Jump to content
Pitti259

DNSSEC Zertifikat prüfen

Recommended Posts

vor 18 Minuten schrieb Pitti259:

Richtig oder Falsch?

Fraschtig. ;) Falls du mit "Zwischenstationen" sowas wie Router auf dem Weg von dir zum Empfängerhost meinst, dann richtig. WEnn du meinst Zwischenstation "beliebige Relays" auf dem Weg zum Empfänger_postfach_.

 

Deine transportverschlüsselung kannst du logischerweise nur mit einem (End-)system herstellen. Ob das dann schon in der Verwaltung des Kunden liegt, oder überhaupt das richtige System ist sagt dir niemand. Auf genau dieser Verbindung ist dann allerdings mittels der Transportverschlüsselung sichergestellt, dass eben nur du (Absender) und der Empfänger die Information lesen kann. Was dann danach mit der Nachricht passiert kannst du als Absender sowieso nicht beeinflussen.

 

Bye

Norbert

Share this post


Link to post

Moin,

 

nein, die Annahme ist in aller Regel falsch. Die Verbindung wird zwischen Quell- und Zielserver direkt aufgebaut, ein Store-and-Forward findet nicht statt.

 

Der Einwand von @Dukel und @testperson bezieht sich, soweit ich ihn verstehe, auf die Fortsetzung der Mailkette innerhalb der Zielorganisation. Da kann es weitere Mailserver geben, zu denen der Transportweg von außen unbekannt ist und der auch nicht von außen abzusichern ist.

 

Gruß, Nils

 

 

Share this post


Link to post

Die Mailkette kann ja auch schon vor der Zielorganisation (teilweise und/oder ggfs. unbewusst) außerhalb der Hände beider Beteiligter liegen. Es ist ja leider nicht so unüblich, dass man Mails bei Hostern (Strato, 1und1, Host Europe und Co.) einliefert und es ab da "abenteuerlich" weitergeht. Hier und da finden sich dann evtl. noch "Backup MX" von Providern.

 

Natürlich läuft dann E-Mail-technisch bei der Zielorganisation vermutlich was nicht richtig. Da hilft dann aber eben auch kein Mailgateway, welches auf dem ersten Hop mit "sicheren Ciphern" und vertrauenswürdigen Zertifikaten TLS erzwingt. 

Share this post


Link to post

Moin,

 

vor 13 Minuten schrieb testperson:

Es ist ja leider nicht so unüblich, dass man Mails bei Hostern (Strato, 1und1, Host Europe und Co.) einliefert und es ab da "abenteuerlich" weitergeht.

ja, gibt es. Das ist dann aber nicht die Serverkette, die der TO vermutet hat, sondern ein schlechter Aufbau, den es immer irgendwo geben kann (auch wenn man Ende-zu-Ende verschlüsselt). Aus DSGVO-Sicht wäre ein solches Konstrukt wohl dem Empfänger zuzuordnen. Dadurch wäre ich als Sender wahrscheinlich aus der Verantwortung raus (auch wenn das der Person, deren Daten da übermittelt werden, materiell wenig nützt).

 

Mailrouting unterscheidet sich von IP-Routing, das ist der Punkt, auf den ich hinauswollte. In aller Regel findet die Zustellung nun mal direkt statt, Mails werden nicht wie IP-Pakete irgendwo abgegeben in der Hoffnung, dass sie von da aus schon irgendwie weiterkommen.

 

Gruß, Nils

 

Share this post


Link to post
vor 45 Minuten schrieb Pitti259:

Jetzt nochmals für die kleinen Dummies wie mich.

 

Meine Annahme: Wenn ich eine Transportverschlüsselung mit mx.Zielserver.com initiiere, wandert meine E-Mail zwar über n andere Server, ist aber bis zum Zielserver verschlüsselt und kann auf den Zwischenstationen nicht gelesen werden.

 

Richtig oder Falsch?

