Willkommen im User-Forum von mailbox.org
 

TLS-Policy auch für eigene Domain ermöglichen

9490334 hat dies geteilt, 3 Jahren her
vorgeschlagen

Wer besonderen Wert auf die Transportverschlüsselung bei ausgehenden Mails legt, kann zum einen über den @secure.mailbox.org-Alias versenden und zum anderen noch eine der folgenden drei TLS-Policys auswählen, um die Verschlüsselung auf einem definierten Level zu erreichen:


  • encrypt: Die Mail muß mindestens ganz normal mit SSL/TLS-verschlüsselt sein. Lediglich normale Plaintext-Übertragungen sind verboten.
  • dane-only: Eine einfache SSL/TLS-Verbindung reicht nicht aus, das SSL-Zertifikat der Gegenstelle muß mittels DANE verifizierbar sein.
  • verify: Versendet E-Mails nur an die Provider, deren SSL-Zertifikat wir besonders gespeichert haben.


Leider gibt es diese Funktion nicht für eigene Domains. Mein Vorschlag daher: Die TLS-Policy sollte auch für eigene Domains auswählbar sein.


Die Policy sollte bei jeder über diese Domain versandten E-Mail zur Anwendung kommen (ohne Verwendung einer secure-Subdomain). Denkbar wäre auch, die Policy je Alias/Absender festzulegen, je nachdem, wie einfach das technisch umsetzbar ist. Ausreichend wäre zu Beginn aber erstmal eine einheitliche Einstellung je Domain.

Kommentare (12)

Foto
2

Schade dass dieses Feature bislang den 'einfachen' Nutzern vorbehalten bleibt. Dabei wäre dieses Feature zusammen mit den benutzerdefinierten Spam-Einstellungen ein klares Alleinstellungsmerkmal von mailbox.org für Power-User.

Foto
1

Hallo,


wie kann man denn die TLS Verbindung von externen Domains testen, die über mailbox.org laufen?


Bei folgenden Services - die sonst funktionieren - wird keine TLS Verbindung festgestellt:


https://www.checktls.com

No Mail eXchangers found; will try TLS directly to host

TLS fail


https://de.ssl-tools.net/mailservers

DANE fehlt

PFS nicht geprüft

Heartbleed nicht geprüft

Schwache Algorithmen nicht geprüft


https://www.htbridge.com/ssl/

The server does not have SSL/TLS encryption on port 25. Data exchange with end-users can

be intercepted.

The server does not have SSL/TLS encryption on port 993. Data exchange with end-users can

be intercepted.


Wie ist das Phänomen zu verstehen? Haben externe Mails TLS, oder nicht, muss man anders testen?

Danke.

Foto
1

Offtopic.

Foto
Foto
1

Wenn ich via secure.mailbox an eine externe Domain bei mailbox.org schicke (es sind zwei getrennte Accounts) dann bekam ich nach 40 Minuten diese Meldung:


  1. This is the mail system at host mxtls2.mailbox.org.


    ####################################################################

    # THIS IS A WARNING ONLY. YOU DO NOT NEED TO RESEND YOUR MESSAGE. #

    ####################################################################


    Your message could not be delivered for more than 0 hour(s).

    It will be retried until it is 1 day(s) old.


    For further assistance, please send mail to postmaster.


    If you do so, please include this problem report. You can

    delete your own text from the attached returned message.


    The mail system


    <test@...>: connect to domain.tld[IP]:25: Connection

    refused


Ohne TLS kommt die Mail an.

Foto
1

Offtopic.

Foto
Foto
1

um es nochmal aufzuwärmen, das Feature wäre echt ein „Alleinstellungsmerkmal“ für mailbox.org. Ich fände es sehr nützlich und gut!

Foto
1

Also da muss ich gerade widersprechen, oder ich verstehe etwas falsch.


Ich habe als "E-Mail-Aliasse" eine eigene Domain eingetragen, nach dieser Anleitung.

Ebenfalls habe ich die 2 Optionalen Einstellungen getätigt. Und ich kann an meine Externe Mail per SSL/TLS-verschlüsselter Verbindung E-Mails versenden.

Selbst DANE und DNSSEC wird erkannt.

Foto
1

Offtopic.

Foto
1

Wenn du das so siehst, jedenfalls wenn man eine der 3 einstellungen nimmt für die SSL verschlüsselung, klappt das wunderbar.

Foto
Foto
1

Es geht zunächst darum, dass die Garantie für einen zwingend verschlüsselten Mailversand auch auf die Accounts mit eigener Domain erweitert wird. Soll heißen, verschickst du E-Mails oder empfängst du E-Mails mittels einer @secure.mailbox.org-Adresse, dann kannst du dir absolut sicher sein, dass eine unverschlüsselte Übertragung der E-Mails zwischen den beteiligten Mailservern geblockt wird und eben ausschließlich verschlüsselte Verbindungen zu einer Übertragung führen.


Die TLS-Policys sind dann schmuckes Beiwerk.

Foto
1

Ein Blick auf die 'Work in Progress'-Seite zeigt: im letzten und im kommenden Quartal wurden/werden vor allem die Feature-Requests der GUI-Fraktion behandelt (Outlook/iOS/Ticketing...). Ein Blick auf die 250 momentan beliebtesten Feature-Requests zeigt: die GUI-Fraktion ist auch hier in der Überzahl. Nun weiss ich nicht ob diese Verhältnisse sich auch in den Anzahl Kunden spiegeln - dennoch finde ich sollte mailbox.org seinen Marktvorsprung auch für Power-User weiter ausbauen.

Darum erlaube ich mir im Namen von 9490334, 7842928 und mittlerweile 12 anderen Nutzern @Peer_Heinlein zu fragen: Umsetzbar? Kompliziert? Einfach? Gute Idee?

(Darf auch kurz beantwortet werden, nicht dass wir hier noch ein Burn-Out provozieren...)

Foto
2

Ich bin garantiert nicht als Business-Kunde hier hingekommen, weil die GUI so toll ist oder ich von von der OX-Suite bin. Wäre ich bequem, dann wären wir einfach bei irgendeinem x-beliebigen Microsoft Exchange Anbieter geblieben und hätte mir den ganzen Outlook-Kompatibilitäts-Krampf gespart.

Als Business-Kunde fühle ich mich hier echt ein wenig vernachlässigt.TLS-Policies, S/MIME... wann? Was das Voting angeht... Demokratie schön und gut, aber sollte ein Upvote von einem User, der 1€ im Monat bezahlt und der Upvote von einem Nutzer, der 100€ im Monat bezahlt nicht ein wenig anders gewichtet werden? Just sayin...