STARTTLS vermeiden

X

Xela

Well-Known Member
Oct 12, 2017
92
2
48
Wer nach "STARTTLS vs SSL/TLS" sucht, findet ganz schnell, daß STARTTLS die unsichere Variante ist und SSL/TLS die sichere:

STARTTLS:
Bei Opportunistic SSL/TLS (auch bekannt als Explicit SSL/TLS) führt ein Client einen STARTTLS-Befehl aus, um eine Verbindung auf eine verschlüsselte umzustellen. Wenn ein Server kompatibel ist und keine Fehler auftreten, wird die gesicherte TLS- oder SSL-Verbindung hergestellt. Schlägt der Vorgang fehl, wird eine Klartextübertragung aufgebaut.

SSL/TLS:
Mit erzwungenem SSL/TLS (auch bekannt als implizites SSL/TLS) versucht ein Client, eine sichere Verbindung aufzubauen, ohne einen Server nach seiner Kompatibilität zu fragen. Gelingt ihm dies, wird eine sichere Verbindung aufgebaut, und es folgt ein Handshake. Wenn ein Server nicht kompatibel ist oder die Verbindung abbricht, wird die Übertragung abgebrochen.

Wie wird auf dem Proxmox Mail Gateway STARTTLS gezwungen verhindert, s.d. nur mit SSL/TLS authentifiziert werden kann?
 
Last edited:
Im GUI wohl überhaupt nicht. Fände ich als Feature auch wünschenswert, wenn man dort einzelne Ports nach belieben einstellen könnte. So muss man sich darauf verlassen, dass das PMG mit den kompatibelsten sicheren Einstellungen daher kommt. Funktionieren tut es auf jeden Fall.

Was ich z.B. gerne im GUI einstellen würde, wäre erzwungenes STARTTLS für IPv6.

@Xela Deine Zitate enthalten aber schon das Wort Client. Das PMG macht aber nur S2S. Und dort wird nur Port 25 genutzt und damit kein implizites TLS. Du könntest zwar theoretisch die STARTTLS-Verschlüsselung erzwingen, würdest dafür aber auch einige Emails nicht mehr bekommen.
 
Last edited:
Xela said:
Wer nach "STARTTLS vs SSL/TLS" sucht, findet ganz schnell, daß STARTTLS die unsichere Variante ist und SSL/TLS die sichere:
Click to expand...
Prinzipiell schon richtig - allerdings hat sich Port 465 (SMTPS) nie wirklich durchgesetzt, und wurde auch nie standardisiert - sprich im SMTP verkehr zwischen Servern gibt es (leider) nur STARTTLS - und zwar opportunistic (die meisten Versuche, dass mittels DNS-records, oder files auf einem HTTP server (MTA-STS), zu erzwingen haben sich auch nicht durchgesetzt)...

Xela said:
Wie wird auf dem Proxmox Mail Gateway STARTTLS gezwungen verhindert, s.d. nur mit SSL/TLS authentifiziert werden kann?
Click to expand...
PMG macht keine Authentication - wie @Bob.Dig ist es ein Proxy zwischen dem Internet und eurem SMTP Server ...

Zusätzlich gibt es auch die Möglichkeit mit expliziten IPs/Domains zu erzwingen dass die Mails nur ueber TLS uebertragen werden (TLS Policies) - siehe die Referenzdoku:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#_mail_proxy_configuration (section 4.7.9)

Ich hoffe das erklärt es!
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom