Navigation:  Referenz der Menüpunkte > Mail System >

LinkAdd TLS Domain

 Previous pageReturn to chapter overviewNext page

Dieses Sub-Menü wird aus Mail System TLS settings aufgerufen.

 

LinkSektion Domain info

 

Parameter

Beschreibung

LinkDomain name

In der Regel wird hier der Name der E-Mail Domäne des Kommunikationspartners eingetragen.

Diese Einstellung ist nur beim Anlegen einer neuen TLS-Verbindung - das heisst wenn das Menü über die Schaltfläche Add TLS Domain... aufgerufen wurde - editierbar.

LinkOptional

forwarding server

address

Wird an dieser Stelle kein Eintrag vorgenommen, so wird der unter Domain Name angegebene Name per MX aufgelöst.

 

Als Eingabe wird folgendes akzeptiert:

 

IP-Adresse

einzelne IP-Adresse

 

Hostname

wird ein Hostname verwendet, so ist dieser in eckige Klammern [ ] zu setzen. Namen ohne Klammern werden als MX-Eintrag behandelt

 

MX-Name

MX-lookup wird ausgeführt (siehe gegebenenfalls auch System DNS add local zone)

 

Optional ist bei Angabe einer IP-Adresse oder eines Host-Namens zusätzlich die Angabe eines individuellen Ports möglich. Dieser wird direkt im Anschluss mit einem Doppelpunkt «:» getrennt angegeben, also «IP-Adresse:Port» oder «Hostname:Port».

Wird kein Port angegeben, so wird der Standard SMTP Port TCP25 verwendet.

 

hint

LinkHinweis:

Der hier optional eingegebene Server übersteuert das eingestellte Standard Routing (siehe Mail System Outgoing server) zu der unter Domain name angegebenen Zieldomäne.

Das heisst alle E-Mails an die unter Domain name genannte E-Mail Domäne werden direkt an die hier eingegebene Adresse geroutet!

 

 

LinkSektion TLS settings

 

Über die TLS settings wird der Grad der Prüfungen für eine TLS-Verbindung zum Ziel-Server im Internet, zum Outgoing server (siehe Mail System) beziehungsweise zu den jeweiligen Groupware- also Forwarding server (siehe Tabelle unter Mail System Managed domains Spalte Server IP address) eingestellt.

 

hint

LinkHinweis:

Mit dieser Einstellung wird lediglich TLS zur Ziel-Domäne beziehungsweise zum Ziel-Server konfiguriert.

Das Entgegennehmen einer eingehenden Verbindung kann nicht eingestellt werden. Unter anderem vermittelt deshalb TLS häufig eine «falsche» Sicherheit.

Für das Entgegennehmen von TLS Verbindungen wird das unter SSL eingebundene Zertifikat verwendet.

 

hint

LinkHinweis:
Wird hier keine Konfiguration vorgenommen, so gilt die Einstellung «may» (siehe folgende Tabelle) . Das heisst, unterstützt das nachgelagerte E-Mail System TLS, so wird das SEPPmail Secure E-Mail Gateway eine TLS-verschlüsselte Verbindung dorthin aufbauen.

 

TLS-Einstellung

Beschreibung

LinkRadioButtonInactive None

Keine TLS-Verschlüsselung.

LinkRadioButtonActive May

E-Mails werden über einen TLS-verschlüsselten Kanal versendet, falls der empfangende E-Mail Server TLS-Verschlüsselung unterstützt.

LinkRadioButtonInactive Encrypt

E-Mails werden nur versendet, falls der Versand mittels TLS-Verschlüsselung möglich ist.

LinkRadioButtonInactive Verify

E-Mails werden nur versendet, falls der Versand via TLS-Verschlüsselung möglich und das SSL Zertifikat des empfangenden E-Mail Servers gültig ist (Ausgestellt von einer vertrauenswürdigen CA und nicht abgelaufen/revoziert).

LinkRadioButtonInactive Secure

E-Mails werden nur versendet, falls der Versand via TLS-Verschlüsselung möglich, das SSL Zertifikat des empfangenden E-Mail Servers gültig, der FQDN des E-Mail Servers identisch mit dem im Zertifikat (Antragsteller) eingetragenen Namen (CN) und der Name der E-Mail Domäne identisch mit dem Domänen Namen des E-Mail Servers ist.

Somit wir ein MX-Spoofing verhindert.

Das Verwenden von Wildcard-Zertifikaten ist an dieser Stelle nicht möglich.

 

Beispiel:

1.Versand einer E-Mail an max.mustermann@partner.tld

a.MX-Lookup ergibt
partner.tld MX preference=10, mail exchanger=mail1.partner.tld
partner.tld MX preference=20, mail exchanger=mail2.partner.tld

b.Jeder dieser Server hat in seinem für TLS verwendeten Zertifikat als CN seinen FQDN eingetragen.

c.Der Domainname aller hosts (mail1, mail2) lautet auf partner.tld und stimmt somit mit dem Domainname der E-Mail Domäne überein.
=> Überprüfung bei der Einstellung «secure“ ist erfolgreich

 

2.Annahme:
Das Unternehmen mit der E-Mail Domäne kommunikationspartner.tld betreibt diese Domäne auch mit einer anderen Länderdomäne (com).
Versand einer E-Mail an erika.mustermann@kommunikationspartner.com

a.MX Lookup ergibt
partner.com MX preference=10, mail exchanger=mail2.partner.tld
partner.com MX preference=20, mail exchanger=mail4.partner.tld

a.Der Domainname der E-Mail Domäne partner.com stimmt nicht mit dem der Mailserver – partner.tld – überein
=> Die Überprüfung schlägt fehl

 

Fazit:

Für die E-Mail Domäne partner.tld kann der TLS Security Level auf «secure“ belassen bleiben.

