ich habe da mal eine Frage: was versteht man bei Lancom nun genau unter STARTTLS und SMTPS in der 8.84 RC1?
SSL v2.0-3.1 ?
TLS v1.0-1.2 ?
Danke für die Aufklärung
Grüße
Cpuprofi
Was versteht man bei Lancom genau unter STARTTLS und SMTPS?
Moderator: Lancom-Systems Moderatoren
Was versteht man bei Lancom genau unter STARTTLS und SMTPS?
Hallo an Alle,
ich habe da mal eine Frage: was versteht man bei Lancom nun genau unter STARTTLS und SMTPS in der 8.84 RC1?
SSL v2.0-3.1 ?
TLS v1.0-1.2 ?
Danke für die Aufklärung
Grüße
Cpuprofi
ich habe da mal eine Frage: was versteht man bei Lancom nun genau unter STARTTLS und SMTPS in der 8.84 RC1?
SSL v2.0-3.1 ?
TLS v1.0-1.2 ?
Danke für die Aufklärung
Grüße
Cpuprofi
Re: Was versteht man bei Lancom genau unter STARTTLS und SMT
Der eingebaute E-Mail-Client, den man über die Cron- oder Aktionstabelle ansprechen kann, kann darüber sichere E-Mails verschicken.
Bei SMTPS wird die komplette Kommunikation über einen SSL-Tunnel geschoben, bei STARTTLS wird die Verschlüsselung während einer bestehenden Verbindung mit dem Befehl STARTTLS zugeschaltet.
Bei SMTPS wird die komplette Kommunikation über einen SSL-Tunnel geschoben, bei STARTTLS wird die Verschlüsselung während einer bestehenden Verbindung mit dem Befehl STARTTLS zugeschaltet.
LCS NC/WLAN
Re: Was versteht man bei Lancom genau unter STARTTLS und SMT
Hallo 5624,
die Grundlagen sind mir schon bekannt, trotzdem Danke an Dich für die Erläuterung.
Was mich interessiert, ist was genau bei den Lancom-Geräten für Protokolle (welcher Typ und welche Version) verwendet werden, bzw. verwendet werden können.
Grüße
Cpuprofi
die Grundlagen sind mir schon bekannt, trotzdem Danke an Dich für die Erläuterung.
Was mich interessiert, ist was genau bei den Lancom-Geräten für Protokolle (welcher Typ und welche Version) verwendet werden, bzw. verwendet werden können.
Grüße
Cpuprofi
Re: Was versteht man bei Lancom genau unter STARTTLS und SMT
Moin,
also SSL 2.0 ist ja mehr oder weniger historisch, das hat der SSL/TLS-Stack im LCOS nie unterstützt, und ein SSL 3.1 gibt es eigentlich nicht, bzw. Protokollversion 0x0301 ist TLS 1.0 (das sorgt manchmal für Verwirrung). Theoretisch 'schlummert' auch schon im LCOS 8.84 Support für TLS > 1.0, wenn die jeweilige Applikation das aber nicht freizuschalten erlaubt (z.B. für HTTPS unter Setup/HTTP), dann bleibt es bei SSL 3.0 und TLS 1.0. Die BEAST-Attacken sind auch schon in der TLS 1.0-Implementation berücksichtigt, durch Einfügen von Leer-Records. RC4 abschalten geht bei LCOS 8.84 nicht, die Liste der Cipher-Suiten ist intern hart verdrahtet. Eine Konfigurierbarkeit in der Hinsicht wird es erst bei LCOS 9.00 geben.
