Willkommen im User-Forum von mailbox.org
 

Nutzung moderner Internet-Standards durch mailbox.org

9467996 hat dies geteilt, 9 Tage her
unbeantwortet

Hallo beisammen,

durch die aktuelle c't bin ich auf einen Dienst von internet.nl gestoßen, mit dem man übers Internet zugängliche Server (Mail, DNS, Web) auf die Verwendung verschiedener moderner Internet-Standards überprüfen lassen kann.

Nun habe ich mal mailbox.org dort testen lassen:

https://internet.nl/mail/mailbox.org/426580/

Laut Auswertung wird zwar ein sehr guter Wert erzielt, aber ein paar Standards werden wohl noch nicht erfüllt. Ich will nun nicht sagen, dass das besonders schlimmt wäre. Aber ich wollte fragen, ob es sinnvoll sein könnte, die verbleibenden Standards ebenfalls bei mailbox.org zu erfüllen. Wäre doch ein super Sache, wenn man dadurch auch mit dem Label der Organisation werben könnte.

Kommentare (4)

Foto
1

Der Test ist IMHO nicht uneingeschränkt aussagekräftig.

Ich sehe da z.B. sowas wie false negatives , weil mx-n.mailbox.org. keine IPv6 Adresse hat. Dabei ist mx-n vermutlich nie verwendet. Evtl. sollte der auch einfach aus der MX Liste? Naja, jedenfalls schränkt das die Funktionalität genau nicht ein.

Der DMARC Policy Check macht für mich auf den ersten Blick auch nicht viel Sinn. Funktional wieder kein Unterschied und selbst kommerzielle DMARC Report Aggregatoren wie postmarkapp.com setzen das nicht konsequent um.

"Make sure that the DMARC authorization record on the external domain contains at least "v=DMARC1;" - das habe ich tatsächlich auch noch in keiner Spezifikation gesehen, dass sowas notwendig wäre.

Bei TLS ist der ganze Test dann offenbar ausgestiegen, weil mx-n nicht erreichbar war.

Key-Exchange mit DH-4096; naja, kann man drüber streiten.

Foto
2

Der Test ist leider aufgrund banaler Fehler völlig falsch. In jedem Fall erfüllen wir alle dort genannten Kriterien - i.d.R. gehen wir ja stets darüber hinaus.

Die Tester dort übersehen, dass es die Technik des sog. "Nolisting" ist. Diese setze ich seit > 10 Jahren ein und habe schon oft darüber in Vorträgen berichtet. Da Spammer aufgrund verschiedender Vorteile gerne auf den schlechtesten MX-Record gehen (obwohl jeder Server auf den besten MX-Record/Server gehen würde), listen wir unter dem Namen mx-n (n = nolisting) einen MX-Server, den es gar nicht gibt. Er ist nicht installiert, die dort genannte IP-Adresse gibt es nicht. Aufgrund von verschiedenen Gründen gehen Spammer dann in den allermeisten Fällen nicht "hoch" zum nächst besseren Server. In der Folge werden Spam und Viren gar nicht erst versandt.

Diese diversen Testsuiten kranken alle daran, dass sie nun plötzlich einen MX-Server nie connecten können und kommen dann i.d.R. zu völlig falschen und irrationalen Ergebnissen. Einige listen, TLS und DANE/TLSA wäre defekt -- nur weil sie das SSL-Zertifikat nie sehen konnten -- andere faseln etwas davon, dass die Server nicht vorhanden sind und angeblich kein IPv6 unterstützt wird. Und und und. Totaler quatsch. Diverse Betreiber davon haben wir angeschrieben, aber noch niemand hat seine Testsuite gefixt und mal technisch up2date gebracht.


Für die meisten Testsuiten haben wir Tricks gebaut und gaukeln diesen vor, dass mx-n existieren würden. Ist Unfug, aber wenn man mit Unfug auf Unfug reagiert dann klappt's halbwegs. Internet.nl kennen wir natürich, aber da haben wir noch keine Tricks gebaut, denn irgendwann wird's einem auch zu blöde.

Foto
1

Zumindest der unter DMARC Policy genannte Punkt ist aber valide. Nachzulesen in RFC7489 Abschnitt 7.1.

Foto
1

Sofern man den mx-n bei der eigenen Domain raus nimmt, dann ist der Test deutlich grüner.

Was mir allerdings aufgefallen ist: Die MXe bei Verwendung einer externen Domain (mxext...) sind alle noch über TLS 1.0 und TLS1.1 erreichbar.

Der Test internet nl sagt übrigens etwas über die Aktualität des Servers aus, und nicht über die Sicherheit. Die Dinge gehören teilweise zusammen, sind aber nicht identisch. Unterstützt z.B. der A-Record meiner eigenen Domain kein IPV6, dann ist dies kein Sicherheitsproblem. Ich bekomme aber keine volle Punktzahl, weil ich keine aktuelle Technik verwende.

Foto
1

Dass TLSv1.0 und TLSv1.1 für eingehende Verbindungen weiterhin unterstützt werden, ist eigentlich ganz normal. Ansonsten würden E-Mails von Servern, die kein TLS >= 1.2 unterstützen über eine unverschlüsselte Verbindung empfangen werden. Ich kenne bisher nur einen Anbieter, der das bereits abgedreht hat: core-networks.

Keine Ahnung was du da über IPv6 und Sicherheitsproblem daher schwafelst.

