Dieses Sub-Menü wird aus Mail System TLS settings aufgerufen.
Abschnitte auf dieser Seite:
Parameter |
Beschreibung |
||||||||
|---|---|---|---|---|---|---|---|---|---|
In der Regel wird hier der Name der E-Mail Domäne des Kommunikationspartners eingetragen. Diese Einstellung ist nur beim Anlegen einer neuen TLS-Verbindung - das heißt wenn das Menü über die Schaltfläche Add TLS Domain... aufgerufen wurde - editierbar. |
|||||||||
|
forwarding server address |
Wird an dieser Stelle kein Eintrag vorgenommen, so wird der unter Domain Name angegebene Name per MX aufgelöst.
Als Eingabe wird folgendes akzeptiert:
Optional ist bei Angabe einer IP-Adresse oder eines Host-Namens zusätzlich die Angabe eines individuellen Ports möglich. Dieser wird direkt im Anschluss mit einem Doppelpunkt „:“ getrennt angegeben, also „IP-Adresse:Port“ oder „Hostname:Port“. Wird kein Port angegeben, so wird der Standard SMTP Port TCP25 verwendet.
|
Über die TLS settings wird der Grad der Prüfungen für eine TLS-Verbindung zum Ziel-Server im Internet, zum Outgoing server (siehe Mail System) beziehungsweise zu den jeweiligen Groupware- also Forwarding server (siehe Tabelle unter Mail System Managed domains Spalte Server IP address) eingestellt.
|
Mit dieser Einstellung wird lediglich TLS zur Ziel-Domäne beziehungsweise zum Ziel-Server konfiguriert. Das Entgegennehmen einer eingehenden Verbindung kann nicht eingestellt werden. Unter anderem vermittelt deshalb TLS häufig eine „falsche“ Sicherheit. Für das Entgegennehmen von TLS Verbindungen wird das unter SSL eingebundene Zertifikat verwendet. |
TLS-Einstellung |
Beschreibung |
||
|---|---|---|---|
Keine TLS-Verschlüsselung. |
|||
E-Mails werden über einen TLS-verschlüsselten Kanal versendet, falls der empfangende E-Mail Server TLS-Verschlüsselung unterstützt. |
|||
E-Mails werden nur versendet, falls der Versand mittels TLS-Verschlüsselung möglich ist. |
|||
E-Mails werden nur versendet, falls der Versand via TLS-Verschlüsselung möglich und das SSL Zertifikat des empfangenden E-Mail Servers gültig ist (Ausgestellt von einer vertrauenswürdigen CA und nicht abgelaufen/revoziert). |
|||
E-Mails werden nur versendet, falls der Versand via TLS-Verschlüsselung möglich, das SSL Zertifikat des empfangenden E-Mail Servers gültig, der FQDN des E-Mail Servers identisch mit dem im Zertifikat (Antragsteller) eingetragenen Namen (CN) und der Name der E-Mail Domäne identisch mit dem Domänen Namen des E-Mail Servers ist. Somit wir ein MX-Spoofing verhindert. Das Verwenden von Wildcard-Zertifikaten ist an dieser Stelle nicht möglich.
Beispiel: 1.Versand einer E-Mail an max.mustermann@partner.tld a.MX-Lookup ergibt b.Jeder dieser Server hat in seinem für TLS verwendeten Zertifikat als CN seinen FQDN eingetragen. c.Der Domainname aller hosts (mail1, mail2) lautet auf partner.tld und stimmt somit mit dem Domainname der E-Mail Domäne überein.
2.Annahme: a.MX Lookup ergibt a.Der Domainname der E-Mail Domäne partner.com stimmt nicht mit dem der Mailserver – partner.tld – überein
Fazit: Für die E-Mail Domäne partner.tld kann der TLS Security Level auf „secure“ belassen bleiben. Sollte der Security Level „verify“ für die Maildomäne partner.com nicht ausreichend sein, so muss der Level „Fingerprint“ verwendet werden. Hierzu sind die Fingerprints aller Mailserver (mail1 und mail2.kommunikationspartner.com) einzutragen.
|
|||
E-Mails werden nur versendet, die Gegenstelle TLS unterstützt und das vorgezeigte Zertifikat den im Eingabefeld eingetragenen Fingerprint besitzt. Stehen für die Ziel-Domäne mehrere E-Mail Server zur Verfügung, so können deren Fingerprints getrennt durch Pipe „|“ eingetragen werden, |
Die vorgenommenen Änderungen werden über die Schaltfläche Save changes gespeichert.