Gruß Alfred
also SSL 2.0 ist ja mehr oder weniger historisch, das hat der SSL/TLS-Stack im LCOS nie unterstützt, und ein SSL 3.1 gibt es eigentlich nicht, bzw. Protokollversion 0x0301 ist TLS 1.0 (das sorgt manchmal für Verwirrung). Theoretisch 'schlummert' auch schon im LCOS 8.84 Support für TLS > 1.0, wenn die jeweilige Applikation das aber nicht freizuschalten erlaubt (z.B. für HTTPS unter Setup/HTTP), dann bleibt es bei SSL 3.0 und TLS 1.0. Die BEAST-Attacken sind auch schon in der TLS 1.0-Implementation berücksichtigt, durch Einfügen von Leer-Records. RC4 abschalten geht bei LCOS 8.84 nicht, die Liste der Cipher-Suiten ist intern hart verdrahtet. Eine Konfigurierbarkeit in der Hinsicht wird es erst bei LCOS 9.00 geben.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: Was versteht man bei Lancom genau unter STARTTLS und SMT
Hallo Alfred,
danke für Deine Ausführungen, wenn ich das jetzt richtig sehe, benutzt Lancom für SMTPS die Version SSL 3.0 und STARTTLS die Version TLS 1.0 .
Somit wären dann die Standart-Ports für SMTPS der Port: 465 und für STARTTLS der Port: 25 . Oder hat sich da noch was verändert?
Grüße
Cpuprofi
danke für Deine Ausführungen, wenn ich das jetzt richtig sehe, benutzt Lancom für SMTPS die Version SSL 3.0 und STARTTLS die Version TLS 1.0 .
Somit wären dann die Standart-Ports für SMTPS der Port: 465 und für STARTTLS der Port: 25 . Oder hat sich da noch was verändert?
Grüße
Cpuprofi
Re: Was versteht man bei Lancom genau unter STARTTLS und SMT
Moin,
Gruß Alfred
Das LANCOM bietet in beiden Fällen TLS 1.0 an, wenn in einem Fall nur SSL 3.0 zustandekommt, dann hat der Server die Version herunterverhandelt.wenn ich das jetzt richtig sehe, benutzt Lancom für SMTPS die Version SSL 3.0 und STARTTLS die Version TLS 1.0 .
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: Was versteht man bei Lancom genau unter STARTTLS und SMT
Hallo Alfred,
dann verstehe ich jetzt aber nicht, warum der Lancom über Port 465 mit STARTTLS Mails versenden kann und mit SMTPS nicht...
Wenn ich das mit einem Email-Programm gegenteste, dann ist sowohl mit SSL 3.0 als auch mit TLS 1.0 ein versenden beim gleichen Email-Provider möglich.
Grüße
Cpuprofi
dann verstehe ich jetzt aber nicht, warum der Lancom über Port 465 mit STARTTLS Mails versenden kann und mit SMTPS nicht...
Wenn ich das mit einem Email-Programm gegenteste, dann ist sowohl mit SSL 3.0 als auch mit TLS 1.0 ein versenden beim gleichen Email-Provider möglich.
Grüße
Cpuprofi
Re: Was versteht man bei Lancom genau unter STARTTLS und SMT
Moin,
das hat ja weniger mit der SSL/TLS-Version zu tun, sondern damit, wie der Tunnel aufgebaut wird. SSL/TLS kann man prinzipiell auf zwei Arten nutzen: entweder man baut direkt den Tunnel auf und fängt erst danach mit dem eigentlichen Nutzdatenprotokoll an. Dann braucht man für die verschlüsselte Variante einen anderen TCP-Port, weil der 'Listener' ja erstmal etwas ganz anderes 'sprechen muß'. Das ist z.B. bei HTTP die bevorzugte Methode, man geht statt auf Port 80 auf Port 443. Die andere Variante ist, erstmal unverschlüsselt anzufangen SSL/TLS auszuhandeln. Bei Telnet gibt es beide Varianten, entweder direkt SSL/TLS auf Port 992 oder normal auf Port 23 und SSL wird dann bei Bedarf ausgehandelt. Bei SMTP ist das so ähnlich, STARTTLS ist Aushandlung nach Bedarf und SMTPS direkter Aufbau mit SSL/TLS. STARTTLS ist aber bei SMTP deutlich gängiger, kann gut sein, daß der Server SMTPS gar nicht kann...
