Mailserver SSL/TLS?

    ok danke für die schnelle Antwort, eine andere Frage hätte ich noch.


    bei ispCP konnte ich als Serveradresse mail.domain.de angeben. Bei Liveconfig funktioniert das nicht mehr obwohl bei den DNS Einstellungen nur die IP geändert worden ist sonst nichts?

    Zitat

    Zurzeit erkennt Thunderbird "STARTTLS" mit "Verschlüsseltes Passwort"


    Ich verstehe das Problem nicht. TLS ist gewünscht und damit möglich. Gibt es ein Problem damit?


    Viele Grüße,


    Oskar Groh

    Computer sind unglaublich dumme Geräte,
    die unglaublich intelligente Sachen können.
    Programmierer sind unglaublich intelligente Leute,
    die unglaublich dumme Sachen produzieren.
    ("Die Presse", 30.8.1999)

    Bei Thunderbird gibt es 3 Optionen einmal ohne Sicherung und dann "STARTTLS" oder "SSL/TLS" mein Problem ist, wenn ich jetzt die Kunden auf den neuen Server portiere müssen die dann alle E-Mail-Einstellungen auch ändern.


    alte Einstellungen
    mail.domain.de SSL/TLS


    neue Einstellungen
    domain.de STARTTLS

    Ahso!


    Okay, das fällt bei mir aus, da wir die Kunden einzeln, geführt und gewollt auf neue Accounts und Servernamen umstellen um Altlasten los zu werden und ein neues, sauberes System aufzubauen. Und wenn ich das richtig interpretiere, dann ist SSL ohnehin das "alte" Protokoll und STARTTLS das deutlich flexiblere.


    Außerdem würde ich Seiteneffekte befürchten, wenn ich die Kunden quasi "unbemerkt" auf einen tatsächlich neuen Mailserver umleite, da ich nicht weiß, wie z. B. Thunderbird oder Outlook reagieren, wenn die Software merkt, dass das eigene Caching nicht mehr zum vermeindlich vertrauten Server passt.


    Also ich würd's nicht so machen.

    Computer sind unglaublich dumme Geräte,
    die unglaublich intelligente Sachen können.
    Programmierer sind unglaublich intelligente Leute,
    die unglaublich dumme Sachen produzieren.
    ("Die Presse", 30.8.1999)

    STARTTLS bedeutet in diesem Zusammenhang, dass sich Thunderbird über Port 25 (oder 587) mit dem Mailserver verbindet (quasi "unverschlüsselt"), und vor dem eigentlichen SMTP-Geplauder erst mal mit dem STARTTLS auf eine verschlüsselte Verbindung umschaltet.


    SSL/TLS heißt, dass sich Thunderbird via Port 465 (SMTPS) sofort mit SSL/TLS-Verschlüsselung verbindet. Hierzu gab es an anderer Stelle im Forum schon eine Diskussion - dieser Port ist eigentlich nicht standardkonform und bietet vor allem auch nicht mehr Sicherheit als STARTTLS auf Port 25/587.
    Ich werde morgen in die aktuelle Preview noch eine Möglichkeit einbauen, bei Bedarf SMTPS (Port 465) aktivieren zu können - empfohlen wird das aber nicht.


    Nicht zuletzt ist die inzwischen leider sehr häufig verwendete Variante mit "mail.domain.de" problematisch, weil die Kunden somit immer eine SSL-Warnmeldung bekommen (das SSL-Zertifikat ist ja auf einen anderen Namen ausgestellt!). Bittet man die Kunden nun, diese Warnmeldung zu ignorieren, dann kann man eigentlich auch auf eine Verschlüsselung verzichten, weil einer "Man-in-the-Middle-Attacke" alle Türen geöffnet sind.
    Wir empfehlen, den Kunden einen "allgemeinen" Mailserver-Namen zu nennen (z.B. "mx.provider.xx" oder "mail.provider.xx") und auf diesen auch das SSL-Zertifikat auszustellen. Falls nur ein einziger LiveConfig-Server eingesetzt wird, dann kann man z.B. auch so etwas wie "ssl.provider.xx" oder "secure.provider.xx" nutzen.


    Eine Migration wäre eigentlich die ideale Gelegenheit, die Kunden im Rahmen der Umstellung über die neuen Vorteile und verbesserten Sicherheitsrichtlinien zu informieren.


    Viele Grüße


    -Klaus Keppler

    Zitat von kk

    Nicht zuletzt ist die inzwischen leider sehr häufig verwendete Variante mit "mail.domain.de" problematisch, weil die Kunden somit immer eine SSL-Warnmeldung bekommen (das SSL-Zertifikat ist ja auf einen anderen Namen ausgestellt!).


    Genau das meinte ich mit Altlasten - man könnte es auch "ziemlich blöde Idee" oder "schlechte Angewohnheit" nennen. Das ist auf mich bezogen! Andere mögen das anders sehen.


    Zitat von kk

    Eine Migration wäre eigentlich die ideale Gelegenheit, die Kunden im Rahmen der Umstellung über die neuen Vorteile und verbesserten Sicherheitsrichtlinien zu informieren.


    Sag' ich doch! ;)


    Viele Grüße


    Oskar Groh

    Computer sind unglaublich dumme Geräte,
    die unglaublich intelligente Sachen können.
    Programmierer sind unglaublich intelligente Leute,
    die unglaublich dumme Sachen produzieren.
    ("Die Presse", 30.8.1999)

    Hallo,


    ich versuche gerade mich mit STARTTLS auf dovecot über IMAP (143) einzuloggen. Leider erhalte ich in Thunderbird die Fehlermeldung, dass TLS nicht verfügbar ist. In der mail.log steht folgendes:


    Zitat

    Sep 18 23:52:05 a250 dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=xxx.xxx.xxx.xxx, lip=xxx.xxx.xxx.xxx, session=<iDrS/l0DxxDZXxx+>


    Gut...


    Verbinde ich mich mit Telnet kommen folgende Antworten zustande:


    Zitat

    * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN AUTH=LOGIN AUTH=CRAM-MD5] server ready



    Logge ich mich wiederum mit SSL/TLS (IMAPS (993))ein kommt:


    Zitat

    Sep 18 23:50:08 a250 dovecot: imap-login: Login: user=<xxx@domain.de>, method=CRAM-MD5, rip=xxx.xxx.xxx.xxx, lip=xxx.xxx.xxx.xxx, mpid=30695, TLS, session=<iDrS/l0DxxDZXxx+>


    Das Zertifikat ist also richtig ausgestellt und wir auch korrekt bereitgestellt.



    Möchte ich jetzt eine Mail mit dem gleichen Account über STARTTLS versenden, klappt das ohne Probleme über den Port 587.



    Ich hoffe Ihr/Sie könnt mir helfen, damit ich mich auch mit STARTTLS auf den IMAP-Server einloggen kann.


    Viele Grüße,
    Marcel

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden