Gelöst TLS Verschlüsselung Standard einsehen

[dontgetmewrong]

Guten Tag zusammen,

ich habe die Anforderung zu gewährleisten, dass der Mailverkehr TLS verschlüsselt ist.
Ein- und ausgehend am Besten.

Ich habe in der Dokumentation nur die folgende Einstellung gefunden:

SSL-/TLS-Konfiguration

docs.nospamproxy.com

Hier steht ja, so wie ich´s verstehe, das grundsätzlich die Windows Werte benutzt werden.
Wo kann ich prüfen welche TLS Versionen aktiv sind? IIS Crypto habe ich bereits installiert und könnte hier "Best Practice" setzen.

Gilt das dann für ein und ausgehend?
Und kann ich sicher sein, dass TLS erzwungen wird oder kann es auch Mails ohne TLS geben?

Oder ist es allgemein sinnvoller, diese "empfohlenen Einstellungen" von NSP anzuwenden?

Welches Zertifikat wird hierfür verwendet, bzw. wie kann ich das einsehen, denn ich muss die Gültigkeit des Schlüssels dokumentieren

Ich weiß - viele Fragen

Ich danke euch schon mal!

Viele Grüße

Pat

 

[StefanCink]

Hey Pat,
für die ausgehenden E-mails kannst Du das am besten beim ausgehenden Sendekonnektor erzwingen. https://docs.nospamproxy.com/Server...ng/send-connectors-outbound-creating-smtp.htm. Wenn Du es dort erzwingst, geht keine E-mail mehr ohne TLS-Verschlüsselung raus.

Eingehend kannst Du das auf zwei Art und Weisen lösen.
1) Im Empfangskonnektor https://docs.nospamproxy.com/Server...-routing/receive-connectors-creating-smtp.htm kannst Du es erzwingen. Dann kann euch niemand mehr eine E-mail übermitteln, ohne TLS zu verwenden.
2) Im Reputationsfilter kannst Du die Prüfung für TLS verschärfen, indem Du die Strafpunkte auf mindestens 4 SCL-Punkte anhebst. https://docs.nospamproxy.com/Server/15/Suite/en-gb/Content/filters/Reputationsfilter.htm
In diesem Fall ist es jedoch möglich, dass diese Bewertung durch Level of Trust Punkte überschrieben werden kann. Sprich: Ein bekannter Kommunikationspartner kann an euch E-mails ohne TLS schicken. Das setzt aber voraus, dass ihr demjenigen vorher eine E-Mail ausgehend geschickt habt.

Hope this helps.
Gruß Stefan

 

[Fabian]

Hallo Pat,

vorab: super das auch andere Unternehmen das aktiv treiben ! Darf ich fragen, Stichwort: DORA?

Um die Anforderung umzusetzen das nur noch verschlüsselt kommuniziert werden darf, am Besten wie von Stefan beschrieben das "Verlange STARTTLS" bei den Konnektoren setzen.

Das weiterführende Thema wäre dann: "Wie qualitativ ist die Verschlüsselung..."

TLS 1.0 oder 1.3
Schwache Cipher oder starke mit PFS.

IIS Crypto ist ein Ansatz bzw. ein gutes Werkzeug.

Um nicht doppelt zu tippen verlinke ich einmal mein Artikel zu dem Thema. Thread

Bitte bedenke das deine Cipherauswahl mit deinem Umfeld passen sollte, es sei den ihr habt dickes Fell

Wenn ihr ordentlich härtet und eure Umfeld darauf nicht klarkommt und der E-Mailfluss steht.

LG
Fabian

 

[869288141]

Bitte bedenke das deine Cipherauswahl mit deinem Umfeld passen sollte, es sei den ihr habt dickes Fell

Bitte nur Hand anlegen, wenn du weißt was du tust.

NSP greift dafür auf die Implementierung von Windows zurück - heißt Schannel. D.h. die Anpassung der Protokolle und Cipher Suites gilt nicht nur für NSP, sondern für den Windows Server und alle anderen Appliktionen, welche auf Scannel zurückgreifen. Da kannst du auch ganz schnell die Kommunikation mit eine Softwareverteilung, Fernwartung oder sogar die Anbindung zu einem AD/DC killen.

Erst am Freitag Abend um 21 Uhr einen Kunden, der die Anleitung verwendet hat, aus der Klemme geholfen. Weil ihm nicht bewusst war, wie groß der Schaden durch eine Fehlkonfiguration sein kann.

Bevor du Änderungen mit IIS vornimmst, die aktuellen Einstellungen (+Registry) mit IIS Crypto sichern. Damit du schnell und einfach auf die vermeidlichen Standard Konfiguration von Schannel zurück kannst.

By the way: Wer Cipher Suites anpasst, kann auch den DH Parameter von 2048 auf 4096 erhöhen.

 

[Fabian]

Erst am Freitag Abend um 21 Uhr einen Kunden, der die Anleitung verwendet hat, aus der Klemme geholfen. Weil ihm nicht bewusst war, wie groß der Schaden durch eine Fehlkonfiguration sein kann.

Sorry für die Arbeit :-(

Meinst das sollte noch als Hinweis aufgenommen werden das es für die komplette Windows Kiste gilt und nicht "nur" für den NSP?

LG
Fabian

 

[869288141]

Meinst das sollte noch als Hinweis aufgenommen werden das es für die komplette Windows Kiste gilt und nicht "nur" für den NSP?

Nein. Ich erwarte, dass ein Admin welcher an diesen Einstellungen dreht, weiß was er tut. Wenn er das nicht tut, ist es sein Problem. Und wer meint am Freitag Nachmittag noch ein produktives System zu ändern, liebt das Risiko. Die Rechnung wird an Montag gestellt...

 

[dontgetmewrong]

Hallo zusammen,

vielen Dank für eure Antworten und die Unterstützung. Ich würde mich mal an die ausgehende Email Thematik machen und StartTLS verlangen aktivieren.
Weiß denn jemand, ob hier ein Zertifikat im Spiel ist und wenn ja welches, ich habe ja noch die Anforderung die "Gültigkeitsdauer des Schlüssels" zu dokumentieren.

Besten Dank

 

[Sören]

ausgehende Email Thematik machen und StartTLS verlangen aktivieren

Weiß denn jemand, ob hier ein Zertifikat im Spiel ist und wenn ja welches

bei ausgehenden Nachrichten wird TLS mit dem Key des empfangenden Servers gemacht

ch habe ja noch die Anforderung die "Gültigkeitsdauer des Schlüssels" zu dokumentieren

quasi unmöglich, denn das werden hunderte bis tausende Keys sein

Die Anforderung wird sich aber auf den eigenen Schlüssel beziehen, also für eingehende Nachrichten.

 

[dontgetmewrong]

Hallo,

ich habe nun für die ausgehenden Emails TLS aktiviert.

Das passt für mich erstmal - ich würde sagen gelöst.

Vielen Dank.

 

[StefanCink]

Aus beruflicher Neugier: Magst Du mal in 4 Wochen einen Erfahrungsbericht mit uns teilen?

Gruß Stefan