Technische Infos/E-Mail/FAQ zu Änderungen an Shared Mail

Aus Technische Infos - info.noris.net
Zur Navigation springen Zur Suche springen

Diese Seite soll einige Detailfragen klären zu den Themen: Abschaltung von POP-before-SMTP/SMTP-after-POP, Abschaltung von IMAP und POP (ohne "S", also nicht IMAPS/POP3S) und PlainSMTP-Deprecation

Sollte Ihre Frage hier nicht beantwortet werden, schreiben Sie uns an support@noris.de.

Abschaltung von POP-before-SMTP/SMTP-after-POP

Was ist POP-before-SMTP/SMTP-after-POP und warum wurde es eingesetzt?

Bei POP-before-SMTP beziehungsweise SMTP-after-POP handelt es sich um einen Mechanismus, der dafür eingesetzt wird, eine indirekte Authentifizierung für den E-Mail-Versand durchzuführen. Hierbei authentifiziert man sich indirekt für das Senden von E-Mails durch das Abrufen von E-Mails. Früher war dieser Mechanismus essenziell für das Authentifizierung, heute gibt es dafür eine bessere Alternative (SMTP AUTH), die in der Regel von aktueller Software unterstützt wird. Am Beispiel: User x ruft seine Mails vom Posteingangsserver ab. Der Posteingangsserver teilt dem Postausgangsserver mit, dass sich User x mit einer bestimmten IP erfolgreich authentifiziert hat. Der Postausgangsserver erinnert sich dann eine Zeit lang daran, wenn jemand mit dieser IP Mails versenden möchte.

Warum ist das schlecht?

Dadurch dass der Postausgangsserver der IP vertrauen muss und nichts über den Sender weiß, kann nicht sichergestellt werden, dass hinter dieser IP derselbe Nutzer steckt. So teilen sich in der Regel hinter einem Internetanschluss alle Nutzer eine gemeinsame öffentliche IP (Stichwort NAT). Dieser Effekt wird noch erhöht, wenn es zu DualStackLite bzw. CarrierGrade-NAT kommt. Hier teilen sich mehrere Kunden eines ISPs eine IPv4-Adresse. So kann es passieren, dass mit dem Abrufen von E-Mails mehrere andere Unbekannte für einige Zeit die Möglichkeit bekommen, über den Postausgangsserver Mails zu versenden. Dies betrifft dazu noch auch Nutzer, die sich beim E-Mail-Versand korrekt authentifizieren, da beim Abruf von E-Mails beim Postausgangsserver diese Information nicht vorliegen kann. Was dabei passieren kann an einem Beispiel: Der Sekretär ruft mit Ihrem Mail-Client regelmäßig seine Mails ab und authentifiziert damit die IP, mit der er und seine Chefin ins Internet gehen und auch Mails versenden. Der Sekretär geht nun in den Urlaub. Seine Chefin kann plötzlich keine Mails mehr versenden, da Sie ihren Mail-Client nicht dazu konfiguriert hat regelmäßig Ihre E-Mail abzurufen und sich auch nicht beim Versand am Postausgangsserver authentifiziert.

Was ist SMTP AUTH?

SMTP AUTH ist eine Erweiterung des SMTP-Protokolls (genauer ESMTP), die es ermöglicht sich mit User-Credentials anzumelden. In dem meisten Fällen müssen Sie hierüber nicht genau Bescheid wissen, Ihr Mail-Client kümmert sich um die Details, solange dieser korrekt eingestellt ist.

Woher weiß ich, ob ich meinen Client richtig eingestellt habe?

Jeder Mail-Client ist hier etwas anders. Überprüfen Sie in Ihrem Postfacheinstellungen Ihres Clients, ob Sie beim Mail-Versand via SMTP den Haken für die Authentifizieren beim Versand gestzt haben und den korrekten Benutzernamen und das korrekte Passwort angegeben haben. Viele Clients haben auch einen Button, um die korrekte Konfiguration zu Testen. Achten Sie bitte auch darauf, dass Sie beim Versenden die Verbindung verschlüsseln, da sonst keine Authentifizierung erlaubt wird. Sie finden hier Details, was beim konfigurieren Ihres Clients zu beachten ist: Technische_Infos/E-Mail/Postfach


Abschaltung von IMAP und POP

Was ist das und wofür wird es verwendet?

Mit den Protokollen IMAP und POP3 können Sie Ihre Mails vom Posteingangsserver abholen. Beide Protokolle gibt es auch in einer verschlüsselten Variante IMAPS und POP3S. Wir werden nur die unverschlüsselten Protokollversionen abschalten. Während IMAP Port 143 und POP3 den Port 110 verwendet, verwenden die verschlüsselten Protokolle auf Port 993 für IMAPS und auf Port 995 für POP3S.

Woher weiß ich, ob ich das richtige Protokoll verwende?

