Unverschlüsselte Verbindungen blockieren

[SBW]

Guten Abend zusammen,
wir bereits an anderer Stelle beschrieben, planen wir die Abschaltung von TLS 1.0 und TLS 1.1. Nun kam im Rahmen der Planung die Idee auf, bis zur finalen Abschaltung in gewissen Zeitabständen unverschlüsselte Verbindungen zu blockieren.

Wir würden am Tag X im Empfangskonnector -> Verbindungssicherheit den Parameter "Verlange StartTLS als Verbindungssicherheit" ausgewählen. Anschließend natürlich die Gateway Rollen neu gestarteten, damit die Konfiguration auf jeden Fall wirksam wird.

Ist das überhaupt die richtige Stellschraube für unser Vorhaben? Falls dies so wäre, welchen Fehlercode bzw. Nachricht bekommt die Gegenstelle? Nach dem Motto "Unverschlüsselte Verbindungen werden in absehbarer Zeit nicht mehr möglich sein.".


Gruß,
Daniel

 

[JanJäschke]

Guten Morgen Daniel,

ja das ist die richtige Stellschraube. Eine Neustart der Gateway-Rolle ist aber nicht zwingend erforderlich, nur als Info.

Die zurück gegebene Meldung sieht dann wie folgt aus:

This is the mail system at host postfix-external.example-external.test.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<example@example.test>: host nsp-ws-2019.example.test[10.82.0.21] said: 553 5.7.3 A secured
    connection (either via StartTLS or SMTPS) is required for this sender. (in
    reply to MAIL FROM command)

Gruß,
Jan

 

[Sören]

Guten Abend zusammen,
wir bereits an anderer Stelle beschrieben, planen wir die Abschaltung von TLS 1.0 und TLS 1.1. Nun kam im Rahmen der Planung die Idee auf, bis zur finalen Abschaltung in gewissen Zeitabständen unverschlüsselte Verbindungen zu blockieren.

Wir würden am Tag X im Empfangskonnector -> Verbindungssicherheit den Parameter "Verlange StartTLS als Verbindungssicherheit" ausgewählen. Anschließend natürlich die Gateway Rollen neu gestarteten, damit die Konfiguration auf jeden Fall wirksam wird.

Ist das überhaupt die richtige Stellschraube für unser Vorhaben? Falls dies so wäre, welchen Fehlercode bzw. Nachricht bekommt die Gegenstelle? Nach dem Motto "Unverschlüsselte Verbindungen werden in absehbarer Zeit nicht mehr möglich sein.".


Gruß,
Daniel

Hallo SBW

an meinem Post findest du ein Skript zur Auswertung der aktuell genutzten TLS Verbindungen. Um das Skript zu nutzen muss ein SQL Management Studio installiert sein, innerhalb des Skripts kann man noch definieren für welchen Zeitraum : d, -7 (das .txt muss entfernt werden)

 

[SBW]

Guten Morgen Jan,
vielen Dank an dieser Stelle für den Praxistest. Ich werde natürlich berichten, wie die Rückmeldung im Feld aussieht.

Guten Morgen S.,
vielen Dank für das SQL Skript und die dafür notwendige Zeit. Funktioniert sogar auf Anhieb...
Die Gruppierung der verschiedenen Algorithmen ist natürlich eine feine Sache. Dafür gibt's ein +1.

Nachdem die Hauptarbeite eigentlich getan ist, dürfte der Report in NSP nur noch eine Formsache sein, oder? 

Gruß,
Daniel

 

[JanJäschke]

Hallo Daniel,

ich werde es in ein Powershell Skript adaptieren.
Eine GUI Implementierung wird es erst geben wenn wir unser komplettes Reporting überarbeitet haben.


Gruß,
Jan

 

[SBW]

Hallo Jan,

ich werde es in ein Powershell Skript adaptieren.

Wegen mir muss es nicht sein. Ob ich ein Powershell- oder SQL-Skript starte, ist grad "wurscht".

Eine GUI Implementierung wird es erst geben wenn wir unser komplettes Reporting überarbeitet haben.

