Willkommen im User-Forum von mailbox.org
 

Verschlüsselter Versand nutzlos

1764072 hat dies geteilt, 11 Monaten her
veröffentlicht

Bei "Verschlüsselter Versand" ist bei mir dane-only eingestellt. Ich kann aber immer noch problemlos E-Mails an Ziele senden, die ich nicht per DANE verifizieren kann. Wann genau soll diese Einstellung das verhindern?

Kommentare (15)

Foto
2

Du musst für den verschlüsselten Versand deine secure.mailbox.org Adresse verwenden.


-> https://mailbox.org/mails-definitiv-sicher-versenden/

Foto
1

Selbst dann kommt die E-Mail an. Ich habe verify eingestellt und zum testen eine E-Mail von ich@secure.mailbox.org an eine test E-Mail bei byom.de geschickt. Die ist angekommen, obwohl byom nicht mal DANE hat.

Foto
Foto
1

Da gibt es unter Einstellungen (Account/Kundenkonto) noch das Untermenü Verschlüsselter Versand. Dort muss man die entsprechenden Feineinstellungen vornehmen.

Zitat:

"Bei mailbox.org haben Sie die Möglichkeit, E-Mails ausschließlich über verschlüsselte Verbindungen versenden zu lassen, was jedoch nicht mit allen Providern funktioniert. Bitte beachten Sie dazu unbedingt die Erläuterungen."

Aber diese Erläuterungen hatte Thomas91 oben im 1. Kommentar auch schon verlinkt.

Vielleicht noch als kleiner Hinweis: Bei meinem Account genügt es, dort einfach den Schalter auf "Einschalten" zu stellen. Mouse-Klick auf "Speichern" nicht vergessen!

Foto
1

Wie bereits gesagt, die Einstellung ist auf "verify"

Foto
1

Dann bin ich mit meinem Latein am Ende.. Nutze die secure.mailbox.org Funktion selbst aber auch nicht.


Wahrscheinlich ist das dann ein Fall für den Support.

Foto
Foto
1

Deine Einstellung ist auf Verify und mit diesem sicherheitslevel wurden die beiden e-Mails auch versandt. Ich kann hier nur erkennen, dass alles fehlerfrei funktioniert hat.


Apr 21 10:38:42 mxtls2 smtp-verify/smtp[32983]: Verified TLS connection established to mx.sendgrid.net[167.89.118.48]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)


Verify ist nicht DANE. Verify heißt, daß der Key über eine bekannte CA validiert ist (oder vergleichbar wertige Verfahren).

Foto
1

Laut https://mailbox.org/mails-definitiv-sicher-versenden/ müssen für Verify die Zertifikate gesondert bei Ihnen gespeichert worden sein. Trifft das denn für das Zertifikat von byom zu?

Foto
1

Das war damals so, mittlerweile kennen unsere Mailserver alle üblichen CAs und verifizieren darüber. Wir werden die uralte Passage da anpassen.

Foto
1

Sollte der Mailserver nicht standardmäßig nur versenden, wenn das Zertifikat des Zielservers bekannt und gültig ist? Sonst könnte die Verbindung leicht ausgespäht werden oder liege ich da falsch? Ansonsten funktioniert alles normal. Danke für die Auskunft!

Foto
1

Und "gültig" heißt in dem Fall eben, daß es verifizierbar von einer bekannten CA unterschrieben wurde. Und das ist es hier.

Foto
1

Was ist denn dann der Unterschied zwischen encrypt und verify? Erlaubt ihr bei encrypt selbst signierte Zertifikate?

Foto
1

Ja.

Foto
1

Erlaubt das nicht, die Verbindung zu kompromittieren?

Foto
1

@1764072: Naja prinzipiell schon, es lässt sich halt nicht unterscheiden ob das Zertifikat wirklich von der Gegenstelle kommt oder von einem "man in the middle".


Allerdings ist die Alternative dann halt unverschlüsselt zu übertragen womit ja auch niemandem geholfen ist.


Durch ein selbstsigniertes Zertifikat wird immerhin verhindert, dass jeder "auf dem Weg" zum Zielserver ebenfalls mitlesen kann.


@Peer: Ich würde dann aber auf jeden Fall vorschlagen die Beschreibungstexte anzupassen und die Optionen neu zu sortieren. Nach meinem Verständnis ist die "Sicherheit" der einzelnen Optionen wie folgt.


encrypt < verify < dane


Das sollte sich dann auch so wiederspiegeln. Ich hatte vorher auch angenommen, dass verify ein "nochmal stärkeres DANE" sei.

Foto
2

Ich fänd es ganz praktisch, wenn das auch bei meiner normalen @mailbox.org email zählen würde.

Foto