Gruß & schöne Feiertage
Alfred
das hat ja weniger mit der SSL/TLS-Version zu tun, sondern damit, wie der Tunnel aufgebaut wird. SSL/TLS kann man prinzipiell auf zwei Arten nutzen: entweder man baut direkt den Tunnel auf und fängt erst danach mit dem eigentlichen Nutzdatenprotokoll an. Dann braucht man für die verschlüsselte Variante einen anderen TCP-Port, weil der 'Listener' ja erstmal etwas ganz anderes 'sprechen muß'. Das ist z.B. bei HTTP die bevorzugte Methode, man geht statt auf Port 80 auf Port 443. Die andere Variante ist, erstmal unverschlüsselt anzufangen SSL/TLS auszuhandeln. Bei Telnet gibt es beide Varianten, entweder direkt SSL/TLS auf Port 992 oder normal auf Port 23 und SSL wird dann bei Bedarf ausgehandelt. Bei SMTP ist das so ähnlich, STARTTLS ist Aushandlung nach Bedarf und SMTPS direkter Aufbau mit SSL/TLS. STARTTLS ist aber bei SMTP deutlich gängiger, kann gut sein, daß der Server SMTPS gar nicht kann...
Gruß & schöne Feiertage
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: Was versteht man bei Lancom genau unter STARTTLS und SMT
Hallo Alfred,
danke für die Antwort, ich werde das mal mit dem Email-Provider abklären.
Auch Dir schöne Weihnachtstage.
Grüße
Cpuprofi
danke für die Antwort, ich werde das mal mit dem Email-Provider abklären.
Auch Dir schöne Weihnachtstage.
Grüße
Cpuprofi
Re: Was versteht man bei Lancom genau unter STARTTLS und SMT
Hallo Alfred,
irgendwie ist dort noch der Wurm drin...
Auf meine Anfrage nach den unterstützten Ports und Protokollen hat mein Provider (kontent.com) folgendes geantwortet:
SMTP OHNE SSL - Serverport 25 (*alternativ Serverport 587)
SMTP MIT SSL Serverport 465 SSL
SMTP MIT SSL Serverport 25, 587 TLS
Somit müsste ich für SMTPS über Port 465 im Lancom bei
SMTP-Konto -> Allgemeine Einstellungen -> Verschlüsselung/TLS = Verschlüsselt (SMTPS)
und bei
SMTP-Konto -> Anmeldung -> Authentifizierung = Verschlüsselt
einstellen, damit ein Mail-Versand erfolgt. Das aber funktioniert nicht !?!
Wenn ich aber bei
SMTP-Konto -> Allgemeine Einstellungen -> Verschlüsselung/TLS = Erforderlich (STARTTLS)
einstelle, dann funktioniert der Mail-Versand...
Wo ist da nun der Wurm drin...?
Grüße
Cpuprofi
irgendwie ist dort noch der Wurm drin...
Auf meine Anfrage nach den unterstützten Ports und Protokollen hat mein Provider (kontent.com) folgendes geantwortet:
SMTP OHNE SSL - Serverport 25 (*alternativ Serverport 587)
SMTP MIT SSL Serverport 465 SSL
SMTP MIT SSL Serverport 25, 587 TLS
Somit müsste ich für SMTPS über Port 465 im Lancom bei
SMTP-Konto -> Allgemeine Einstellungen -> Verschlüsselung/TLS = Verschlüsselt (SMTPS)
und bei
SMTP-Konto -> Anmeldung -> Authentifizierung = Verschlüsselt
einstellen, damit ein Mail-Versand erfolgt. Das aber funktioniert nicht !?!
Wenn ich aber bei
SMTP-Konto -> Allgemeine Einstellungen -> Verschlüsselung/TLS = Erforderlich (STARTTLS)
einstelle, dann funktioniert der Mail-Versand...