Gibt es dazu eine Timeline (du heißt ja nicht Stefan Cink)?


Gruß,
Daniel

 

[Sören]

Gibt es dazu eine Timeline (du heißt ja nicht Stefan Cink)?

Unser Jan ist ebenfalls ein PM so wie der geschätzte Kollege Cink

 

[JanJäschke]

Und deswegen adaptiere ich die Antwort vom Kollegen Cink einfach mal   :angel:

Wir sind jüngst davon abgerückt, Features in Versionen anzukündigen. Wir entwickeln sehr eng an Scrum angelehnt und verschieben Features von der Prio eine Stelle nach hinten, wenn sicherheitskritische Funktionen ad hoc eingebaut werden müssen. Von daher werden wir in Zukunft die Verfügbarkeit nur noch in Quartalen angeben.


Beste Grüße,
Jan

 

[StefanCink]

Hier ist alles gesagt.

 

[SBW]

Hallo zusammen,
letzte Woche war es dann soweit. Temporär für zwei Tage die Annahme von E-Mails, welche auf dem Transport unverschlüsselt verschickt wurden, blockiert.

Was soll ich sagen, es ging am ersten Tag richtig rund. Vormittags füllte ich unser Ticketsystem, ein paar Anfragen kamen an die Postmaster Adresse sowie unzählige Anfrufe. Das Arbeitsaufkommen reichte am zweiten Tag in den späten Abend hinein. Trotz vorgefertige Textbausteine und Erklärung der Maßnahme, waren es oft die unendlichen Diskussionen, die einen aufgehalten haben.

Ich bin erstaunt, wie viel vermeidliche E-Mail-Server-Admins mit der Situation (teils total) überfordert sind. Die kleinen Betriebe sind sehr oft auf ihre IT-Dienstleister angewiesen - verständlich. Aber es sind auch Organisationen dabei, wo ich mir das nie hätte träumen lassen.

Nächste Woche geht es in die Runde 2 von 5. Schließlich wollen wir ab dem 01.05.2020 entgültig die unverschlüsselten Verbindungen blockieren.


Gruß,
Daniel

 

[Sören]

Hallo zusammen,
letzte Woche war es dann soweit. Temporär für zwei Tage die Annahme von E-Mails, welche auf dem Transport unverschlüsselt verschickt wurden, blockiert.

Was soll ich sagen, es ging am ersten Tag richtig rund. Vormittags füllte ich unser Ticketsystem, ein paar Anfragen kamen an die Postmaster Adresse sowie unzählige Anfrufe. Das Arbeitsaufkommen reichte amzweiten Tag in den späten Abend hinein. Trotz vorgefertige Textbausteine und Erklärung der Maßnahme, waren es oft die unendlichen Diskussionen, die einen aufgehalten haben.

Ich bin erstaunt, wie viel vermeidliche E-Mail-Server-Admins mit der Situation (teils total) überfordert sind. Die kleinen Betriebe sind sehr oft auf ihre IT-Dienstleister angewiesen - verständlich. Aber es sind auch Organisationen dabei, wo ich mir das nie hätte träumen lassen.

Nächste Woche geht es in die Runde 2 von 5. Schließlich wollen wir ab dem 01.05.2020 entgültig die unverschlüsselten Verbindungen blockieren.


Gruß,
Daniel

Hallo Daniel

Vielen Dank für den Einblick, halte uns hier gerne auf dem Laufenden! Ich finde es ja durchaus mutig wie ihr das macht, mit ähnlichen Einschlägen hätte ich auch gerechnet. Das Ganze ist schon ziemlich traurig...bin mal gespannt wie es weitergeht!

Viele Grüße aus Paderborn

Sören

 

[SBW]

Hallo Sören,

Ich finde es ja durchaus mutig wie ihr das macht,

Meine ursprüngliche Idee war, dass man im NoSpamProxy eine Regel mit automatischer Antwort erstellt, welche bei "unverschlüsselt" und/oder TLS 1.0 und/oder TLS1.1 eine Nachricht an den Absender verschickt. Geht aber leider Out of the Box nicht. 