Sollte der Security Level «verify“ für die Maildomäne partner.com nicht ausreichend sein, so muss der Level «Fingerprint“ verwendet werden. Hierzu sind die Fingerprints aller Mailserver (mail1 und mail2.kommunikationspartner.com) einzutragen.

 

hint

LinkHinweis:

Wird anstatt eines MX Lookups ein Host direkt adressiert, so entfällt das Prüfen des Übereinstimmens des Hostnamens aus dem Domänenteil der E-Mail Adresse mit dem Mail Exchanger.

Das heisst, würde in «2.Annahme“ als Forwarding Server anstatt «kommunikationspartner.com“ zum Beispiel «[mail2.partner.tld]“ eingetragen, so wäre die Überprüfung bei der Einstellung «secure“ erfolgreich.

Dies ist insbesondere bei Microsoft 365 Anbindungen relevant.

LinkRadioButtonInactive Fingerprint

E-Mails werden nur versendet, die Gegenstelle TLS unterstützt und das vorgezeigte Zertifikat den im Eingabefeld eingetragenen Fingerprint besitzt.

Stehen für die Ziel-Domäne mehrere E-Mail Server zur Verfügung, so können deren Fingerprints getrennt durch Pipe «|» eingetragen werden,

 

Die vorgenommenen Änderungen werden über die Schaltfläche Save changes gespeichert.

 

 

LinkErklärende Anmerkungen:

 

Überprüfen des empfangenden E-Mail Servers auf die Verwendung eines Wildcard-SSL Zertifikats

 

Ob ein E-Mail Server ein Wildcard-SSL Zertifikat verwendet kann sehr einfach mit dem Kommandozeilentool OpenSSL durchgeführt werden.

 

Beispiel:

 

# openssl s_client -starttls smtp -crlf -connect xxx.xxx.xxx.xxx:25

 

 

Im Beispiel steht xxx.xxx.xxx.xxx für die tatsächliche IP-Adresse des Zielservers. Alternativ kann der Hostname des Zielservers verwendet werden.

 

# openssl s_client -starttls smtp -crlf -connect postini.com.s8a1.psmtp.com:25

 

 

Das Ergebnis der Abfrage wird wie unten dargestellt aussehen. Anhand des Zertifikats-Subject im Parameter CN kann festgestellt werden, ob es sich um ein Wildcard-SSL Zertifikat handelt. Im Beispiel wurde in der Antwort der Wert CN=*.psmtp.com zurückgegeben. Somit handelt es sich um ein Wildcard-Zertifikat «*», welches für alle Hosts der Domain psmtp.com verwendet werden kann. Ebenfalls interessant ist der Parameter X509v3 Subject Alternative Name:. Als Wert wird hier DNS:*.psmtp.com zurückgegeben. In diesem Feld können noch weitere Domains enthalten sein.

 

 

# openssl s_client -starttls smtp -crlf -connect postini.com.s8a1.psmtp.com:25 | openssl x509 -text -noout
 
 depth=1 C = US, O = Google Inc, CN = Google Internet Authority
 .
 .
 Certificate:
         .
         .
  Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=*.psmtp.com
         .
         .
         .
     X509v3 Subject Alternative Name:
    DNS:*.psmtp.com

 

 

Die Darstellung der Ausgabe wurde auf die wesentlichen Informationen reduziert.

 

LinkAuslesen des SHA1-Fingerprint aus dem SSL Zertifikat des empfangenden E-Mail Servers

 

Einen Schritt zuvor wurde beschrieben, wie das vom empfangenden E-Mail Server verwendete SSL Zertifikat ausgelesen werden kann. Dabei ist es nicht relevant, ob es sich hierbei um ein Wildcard-Zertifikat handelt oder nicht.

 

Der Fingerprint eines SSL Zertifikats kann relativ einfach mir dem Kommandozeilentool OpenSSL ausgelesen werden.

 

Beispiel:

 

# openssl s_client -starttls smtp -crlf -connect xxx.xxx.xxx.xxx:25 | openssl x509 -noout -fingerprint

 

 

Auch in diesem Beispiel steht xxx.xxx.xxx.xxx für die tatsächliche IP-Adresse des Zielservers, welche alternativ durch den Hostnamen des Zielservers ersetzt werden kann.

 

# openssl s_client -starttls smtp -crlf -connect postini.com.s8a1.psmtp.com:25 | openssl x509 -noout -fingerprint

 

 

Die daraus resultierende Ausgabe sollte wie folgt aussehen:

 

# openssl s_client -starttls smtp -crlf -connect postini.com.s8a1.psmtp.com:25 | openssl x509 -noout -fingerprint
 
depth=1 C = US, O = Google Inc, CN = Google Internet Authority
verify error:num=20:unable to get local issuer certificate
verify return:0
250 HELP
SHA1 Fingerprint=DD:9A:EC:66:E2:43:81:B9:20:2B:75:DB:30:C8:67:CC:9B:B0:D1:99
read:errno=0

 

 

In der Ausgabe wird der benötigte SHA1 Fingerprint angezeigt. Dieser Wert kann nun in die Konfiguration übernommen werden.