Wo ist da nun der Wurm drin...?
Grüße
Cpuprofi
Re: Was versteht man bei Lancom genau unter STARTTLS und SMT
Moin Cpuprofi!
Ich glaube, da ist erstmal etwas Begriffsbestimmung notwendig.
/Setup/Mail/SMTP-use-TLS legt fest, wie sich das LANCOM mit dem Server verbindet
Yes (1): Die Verbindung wird sofort verschlüsselt (entspricht SMTPS)
No (0): Die Verbindung wird niemals verschlüsselt, also auch kein STARTTLS
Preferred (2): Die Verbindung wird unverschlüsselt aufgebaut und per STARTTLS auf verschlüsselt umgeschaltet, wenn der Server das anbietet
Required (3): Die Verbindung wird unverschlüsselt aufgebaut und per STARTTLS auf verschlüsselt umgeschaltet, selbst wenn der Server das nicht anbietet
Daraus ergibt sich,
1. daß für SMTPS nur "Yes" funktioniert
2. daß für Server, die kein STARTTLS anbieten "No" und "Preferred" funktionieren
3. daß für Server, die STARTTLS anbieten, aber die Verwendung nicht erzwingen "No", "Preferred" und "Required" funktionieren
4. daß für Server, die STARTTLS anbieten und die Verwendung erzwingen "Preferred" und "Required" funktionieren
/Setup/Mail/SMTP-Authentication legt fest, wie sich das LANCOM die Anmeldedaten überträgt
None (0): Das LANCOM überträgt keine Anmeldedaten
Plain-Text-Preferred (1): Das LANCOM bevorzugt "PLAIN" oder "LOGIN" gegenüber "CRAM-MD5"
Encrypted (2): Das LANCOM verwender "CRAM-MD5"
Preferred-Encrypted (3): Das LANCOM bevorzugt "CRAM-MD5" gegenüber "PLAIN" oder "LOGIN"
Jetzt zur Verwendung im realen Umgang mit Mail-Providern:
Heutzutage ist SMTPS eigentlich schon nicht mehr aktuell. Diverse Provider unterstützen das noch, aber sogar die Port-Reservierung ist mittlerweile wieder aufgehoben - Port 465 "gehört" also eigentlich nicht mehr zu SMTPS.
Fast alle Provider bieten den Zugang über Port 587 als Standard, manche noch über Port 25. Wird Verschlüsselung angeboten, dann meist über den Weg "unverschlüsselt verbinden und dann STARTTLS". Am besten funktionieren wird also heutzutage Port 587 und "Preferred" für SMTP-use-TLS.
Bei der Authentifizierung werden die meisten Provider mittlerweile CRAM-MD5 anbieten. Der Vorteil davon ist, daß der Provider das Passwort nur als HASH zu sehen bekommt. Vorteilhaft deswegen, weil das Passwort bei einer Anmeldung am falschen Server oder bei MITM nicht kompromittiert wird. Wem das egal ist, der wählt für SMTP-Authentication "Preferred-Encrypted".
Wenn es bei der Verbindung zum Server hakt, hilft der MAIL-Trace weiter.
Ciao, Georg
Ich glaube, da ist erstmal etwas Begriffsbestimmung notwendig.