 

Wenn ich testperson richtig interpretiere, würde immer nur zwischen den einzlnen Vermittlungsservern eine TLS aufgebaut. Auf den Zwischenstationen wäre also meine Mail lesbar. :shock2:

Jein - inzwischen lehnen alle Server die ich kennen Transport ohne TLS >= 1.1 ab, das ist inzwischen Standard geworden, MS hat dort mit O365 die treibende Kraft gespielt

Share this post


Link to post

Vielleicht nochmal kurz zum Umgang mit den Zwischensystemen / Zwischen-Hops:


Grundsätzlich ja, richtig gemachte Transportverschlüsselung (die "qualifizierte") stellt sicher, dass innerhalb eines SMTP-Hops (also der Übertragung von einem Mailsystem zum nächsten) keine Routing- und sonstige Netzwerkknoten mitlesen können. Aber natürlich liegt die Mail auf jedem Mailsystem (bei jedem Zwischen-Hop), das Endpunkt eines transportverschlüsselten Hops ist, im Klartext lesbar vor.


Aus Datenschutz-Sicht kann man aber jedes dieser Zwischensysteme entweder der Absender- oder der Empfänger-Hoheit zuordnen. Das letzte System des Absenders ist genau das, welches die Übertragung an das MX-System der Empfänger-Domain vornimmt (mx.Zielserver.com im Beispiel von @Pitti259), welches naturgemäß das erste System des Empfängers ist.
Für Unternehmen heißt das: Wenn ausgelagerte Mail-Systeme über Dienstleister (z.B. Strato, 1&1 und Co.) betrieben werden, liegt das, was dort mit der Mail passiert, trotzdem in der Verantwortung des Unternehmens. Dafür gibt es in der DSGVO die Auftragsverarbeitungsverträge. So einen sollte man mit jedem Dienstleister, der Daten verarbeitet (worunter Mails weiterzuleiten nunmal fällt) abschließen. Darin wird z.B. festgehalten, wie der Dienstleister die Daten verarbeitet und wie er sicherstellt, dass vor allem die personenbezogenen Daten nicht in falsche Hände gelangen.

 

Es hat also aus Datenschutz-Sicht sowohl die Absender-Organisation ihre "Kette von Mail-Systemen" vertraglich zu kontrollieren (und damit technisch/organisatorisch), wie auch die Empfänger-Organisation die ihre. Der einzige Hop, der sich vertraglich in der Breite eben nicht kontrollieren lässt, ist der Übergang vom letzten Absender- zum ersten Empfängersystem, deswegen wird dieser von der DSK so stark thematisiert. Insgesamt bietet dieses ganze Vorgehen natürlich keine absolute technische Kontrolle (wie sie mit E2E-Verschlüsselung eher möglich wäre), aber eine aus Gesetzgebersicht genügende Sicherheit für die verarbeiteten personenbezogenen Daten.

 

vor 18 Stunden schrieb Nobbyaushb:

Jein - inzwischen lehnen alle Server die ich kennen Transport ohne TLS >= 1.1 ab, das ist inzwischen Standard geworden, MS hat dort mit O365 die treibende Kraft gespielt

Dazu noch was Interessantes:
Es ist richtig, dass viele große Hoster auf ihrer Posteingangsseite, also als Empfänger, mittlerweile restriktiv gegenüber einer zu alten TLS-Version beim Absender sind.
Lustiger- oder erschreckenderweise gilt das andersrum nicht.
Wenn z.B. Mails von O365 ausgehend versendet werden (aber auch von jedem anderen Hoster), wird die Mail auch dann an das MX-System des Empfängers zugestellt, wenn dieses nur TLS 1.0 anbietet.

 

Wer das selber testen möchte - Wir haben dafür einen Testserver im Netz, der absichtlich alle möglichen Mängel bei der Verschlüsselung aufweist, z.B.:

  • nur TLS 1.0, kein TLS 1.1-1.3
  • RSA nur mit 1024bit
  • nur solche Ciphers, die vom BSI explizit _nicht_ empfohlen werden.

Ergebnis: Jeder Mailserver schickt trotzdem dahin. 

Edited by comcrypto
  • Like 1

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...