TLS Enforcement an bestimmte Empfängerserver
Ausgangssituation
Transport Layer Security (TLS) ist ein Verschlüsselungsprotokoll, das Privatsphäre bei der Übertragung von Informationen (z.B. E-Mails) zwischen zwei Systemen (z.B. Mailservern) gewährleistet. TLS verhindert, dass unbefugte Dritte Nachrichtenkommunikationen zwischen Servern und Clients abhören oder manipulieren.
Zustandekommen der Übertragungsverschlüsselung
Standardmäßig versuchen alle Server der mail-connect Cloud, eine TLS-Verbindung mit anderen Mailservern im Internet herzustellen (opportunistic TLS). Wenn eine TLS-Verbindung nicht hergestellt werden kann, werden E-Mail-Nachrichten über SMTP auch im Klartext angenommen (empfangen) oder zugestellt (versendet). Die Kommunikation mit Clients (zum Abruf von E-Mails oder Groupware-Postfächern) erfordert auf Grund einer Kennwort-Anmeldung immer eine TLS-Verbindung.
Anstelle von opportunistic TLS kann eine TLS-Verbindung mit anderen Mailservern im Internet auch durch richtlinienbasierte Verschlüsselung erzwungen werden (TLS Enforcement). Dabei werden E-Mail-Nachrichten nur über eine gültige TLS-Verbindung zugestellt (versendet), wobei eine gültige TLS-Verbindung nicht nur die Verschlüsselung, sondern auch eine mittels X.509-Zertifikat authentifizierte Gegenstelle voraussetzt, so dass keine versehentliche Zustellung an einen falschen Ziel-Server (z.B. man-in-the-middle-Angreifer) erfolgen kann. Ohne eine gültige TLS-Verbindung, wird die Zustellung einer Nachricht verzögert und in einem späteren Zustellversuch (bis zu 10 Tage lange) erneut wiederholt.
Damit E-Mail-Nachrichten auch vom anderen Kommunikationspartner garantiert verschlüsselt angenommen (empfangen) werden, muss der andere Kommunikationspartner ebenfalls TLS Enforcement auf seiner Seite einrichten – nur er kann verhindern, dass er seine Nachrichten nicht versehentlich an einen man-in-the-middle-Angreifer übermittelt. Die Server der mail connect Cloud können zu diesem anhand ihres X.509-Zertifikats ebenfalls authentifiziert und somit überprüft werden.
Geschlossene Teilnehmergruppen mit mTLS
Wenn beide Kommunikationspartner jeweils sowohl beim Versand und beim Empfang eine Authentifizierung für eine gültige TLS-Verbindung mittels TLS Enforcement voraussetzen, spricht man außerdem von einer gegenseitigen TLS-Authentifizierung mittels Clientauthentifizierung (Mutual TLS / mTLS).
Mit mTLS kann optional eine noch höhere Sicherheitsstufe erreicht werden. Für mTLS ist eine zusätzliche bilaterale Vereinbarung zwischen den Serverbetreibern erforderlich, da anstelle des öffentlichen E-Mail-Verkehrs ein geschlossenes E-Mail-System entsteht, das den Nachrichtenaustausch nur zwischen zuvor festgelegten Teilnehmer-Netzwerken zulässt (vgl. auch geschlossene Mail-Systeme wie De-Mail oder EGVP-Infrastruktur für Elektronisches Gerichts- und Verwaltungspostfach).
Voraussetzung für TLS Enforcement und mTLS
Managed Service SLA
Vertraglich bieten wir Ihnen richtlinienbasierte Verschlüsselung mit Ihren Kommunikationspartnern im Rahmen einer SLA-Vereinbarung und eines Managed Service-Dienstleistungsvertrags an. Sie können Ihre Kommunikationspartner anhand von Empfängerdomain und Empfängerserver definieren und das Routing erfolgt dann über entsprechende mail-connect SMTP-Connectoren.
Organisatorische Maßnahmen
Treffen Sie eine bilaterale Vereinbarung mit Ihrem Kommunikationspartner: Da die richtlinienbasierte Verschlüsselung über TLS den Empfängerserver daran hindert, Nicht-TLS-Nachrichten von Ihrer Domain zu erhalten, benötigen Sie eine entsprechende Vereinbarung von der Empfängerorganisation, um TLS Enforcement zu aktivieren. Die Vereinbarung sollte unbedingt technische Ansprechpartner enthalten, um die Verschlüsselungsoptionen für die erforderlichen Richtlinien auf Sende- und Empfangsseite zeitnah abstimmen zu können, da es andernfalls zu erheblichen Verzögerungen und Ausfällen in der E-Mail-Zustellung kommen kann.
Die Vereinbarung kann formlos zwischen Ihnen und Ihrem Kommunikationspartner bzw. dessen Serverbetreiber geschehen und es genügt uns Ihre formlose Bestätigung, dass Sie uns als unser Vertragspartner von etwaigen technischen Fehlern oder Mehraufwänden (z.B. Managed Service Dienstleistungen) freistellen, die aufgrund von Support- oder Service-Aufwand entstehen (z.B. bei Fehlern in der TLS-Verbindung mit dem Empfängerserver Ihres Kommunikationspartners).
Technische Maßnahmen
Richtlinienbasierte Verschlüsselung muss anhand von entsprechende mail-connect SMTP-Connectoren eingerichtet werden. Hierfür müssen regelmäßig (meist jährlich) die X.509-Zertifikate zur Authentifizierung der Gegenstelle geprüft und beglaubigt werden.
Im Übrigen können je nach technischem Stand der beteiligten Mailserver bestimmte Abstimmungen zwischen den jeweiligen technischen Abteilungen erforderlich sein, um die erforderlichen Verschlüsselungsoptionen festzulegen. Die mail-connect CLOUD garantiert dabei kostenfrei alle offenen Standards auf Basis der Protokollversionen TLS 1.1 und 1.2 (ältere oder andere Protokolle werden nur nach individueller Vereinbarung unterstützt).
Häufige Gründe für TLS-Fehler:
- Die TLS-Verbindung muss vom Empfängerserver unterstützt werden. Wenn die Verbindung mittels TLS mit Empfänger fehlschlägt oder die Gültigkeit der TLS-Verbindung nicht validiert werden kann, ist eine Übermittlung von E-Mail-Nachrichten nicht möglich.
- Mails kommen verzögert an. Wenn eine Übermittlung von E-Mail-Nachrichten nicht möglich war/ist, erhalten Sie nach 4 Stunden eine Warn- und nach 10 Tagen eine Fehlermail (Bounce Message / Non-Delivery Report / NDR).
- Die Verbindung zum Empfänger-Mailserver wird vom Empfänger-Mailserver abgelehnt. Dies kann z.B. auftreten, wenn der Empfänger-Mailserver die Verbindung von der mail-connect CLOUD blockiert und falsche Filter oder Firewall-Regeln eingestellt hat - z.B. nach einem Umzug Ihrer Domain zur mail-connect CLOUD.
- Die Verbindung zum Empfänger-Mailserver ist erfolgreich, STARTTLS kann aber nicht genutzt werden. Dies kann auftreten, wenn der Empfänger-Mailserver keine TLS-Verbindungen unterstützt oder STARTTLS nicht vom Empfängerserver als verfügbarer Protokollbefehl angeboten wird.
- Die Verbindung zum Empfänger-Mail-Server ist erfolgreich und STARTTLS wird angeboten, aber die Version des TLS-Protokolls oder eine gewählte SSL-Cipher Suite(Chiffrensammlung) ist unzulänglich, unvollständig oder falsch eingestellt. Aus Sicherheitsgründen werden standardmäßig nur die Standard-Cipher der Protokollversionen ab TLS 1.1 unterstützt.
- Die TLS-Verbindung kann aufgebaut werden, aber die Authentifizierung der Gegenstelle anhand des hinterlegten X.509-Zertifikats schlägt fehl. Dies kann auftreten, wenn der Empfänger-Mailserver kurzfristig ein neues X.509-Zertifikat verwendet, ein ablaufendes Zertifikat erst wenige Tage vor dem Ablauf erneuert wird, das gegenwärtige Zertifikat abgelaufen ist oder wenn Ihr Kommunikationspartner seinen Mailserver austauscht bzw. zu einem anderen E-Mail-Anbieter wechselt.