/Setup/Mail/SMTP-use-TLS legt fest, wie sich das LANCOM mit dem Server verbindet
Yes (1): Die Verbindung wird sofort verschlüsselt (entspricht SMTPS)
No (0): Die Verbindung wird niemals verschlüsselt, also auch kein STARTTLS
Preferred (2): Die Verbindung wird unverschlüsselt aufgebaut und per STARTTLS auf verschlüsselt umgeschaltet, wenn der Server das anbietet
Required (3): Die Verbindung wird unverschlüsselt aufgebaut und per STARTTLS auf verschlüsselt umgeschaltet, selbst wenn der Server das nicht anbietet
Daraus ergibt sich,
1. daß für SMTPS nur "Yes" funktioniert
2. daß für Server, die kein STARTTLS anbieten "No" und "Preferred" funktionieren
3. daß für Server, die STARTTLS anbieten, aber die Verwendung nicht erzwingen "No", "Preferred" und "Required" funktionieren
4. daß für Server, die STARTTLS anbieten und die Verwendung erzwingen "Preferred" und "Required" funktionieren
/Setup/Mail/SMTP-Authentication legt fest, wie sich das LANCOM die Anmeldedaten überträgt
None (0): Das LANCOM überträgt keine Anmeldedaten
Plain-Text-Preferred (1): Das LANCOM bevorzugt "PLAIN" oder "LOGIN" gegenüber "CRAM-MD5"
Encrypted (2): Das LANCOM verwender "CRAM-MD5"
Preferred-Encrypted (3): Das LANCOM bevorzugt "CRAM-MD5" gegenüber "PLAIN" oder "LOGIN"
Jetzt zur Verwendung im realen Umgang mit Mail-Providern:
Heutzutage ist SMTPS eigentlich schon nicht mehr aktuell. Diverse Provider unterstützen das noch, aber sogar die Port-Reservierung ist mittlerweile wieder aufgehoben - Port 465 "gehört" also eigentlich nicht mehr zu SMTPS.
Fast alle Provider bieten den Zugang über Port 587 als Standard, manche noch über Port 25. Wird Verschlüsselung angeboten, dann meist über den Weg "unverschlüsselt verbinden und dann STARTTLS". Am besten funktionieren wird also heutzutage Port 587 und "Preferred" für SMTP-use-TLS.
Bei der Authentifizierung werden die meisten Provider mittlerweile CRAM-MD5 anbieten. Der Vorteil davon ist, daß der Provider das Passwort nur als HASH zu sehen bekommt. Vorteilhaft deswegen, weil das Passwort bei einer Anmeldung am falschen Server oder bei MITM nicht kompromittiert wird. Wem das egal ist, der wählt für SMTP-Authentication "Preferred-Encrypted".
Wenn es bei der Verbindung zum Server hakt, hilft der MAIL-Trace weiter.
Ciao, Georg
Re: Was versteht man bei Lancom genau unter STARTTLS und SMT
Hallo Georg,
danke für Deine ausführliche Erklärung. Ich habe mal einen Mail-Trace gemacht und bei SMTPS bekomme ich folgende Fehlermeldung:
[Mail-Client] 2014/01/08 17:51:46,110 Devicetime: 2014/01/08 17:51:40,090
<Could not open TLS connection to smtp.kontent.com>
Wie kann ich nun testen, ob der Mail-Server "wirklich" SSL (SMTPS) auf Port 465 spricht?
Für STARTTLS gibt es ja die Webseite http://www.checktls.com/tests.html, wobei ich das mit dem Lancom über Telnet nicht hin bekommen habe... aber bei einem Email-Programm funktioniert es...
Gibt es so etwas auch für SMTPS?
Grüße
Cpuprofi
danke für Deine ausführliche Erklärung. Ich habe mal einen Mail-Trace gemacht und bei SMTPS bekomme ich folgende Fehlermeldung:
[Mail-Client] 2014/01/08 17:51:46,110 Devicetime: 2014/01/08 17:51:40,090
<Could not open TLS connection to smtp.kontent.com>
Wie kann ich nun testen, ob der Mail-Server "wirklich" SSL (SMTPS) auf Port 465 spricht?
Für STARTTLS gibt es ja die Webseite http://www.checktls.com/tests.html, wobei ich das mit dem Lancom über Telnet nicht hin bekommen habe... aber bei einem Email-Programm funktioniert es...
Gibt es so etwas auch für SMTPS?
Grüße
Cpuprofi