüht und Tante Google befragt. Komme aber nicht weiter.

Gibt es diesen unterschiedlichen TLS Typ gar nicht in Domino?
Bzw heisst dies dort nur anders und ich weiß nur nicht wie. ;)

Bin für jeden Tip dankbar.

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.918
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: TLS im Required Mode vs opportunistischem TLS
« Antwort #1 am: 02.05.19 - 14:07:53 »
Ich verstehe unter "opportunistisch", dass erst versucht wird mit TLS zu kommunizieren, aber wenn nicht, dann Fallback auf unverschlüsselt.
"Required" versteht sich dann so, dass ausschließlich TLS akzeptiert wird, wenn es nicht klappt, wird die Kommunikation abgelehnt.
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline maxritti

  • Senior Mitglied
  • ****
  • Beiträge: 490
Re: TLS im Required Mode vs opportunistischem TLS
« Antwort #2 am: 02.05.19 - 14:12:24 »
Danke Dir schon mal. Soweit bin ich bei Dir.  :)

Nur was macht der Domino wenn ich "Negotiated SSL" aktiviere?
Geht der u.U. auf unverschlüsselt zurück?

Offline (h)uMan

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.053
  • Geschlecht: Männlich
  • Wird schon ...
Re: TLS im Required Mode vs opportunistischem TLS
« Antwort #3 am: 02.05.19 - 14:18:48 »
Client fragt an und Server antwortet auf die Anfrage mit seinen konfigurierten TLS Möglichkeiten (v1, v2, Ciphersuites, etc.).

Wenn der Client die serverseitigen TLS Vorgaben beherrscht, wird die Verbindung etabliert.

Wenn unverschlüsselte Verbindungen generell nicht erlaubt sind, wird auch keine unverschlüsselte Verbindung etabliert.


« Letzte Änderung: 02.05.19 - 14:20:47 von (h)uMan »
Beste Grüße, Uwe

Offline maxritti

  • Senior Mitglied
  • ****
  • Beiträge: 490
Re: TLS im Required Mode vs opportunistischem TLS
« Antwort #4 am: 02.05.19 - 14:27:50 »
Danke Euch beiden.

Jetzt habe ich doch was gefunden.  :D

https://www.assono.de/blog/dsgvo-enforce-tls-fuer-smtp

Wenn "Negotiated SSL" im Serverdokument aktiviert ist, ist es "Required" TLS.
Mit einem notes.ini Eintrag könnte das noch geändert werden. Wollen wir (bzw das anfragende Unternehmen) aber nicht.

Somit ist das hier erledigt.

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: TLS im Required Mode vs opportunistischem TLS
« Antwort #5 am: 19.05.19 - 18:02:09 »
Eine Sache beherrscht Domino hier aber nicht:

Falls die andere Seite in ihrem EHLO kein TLS anbietet, würde Domino hier auch unverschlüsselt übertragen.

Ich weiß zwar bis heute nicht, warum das ein Server machen würde, aber hier haben wir eine fehlende Option im Domino.

Oder ist das mittlerweile in Domino 10 endlich drinnen?
Gefordert wurde es ja oft genug.


Gesendet von iPad mit Tapatalk
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline Manfred W.

  • Aktives Mitglied
  • ***
  • Beiträge: 149
  • Geschlecht: Männlich
Re: TLS im Required Mode vs opportunistischem TLS
« Antwort #6 am: 23.05.19 - 09:06:02 »
Also "Negotiated SSL" am Domino Server ist kein "Required" TLS.
Wenn der Empfänger-Server TLS anbietet, die Verschlüsselung aus irgendeinem Grund dann aber nicht zustande kommt (z.B. keine gemeinsamen Cipher oder Probleme mit dem Zertifikat), dann überträgt der Domino Server das Mail nicht. D.h. es gibt keinen Fallback auf unverschlüsselt. Das ist das was assono meint.
Bietet der Empfänger-Server aber gar kein TLS an, wird das Mail vom Domino Server unverschlüsselt übertragen. Required TLS wäre aber, dass das Mail dann auch nicht übertragen wird, die Übertragung also definitiv nur über eine verschlüsselte Verbindung stattfindet.

Lasst ihr denn die Mails aus dem Internet direkt vom Domino Server annehmen, oder habt ihr da ein Gateway dazwischen, das auch den ausgehenden Verkehr übernehmen könnte, und mehr Einstell-Möglichkeiten bezüglich TLS bietet?

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz