E-Mail Benachrichtigung geht nicht

[rotwang]

Der User "Dr.Einstein", der sich selber hier leider derzeit nicht mehr äußern kann, weil er sich nicht mehr einloggen kann, weswegen ich hier gerade mal ins Forum geschaut habe und das hier zufällig lese, hatte mir hier mal mitgeteilt, dass LANtracer inzwischen auch SSH nutzt. Sofern also der Zugang über SSH in den Geräteeigenschaften in LANconfig korrekt hinterlegt ist und funktioniert, wird dieser bevorzugt verwendet.

Das ist insofern gut, als dass der SSH-Stack im LCOS eine Sperre enthält, die nach Möglichkeit verhindert, dass so ein Schneeballeffekt beim SSH-Trace auftritt. Will heißen, man kann per SSH aufs Gerät gehen, dort ein 'tr # ssh' absetzen und erhält dann Trace-Meldungen zu allen SSH-Sitzungen *abzüglich* derjenigen, über die gerade SSH getraced wird. Das Filter ist nicht 100%, ein paar Keepalive-Meldungen kommen trotzdem durch, aber es reicht, dass man auf einer SSH-Sitzung den Verbindungsaufbau einer anderen tracen kann.

[rotwang]

Welcher Workaround ist denn nun zu bevorzugen: TLSv1.3 abschalten oder die Elliptic Curves auf den Wert secp384r1 reduzieren?

Ich persönlich würde letzteres bevorzugen, so lange mein LANCOM Mails nur an den Telekom-Server schickt.

Das Problem betrifft übrigens nur die 10.80 und wird mit dem nächsten RU behoben sein.

[Jirka]

da kannst du froh sein, wenn der Provider überjaupt noch unverschlüsselte Verbindungen erlaubt. Normal dürfte mittlerweile sein, daß auf einer unverschlüsselten Verbindung zwingend erst STARTTLS gemacht werden muß, ehe man sich anmelden kann.

Ja, stimmt. Aber ALL-INKL unterstützt tatsächlich noch unverschlüsselte E-Mail, darf man gar nicht an die große Glocke hängen. Natürlich wird auch mit IP-based Geolocation und anderen Maßnahmen gegen SPAM-Versand vorgegangen.

Da wird man vermutlich keine Antwort bekommen.

Na ja, wir haben doch jetzt hier auch Leute von der Telekom (und ehemalige ). Meinst Du nicht, dass man da was auf dem kurzen Dienstweg geklärt bekommt? Das ist doch kein Hersteller in fernen Ländern wo ein Datenblatt gewisse Infos nicht hergibt und es keine Kontaktperson gibt, an die man sich wenden könnte. Ist die Telekom nicht auch ein guter Kunde bei LANCOM? Also wenn ich eine Bitte oder Frage an meine Kunden habe, dann gibt es plötzlich auch Termine für Dritte, die es sonst natürlich nicht gibt.

Ich vermute aber mal, dass neue BSI-Richtlinien reinspielen, die die Sicherheit von 2K RSA-Schlüsseln in Frage stellen. Was umstritten ist, siehe die aktuelle c't.

Interessant. Ich habe gerade groß angelegte VPN-Umstellungen von Philips Healthcare auf dem Tisch, da ist davon auch nichts zu sehen.
Den c't-Artikel konnte ich jetzt auf Anhieb nicht finden.

Schaut man sich den TLS-Handshake mal ansonsten an, dann sieht man, daß der Server TLS_AES_256_GCM_SHA384 als Cipher-Suite wählt und einen 4K RSA-Schlüssel im Zertifikat hat. Das wäre vor 2,3 Jahren noch unter "Enterprise/Government/Military Grade" Verschlüsselung gelaufen...

Hmm. Woher kommt diese Entwicklung? Abenteuerlich.

[rotwang]

Den c't-Artikel konnte ich jetzt auf Anhieb nicht finden.

Aktuelle Ausgabe 4/2024, Seite 36. Oder hier im Anriss:

https://www.heise.de/select/ct/2024/4/2 ... 3370252791

Dise BSI-Empfehlung ist letzten Endes auch der Hintergrund, warum eine aktuelle 10.72/10.80 nach einem Konfig-Reset z.B. einen 3072 Bit langen SSH-Hostkey erzeugt.

[Dr.Einstein]

Zu dem eigentlichen Thema dieses Threads: Wäre ja mal interessant, was die Telekom dazu sagt (also insbesondere zu den Sachen die rotwang heute um 9:01 Uhr geschrieben hat). Ich habe derartige Änderungen bei den SSL/TLS-Verschlüsselungen jetzt schon mehrfach unangekündigt erlebt, das letzte war der Provider ALL-INKL. Alte Software/alte Geräte können da nicht mehr mithalten und E-Mails können (plötzlich) nicht mehr abgesetzt werden, die Funktionalität ist also nicht mehr gegeben. Da bleibt dann nur die Verschlüsselung ganz auszustellen und unverschlüsselt zu senden - schöne neue Welt! (Natürlich mit einem extra dafür hergerichteten E-Mail-Konto nur zum Versenden.)

Hi Jirka,

soweit ich mitbekommen habe, gibt es mittlerweile bei vielen Themen, wo etwas abgeschaltet wird, eine Information an die Kunden. Bei der TLS 1.0 / 1.1 Abschaltung stand monatelang im Kundencenter ein Hinweis dazu, evtl. verlinkt auf diesen Artikel oder auf etwas anderes https://telekomhilft.telekom.de/t5/Tele ... -p/5755077 Als bei VoIP der A-Record abgeschaltet wurde, gab es Emails und sogar Briefe mit Hinweisen, dass man etwas veraltetes nutzt, was demnächst nicht mehr geht. Was aber meines Wissens nach noch nie veröffentlicht wurde, ist das Ergänzen von neuen Verschlüsselungsverfahren bzw. das Ändern eines Defaults. Und dazu zählt der Wechsel des Defaults von SMTP auf TLS_AES_256_GCM_SHA384. Dumm gelaufen, wenn hier ein Implementierungsfehler im LCOS vorliegt, passiert. Genauso müsste man ja auch über den Wechsel von Zertifikaten informieren, macht auch so gut wie niemand.

Hintergrund werden BSI Richtlinie an damit anknüpfenden Forderungen zur Umsetzung der NIST-2 Richtlinie sein. Vermutlich alles Kanonen auf Spatzen, aber immerhin hat man damit als Provider seine Ruhe und kann sich entspannt zurücklehnen.

[Hagen2000]

Das Problem betrifft übrigens nur die 10.80 und wird mit dem nächsten RU behoben sein.

Mit LCOS 10.80.0448RU3 funktioniert der Versand über den Telekom SMTP-Server nun wieder.