• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

TLS Verschlüsselung Standard einsehen

D

dontgetmewrong

Member
Registriert
7 Februar 2025
Beiträge
6
Reaktionspunkte
1
Guten Tag zusammen,

ich habe die Anforderung zu gewährleisten, dass der Mailverkehr TLS verschlüsselt ist.
Ein- und ausgehend am Besten.

Ich habe in der Dokumentation nur die folgende Einstellung gefunden:

SSL-/TLS-Konfiguration

docs.nospamproxy.com docs.nospamproxy.com

Hier steht ja, so wie ich´s verstehe, das grundsätzlich die Windows Werte benutzt werden.
Wo kann ich prüfen welche TLS Versionen aktiv sind? IIS Crypto habe ich bereits installiert und könnte hier "Best Practice" setzen.

Gilt das dann für ein und ausgehend?
Und kann ich sicher sein, dass TLS erzwungen wird oder kann es auch Mails ohne TLS geben?

Oder ist es allgemein sinnvoller, diese "empfohlenen Einstellungen" von NSP anzuwenden?

Welches Zertifikat wird hierfür verwendet, bzw. wie kann ich das einsehen, denn ich muss die Gültigkeit des Schlüssels dokumentieren 😵‍💫🥳

Ich weiß - viele Fragen

Ich danke euch schon mal!

Viele Grüße

Pat
 
Hey Pat,
für die ausgehenden E-mails kannst Du das am besten beim ausgehenden Sendekonnektor erzwingen. https://docs.nospamproxy.com/Server...ng/send-connectors-outbound-creating-smtp.htm. Wenn Du es dort erzwingst, geht keine E-mail mehr ohne TLS-Verschlüsselung raus.

Eingehend kannst Du das auf zwei Art und Weisen lösen.
1) Im Empfangskonnektor https://docs.nospamproxy.com/Server...-routing/receive-connectors-creating-smtp.htm kannst Du es erzwingen. Dann kann euch niemand mehr eine E-mail übermitteln, ohne TLS zu verwenden.
2) Im Reputationsfilter kannst Du die Prüfung für TLS verschärfen, indem Du die Strafpunkte auf mindestens 4 SCL-Punkte anhebst. https://docs.nospamproxy.com/Server/15/Suite/en-gb/Content/filters/Reputationsfilter.htm
In diesem Fall ist es jedoch möglich, dass diese Bewertung durch Level of Trust Punkte überschrieben werden kann. Sprich: Ein bekannter Kommunikationspartner kann an euch E-mails ohne TLS schicken. Das setzt aber voraus, dass ihr demjenigen vorher eine E-Mail ausgehend geschickt habt.

Hope this helps.
Gruß Stefan
 
Hallo Pat,

vorab: super das auch andere Unternehmen das aktiv treiben :cool:! Darf ich fragen, Stichwort: DORA?

Um die Anforderung umzusetzen das nur noch verschlüsselt kommuniziert werden darf, am Besten wie von Stefan beschrieben das "Verlange STARTTLS" bei den Konnektoren setzen.

Das weiterführende Thema wäre dann: "Wie qualitativ ist die Verschlüsselung..."

TLS 1.0 oder 1.3
Schwache Cipher oder starke mit PFS.

IIS Crypto ist ein Ansatz bzw. ein gutes Werkzeug.

Um nicht doppelt zu tippen verlinke ich einmal mein Artikel zu dem Thema. Thread

Bitte bedenke das deine Cipherauswahl mit deinem Umfeld passen sollte, es sei den ihr habt dickes Fell 😅

Wenn ihr ordentlich härtet und eure Umfeld darauf nicht klarkommt und der E-Mailfluss steht.

LG
Fabian
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

F
  • Artikel Artikel
Anleitung TLS-Serverhärtung in Bezug auf NSP (Basis: IIS Crypto)
Antworten
1
Aufrufe
202
MichiH
M
M
TLS 1.3 und Windows Server 2019
Antworten
11
Aufrufe
1K
869288141
8
D
Benutzereinträge Partner
Antworten
3
Aufrufe
2K
dimitri.k
D
Zurück
Oben