Überprüfen des empfangenden E-Mail Servers auf die Verwendung eines Wildcard-SSL Zertifikats
Ob ein E-Mail Server ein Wildcard-SSL Zertifikat verwendet kann sehr einfach mit dem Kommandozeilentool OpenSSL durchgeführt werden.
Beispiel:
# openssl s_client -starttls smtp -crlf -connect xxx.xxx.xxx.xxx:25
Im Beispiel steht xxx.xxx.xxx.xxx für die tatsächliche IP-Adresse des Zielservers. Alternativ kann der Hostname des Zielservers verwendet werden.
# openssl s_client -starttls smtp -crlf -connect postini.com.s8a1.psmtp.com:25
Das Ergebnis der Abfrage wird wie unten dargestellt aussehen. Anhand des Zertifikats-Subject im Parameter CN kann festgestellt werden, ob es sich um ein Wildcard-SSL Zertifikat handelt. Im Beispiel wurde in der Antwort der Wert CN=*.psmtp.com zurückgegeben. Somit handelt es sich um ein Wildcard-Zertifikat „*“, welches für alle Hosts der Domain psmtp.com verwendet werden kann. Ebenfalls interessant ist der Parameter X509v3 Subject Alternative Name:. Als Wert wird hier DNS:*.psmtp.com zurückgegeben. In diesem Feld können noch weitere Domains enthalten sein.
# openssl s_client -starttls smtp -crlf -connect postini.com.s8a1.psmtp.com:25 | openssl x509 -text -noout
depth=1 C = US, O = Google Inc, CN = Google Internet Authority
.
.
Certificate:
.
.
Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=*.psmtp.com
.
.
.
X509v3 Subject Alternative Name:
DNS:*.psmtp.com
Die Darstellung der Ausgabe wurde auf die wesentlichen Informationen reduziert.
Auslesen des SHA1-Fingerprint aus dem SSL Zertifikat des empfangenden E-Mail Servers
Einen Schritt zuvor wurde beschrieben, wie das vom empfangenden E-Mail Server verwendete SSL Zertifikat ausgelesen werden kann. Dabei ist es nicht relevant, ob es sich hierbei um ein Wildcard-Zertifikat handelt oder nicht.
Der Fingerprint eines SSL Zertifikats kann relativ einfach mir dem Kommandozeilentool OpenSSL ausgelesen werden.
Beispiel:
# openssl s_client -starttls smtp -crlf -connect xxx.xxx.xxx.xxx:25 | openssl x509 -noout -fingerprint
Auch in diesem Beispiel steht xxx.xxx.xxx.xxx für die tatsächliche IP-Adresse des Zielservers, welche alternativ durch den Hostnamen des Zielservers ersetzt werden kann.
# openssl s_client -starttls smtp -crlf -connect postini.com.s8a1.psmtp.com:25 | openssl x509 -noout -fingerprint
Die daraus resultierende Ausgabe sollte wie folgt aussehen:
# openssl s_client -starttls smtp -crlf -connect postini.com.s8a1.psmtp.com:25 | openssl x509 -noout -fingerprint
depth=1 C = US, O = Google Inc, CN = Google Internet Authority
verify error:num=20:unable to get local issuer certificate
verify return:0
250 HELP
SHA1 Fingerprint=DD:9A:EC:66:E2:43:81:B9:20:2B:75:DB:30:C8:67:CC:9B:B0:D1:99
read:errno=0
In der Ausgabe wird der benötigte SHA1 Fingerprint angezeigt. Dieser Wert kann nun in die Konfiguration übernommen werden.
