Das SEPPmail Secure E-Mail Gateway nutzt im Normalfall „opportunistisches TLS“. Somit wird immer dann TLS genutzt, wenn der gegenüberliegenden E-Mail Server beziehungsweise MTA (Mail Transfer Agent) dies anbietet. Dabei wird jeweils der maximal möglich Verschlüsselungsgrad angewendet. TLS stellt eine, im Normalfall zusätzliche, Verschlüsselung des Transportweges dar.
Soll TLS erzwungen werden, so steht im SEPPmail Secure E-Mail Gateway die Möglichkeit des Verwaltens einzelner Ziele - E-Mail Domänen und/oder E-Mail Server - bereit. Dabei kann zwischen den für Postfix typischen Stufen gewählt werden.
Stufe |
Beschreibung |
|---|---|
(none) |
Keine TLS-Verschlüsselung |
may |
(Standard) Opportunistisch |
encrypt |
E-Mails werden nur versendet, falls der Versand mittels TLS-Verschlüsselung möglich ist. |
verify |
E-Mails werden nur versendet, falls der Versand via TLS-Verschlüsselung möglich, und das SSL Zertifikat des empfangenden E-Mail Servers gültig ist. |
secure |
E-Mails werden nur versendet, falls der Versand via TLS-Verschlüsselung möglich, das SSL Zertifikat des empfangenden E-Mail Servers gültig, der FQDN des E-Mail Servers identisch mit dem im Zertifikat (Antragsteller) eingetragenen Namen (CN) und der Name der E-Mail Domäne identisch mit dem Domänen Namen des E-Mail Servers ist. |
fingerprint |
E-Mails werden nur versendet, falls der Versand via TLS-Verschlüsselung möglich ist und das SSL Zertifikat des empfangenden E-Mail Servers dem eingetragenen Fingerprint entspricht. |
TLS „gezielt“ als Ersatz für eine Verschlüsselung von E-Mails zu verwenden, ist jedoch nicht zu empfehlen. Dies hat folgende Gründe:
•TLS kann immer nur bis zum nächsten MTA gewährleistet werden. Ob und wie ab diesem MTA weiter verschlüsselt wird, ist für den Absender nicht ersichtlich.
Da immer mehr Firmen Cloud–Dienste für das Filtern von Spam E-Mails verwenden, reicht diese Art des Verschlüsselns in der Regel nicht aus.
•Als tatsächlich sicher sind nur die Stufen „Fingerprint“ oder „DANE“ zu betrachten. Alle anderen Sicherheitsstufen können beispielsweise durch DNS Spoofing - ausgehebelt werden.
•Das Verwalten von TLS Strecken erzeugt hohen Administrationsaufwand
Da TLS als „kleinster gemeinsamer Nenner“ auf praktisch jedem MTA verfügbar ist, kommt diese Art des Verschlüsselns relativ häufig - insbesondere in der Punkt zu Punkt Kommunikation zwischen Unternehmen - zum Einsatz.
Auch diese Verschlüsselungstechnologie ist Bestandteil der SEPPmail Secure E-Mail Gateway Grundlizenz und muss nicht per User lizensiert werden.