Foto
1

Die Provider (egal ob Webhosting oder Mailhosting) fangen so langsam an, TLS 1.0 und 1.1 zu deaktivieren. Mailbox.org ist da nur einer der Vorreiter. Insofern würde ich es nicht mehr als "ganz normal" bezeichnen, wenn diese Protokolle noch unterstützt werden.

TLS 1.0 und 1.1 ist ab sofort für den Mailempfang bei mailbox.org-Adressen deaktiviert, siehe auch der Mailbox.org-Blog vom 11.9. und siehe auch ein Test über die Seite crypt-check der mailbox.org mx-e (smtp). Ich wage zu bezweifeln, dass es noch seriöse Anbieter gibt, die kein TLS 1.2 können. Und mit seriös meine ich auch gmx, yahoo und alles andere was mit Datenschutz nix am Hut hat. Ab sofort heißt es: Wenn ein Anbieter nicht mit mindestens TLS 1.2 bei mailbox.org einliefern will, dann klappt es nicht. Ein Provider der kein TLS1 1.2 unterstützt sollte unbedingt gemieden werden, es ist höchst wahrscheinlich dass auch andere gravierende Sicherheitslücken vorhanden sind.

Die Deaktivierung von TLS 1.0 und 1.1 betrifft allerdings auch den Endnutzer. Das ist wohl der einzige Bereich, wo noch eine Handvoll Nutzer Uraltmaschinen mit Uraltsoftware verwenden, die noch kein TLS 1.2 können.

Und da mailbox.org die beiden veralteten Protokolle grundsätzlich abgeschaltet hat, bin ich verwundert, dass diese bei der Verwendung einer externen Domain noch akzeptiert werden.

Foto
1

Abschaltung von TLSv1.0 und TLSv1.1 betrifft aber nur POP3, IMAP4, Webmail und SMTP-Versand, also überall dort wo du deine Zugangsdaten benötigst.


- TLSv1.0 und TLSv1.1 ist auch noch bei den MX-Servern für @mailbox.org aktiv. Testen kannst du das mit:

% openssl s_client -starttls smtp -tls1 -connect mx1.mailbox.org:25

% openssl s_client -starttls smtp -tls1_1 -connect mx1.mailbox.org:25

- Die mailbox.org Server nehmen auch noch eingehende SMTP Verbindungen ohne STARTTLS an.


Wenn du TLS >= 1.2 erzwingen möchtest, musst du aber auch STARTTLS erzwingen. Das ist z.B. bei @secure.mailbox.org der Fall.

Foto
1

Stimmt, offenbar in den letzten Tagen hat mailbox.org den Empfang über TLS1.0 und 1.1. wieder aktiviert. Dann laufen tatsächlich die mx-Server für mailbox.org und eigene Domains gleicht. Die von mir verwendete Testseite hatte das Ergebnis von mailbox.org aus dem Cache verwendet. Die Webseite über http ist allerdings wieterhin nur mit TLS1.2 erreichbar, und nicht mehr mit 1.0 oder 1.1.


@mailbox.org: Was mich allerdings wirklich interessieren würde, hier könnte vielleicht der Chef oder der Support helfen: Gibt es wirklich noch Emails, die im Klartext eintrudeln? Und gibt es wirklich noch Mailserver die Mails nur im Klartext empfangen können? Ich fände eine Zahl wie viel Mails pro Tag im Klartext gesendet oder empfangen werden total spannend. Mailbox.org ist ja doch mittlerweile recht groß, daher sollte das ein gutes Abbild der Wirklichkeit geben.

Foto
1

nur so als ungefähren Anhalt...


https://transparencyreport.google.com/safer-email/overview

Wenn man sich die einschlägigen Test-Tools und Test-Seiten für den Betrieb von sicheren E-Mail-Servern so anguckt, kann man aber auch einen etwas anderen Eindruck bekommen. Auf den jeweiligen Boards sind ja massig Server genannt, welche den Sicherheitsansprüchen nicht genügen. Kann man nur hoffen, dass mit den Testergebnissen von den Betreibern nachgebessert wird. Insbesondere bei den kleinen Internet-Shop-Klitschen bin ich mir jedoch nicht sicher, ob alles passt wie es sollte...

Foto
1

Danke für den Link. Ich lese daraus, dass google ca. 10 % der ein- und ausgehenden Mails unverschlüsselt sendet bzw. empfängt. Das finde ich sehr viel. Nach wie vor fände ich eine Info seitens Mailbox.org spannend, wie die Werte dort sind.

In diesem Zusammenhang habe ich mir den Blogbeitrag vom 16.09.2020 nochmals durchgelesen. Gleich der erste Satz lautet "Alle Verbindungen zu mailbox.org werden stets mit SSL/TLS verschlüsselt." Da im nächsten Satz nicht nur von http sondern auch von smtp die Rede ist, könnte man das so verstehen, dass mailbox.org grundsätzlich nur noch verschlüsselt versendet/empfängt. Das bedeutet, die Adresse secure.mailbox.org wäre nicht mehr notwendig. Auch hier fände ich eine Klarstellung interessant. Hätte ich bei meiner eigenen Domain einen Schalter für Mailversand/empfang nur noch über TLS und nicht im Klartext, würde ich diesen sofort verwenden, auch mit dem Risiko, die ein oder andere Mail nicht verschicken oder empfangen zu können.

Foto