Diese Seite beschreibt, wie TLS verwendet wird und wie verschiedene TLS-Stufen in der seppmail.cloud erzwungen werden können.

 

Begriffe, die auf dieser Seite verwendet werden:

  • TLS: Transport Layer Security
  • DANE: DNS-based Authentication of Named Entities - ein Mechanismus zur Sicherung von TLS-Zertifikaten mit DNSSec-gesicherten TLSA-Einträgen.
  • DNSSEC: Ein Mechanismus zur Authentifizierung von DNS-Daten.
  • TLSA Record: Typ des DNS-Eintrags, der für die Veröffentlichung von Zertifikats-Fingerprints zur Verifikation verwendet wird.
  • MTA-STS: MTA Strict Transport Security - ein Mechanismus zur Förderung der TLS-Verwendung mit Hilfe einer auf einem Webserver veröffentlichten Policy-Datei.

 

Abschnitte auf dieser Seite:

 

anchor link Inline Inbound: Versand an seppmail.cloud

  • Alle unsere Systeme unterstützen standardmässig opportunistisches TLS.
  • Wenn eine Kundendomäne (Empfängerdomäne) DNSSec aktiviert hat, wird automatisch DANE bereitgestellt.
  • Eine Kundendomäne kann alternativ MTA-STS definieren, um die Zustellung über TLS zu fördern.
  • Wenn eine Kundendomäne weder DANE noch MTA-STS unterstützt, aber TLS für alle eingehenden Mails erzwungen werden soll, muss eine Supportanfrage gestellt werden. Als bessere Option empfehlen wir, DANE oder MTA-STS auf Kundenseite bereitzustellen.
  • Wenn eine Absender-Domain nur über enforce TLS ausliefern darf, muss eine Supportanfrage gestellt werden. Bitte beachten Sie, dass eine solche Änderung alle seppmail.cloud-Kunden betreffen würde. Als bessere Option empfehlen wir, dass die Kundendomäne DANE oder MTA-STS bereitstellt und der Absender dies auswertet oder TLS auf der Absenderseite erzwingt.

anchor link Parallel Inbound: Versand vom Kundenserver zur seppmail.cloud

  • Alle unsere Systeme erzwingen TLS. Dies ist eine globale Einstellung und es können keine Ausnahmen definiert werden.
  • Alle seppmail.cloud-Hostnamen haben einen TLSA-Eintrag, der eine zusätzliche DANE-Überprüfung ermöglicht, wenn der sendende Server dies unterstützt.

anchor link Versand von seppmail.cloud zum Kundenserver (inline inbound und parallel inbound/outbound)

  • Wenn der Kunde M365-Mail-Hosting verwendet, wird TLS immer über einen zertifikatsbasierten Konnektor erzwungen.
  • Wenn ein Kundenserver DANE unterstützt, dann wird TLS über DANE erzwungen.
  • Wenn ein Kundenserver DANE nicht unterstützt, wird opportunistisches TLS verwendet.
  • Wenn ein Kundenserver DANE nicht unterstützt, aber TLS zwingend erforderlich ist, muss eine Supportanfrage gestellt werden. Wir empfehlen, DANE auf Kundenseite bereitzustellen.

anchor link Inline Outbound: Versand vom Kundenserver zu seppmail.cloud

  • Alle seppmail.cloud-Hostnamen haben einen TLSA-Eintrag, der eine DANE-Überprüfung ermöglicht, wenn der sendende Server dies unterstützt.
  • Alle unsere Systeme unterstützen standardmässig opportunistisches TLS.
  • Wenn ein Kunde TLS erzwingen möchte, aber DANE nicht verwenden kann, muss eine Supportanfrage gestellt werden.

anchor link Inline Outbound: Versand von seppmail.cloud zu Empfänger

  • Wenn eine Empfängerdomäne DANE unterstützt, dann wird TLS über DANE erzwungen.
  • Wenn eine Empfängerdomäne MTA-STS unterstützt, dann wird TLS über MTA-STS erzwungen.
  • Wenn eine Empfängerdomäne sowohl DANE als auch MTA-STS unterstützt, wird DANE verwendet.
  • Wenn eine Empfängerdomäne weder DANE noch MTA-STS unterstützt, wird opportunistisches TLS verwendet. Bei Verbindungen zu M365 wird TLS immer forciert.
  • Wenn eine Empfängerdomäne weder DANE noch MTA-STS unterstützt, aber obligatorisches TLS erforderlich ist, muss eine Supportanfrage gestellt werden. Bitte beachten Sie, dass eine solche Änderung alle seppmail.cloud-Kunden betreffen würde. Als bessere Option empfehlen wir, DANE oder MTA-STS auf der Empfängerseite bereitzustellen.