Über Jan's PowerShell Skript kommt man die betroffenen Domains sauber aufgelistet. Anschließend könnte man an postmaster@domain.de (automatisiert) schreiben. Aber leider pflegen und vorallem überwachen kaum IT-Dienstleister/Webhoster diese E-Mail-Adresse. Zudem ist es aus Sicht des Datenschutzes wohl eine Grauzone.

Wie könnte aus deiner Sicht ein Best Practice für das Vorhaben aussehen?


Gruß,
Daniel

 

[Sören]

Hallo Sören,

Ich finde es ja durchaus mutig wie ihr das macht,

Meine ursprüngliche Idee war, dass man im NoSpamProxy eine Regel mit automatischer Antwort erstellt, welche bei "unverschlüsselt" und/oder TLS 1.0 und/oder TLS1.1 eine Nachricht an den Absender verschickt. Geht aber leider Out of the Box nicht. 

Über Jan's PowerShell Skript kommt man die betroffenen Domains sauber aufgelistet. Anschließend könnte man an postmaster@domain.de (automatisiert) schreiben. Aber leider pflegen und vorallem überwachen kaum IT-Dienstleister/Webhoster diese E-Mail-Adresse. Zudem ist es aus Sicht des Datenschutzes wohl nicht eine Grauzone.

Wie könnte aus deiner Sicht ein Best Practice für das Vorhaben aussehen?


Gruß,
Daniel

Hallo Daniel,

obwohl ich das schon recht lange mache, einen echten Best Practice kann ich dir nicht liefern, wohl aber ein paar Überlegungen.

Zunächst denke ich das es zwei Szenarien gibt warum man das tut:

1.) man muß es umsetzen z.B. DSGVO
2.) man will es umsetzen, einfach weil es schlau ist

Ist man im ersten Szenario "gefangen" läßt sich das aus meiner Sicht am einfachsten den Partner vermitteln, da es hier keine Grauzone mehr gibt.

Beim zweiten Szenario sollte man versuchen so früh wie möglich alle Beteiligten abzuholen:

- Newsletter an bestehende Partner versenden mit einem Hinweis auf die Änderung in der Zukunft
- einen Disclaimer an die ausgehenden Mails anhängen mit einem Hinweis auf die Änderung in der Zukunft

Damit wird man sicherlich nicht alle abholen, aber man kann sagen: Wir haben euch informiert, mit ordentlich Vorlauf.

Dadurch das ein NDR beim Server erzeugt wird, der bei euch die Mail nicht abladen konnte, wird ja der externe Sender informiert...man kann dann nur hoffen das der so schlau ist und sich an seine IT wendet.

Super wäre natürlich wenn der NSP selbst noch eine Mail generiert, so wie wir es tun würden wenn wir per Regel nur noch verschlüsselte Mails nehmen. Ich werde das mal als FR an Jan und Stefan geben...aber selbst der FR umgesetzt wird, so würde dir das nicht mehr helfen

 

[SBW]

Hallo Sören,
vielen Dank für deine Überlegungen.

aber selbst der FR umgesetzt wird, so würde dir das nicht mehr helfen

Sag nie mals nie... wir sind inzwischen vom 01.05.2020 abgerückt und haben als Deadline den 01.08.2020 definiert.

Ich werde das mal als FR an Jan und Stefan geben

Danke!

Aus unserer Sicht (IT) ist der Disclaimer wohl die einzig vernüftige, zuverlässige Lösung mit der größten Reichweite. Den Text bzw. Link zu dem offziellen Dokument auf unserer Internetseite in rot und fett, so dass es fast nicht zu überlesen ist. Kommende Woche werde ich das der Führungsebene vorstellen.

Achja, beim Text orientieren wir uns an der IT des Landes Niedersachsen. Die haben den Schritt bereits letztes Jahr (https://www.it.niedersachsen.de/startseite/itnews/aktuelles/TLS-177563.html) getan. Bitte nicht vergessen, vorab eine schriftliches OK für die Weiterverwendung einzuholen.

Grüße
Daniel