Gehen Sie in die Einstellungen für den Postausgangs-Server und überprüfen Sie, dass das richtige Protokoll und der richtige Port ausgewählt wurden. Ebenso ist es wichtig, dass die Option "SSL/TLS" aktiv ist. Genauere Details finden Sie hier: Technische_Infos/E-Mail/Postfach

Ich habe hier smtp.noris.net und imap.noris.net stehen. Ist das falsch?

Nein, beide Adressen sind Aliase (CNAMES) von mail.noris.net.


PlainSMTP-Deprecation

Wann passiert das?

Aktuell kündigen wir nur an, dass wir gerne keine E-Mails mehr unverschlüsselt annehmen und versenden möchten. Es gibt leider immer noch einen Teil von Mails, der nicht verschlüsselt übertragen wird, weil von der Gegenseite keine Verschlüsselung aufgebaut wird.

Verschlüsselt noris denn nicht schon?

So fern dies von der Gegenseite unterstützt/gewünscht, werden alle Mails, die über unsere Shared-Infrastruktur versendet und empfangen werden verschlüsselt. Funktioniert dies nicht, ist bei SMTP ein Fallback auf unverschlüsselt/plain vorgsehen. Diesen Fallback verhindern wir nur, wenn dies von unseren Kunden ausdrücklich gewünscht ist.

Warum wollen wir das nicht mehr?

Wenn Mails unverschlüsselt versendet werden, werden diese auch ins Internet außerhalb unserer Infrastruktur übermittelt. Daher besteht die Möglichkeit, dass ein Man-in-the-Middle, de Pakete mitschneiden und lesen kann.

Zählt dies für alle Mails?

Prinzipiell verschlüsseln wir den Transport von Mails immer, sofern dies möglich ist. SMTP sieht hier einen Fallback auf Klartext vor, dies ist das übliche Vorgehen im Internet. Für Mails, die unser Netz verlassen, wollen wir dies in Zukunft komplett unterbinden.

Was ist mit Inhaltsverschlüsselung (S/MIME und PGP) und was ist der Unterschied zur Transportverschlüsselung?

Bei der Transportverschlüsselung geht es um die Kommunikation zwischen jeweils zwei Servern. Es geht darum zu verhindern, dass Mails zwischen den Servern gelesen werden können. Bei der Inhaltverschlüsselung geht es darum, dass auch auf den Servern die Mail nicht in Klartext vorliegt, dies ässt sich beispielsweise durch PGP oder S/MIME gewährleisten. Hier geht es um die Transportverschlüsselung, nicht um die Inhaltsverschlüsselung. Da auch bei verschlüsseltem Inhalt immer noch Header und andere Meta-Informationen lesbar bleiben, sollte auch dann transportverschlüsselt werden, wenn die Mails inhaltsverschlüsselt ist.

Was muss ich tun, wenn ich an noris-Server Mails schicken oder von noris-Servern Mails bekommen möchte?

Stellen Sie sicher, dass Ihr Mail-Server (sendend oder empfangend) stets versucht den Transportweg mit STARTTLS zu verschlüsseln. Dies sollten Sie auch jetzt schon tun, auch wenn wir noch eine Weile die Möglichkeit bieten, Mails im Klartext zu versenenden.

Welche TLS-Versionen werden unterstützt?

Aktuell unterstützen wir TLS1.1 und aufwärts in Zukunft wird auch TLS 1.3 dazukommen, dies ist jedoch noch nicht implementiert.


Verschiedenes

Was ist der Unterschied zwischen SSL, TLS, STARTTLS und STLS

Alle vier Technologien werden beim Abruf oder beim Versenden von Mails zur Verschlüsselung eingesetzt.
TLS ist die neue Bezeichnung für SSL (nach SSL 3.0 kommt TLS 1.0).
SSL/TLS werden unter anderem auch beim Abruf von Webseiten verwendet (via HTTPS); hier wird HTTP in einem TLS-Tunnel gesprochen, d.h. es wird erst eine mit TLS verschlüsselte Verbindung aufgebaut und nach erfolgreichem Aufbau HTTP gesprochen.
Beim Mail-Versand wird die Verschlüsselung in der Regel anders aufgebaut. Zunächst wird eine Verbindung aufgebaut in der SMTP gesprochen wird, dann wird durch den Befehl STARTTLS die Verbindung aufgewertet zu einer verschlüsselten Verbindung, auch hier ist die zugrunde liegende Technologie TLS. Die Reihenfolge ist hier von entscheidender Rolle. Im ersten Fall TLS->HTTP im zweiten SMTP->STARTTLS.
Es gibt aber auch bei Mail die Möglichkeit für das einliefern von Mails TLS-on-connect zu verwenden. Das bedeutet, dass hier erst der TLS-Tunnel aufgebaut wird und in diesem die SMTP-Kommunikation stattfindet; hierfür ist der Port 465 (SUBMISSONS RFC8314). Dies wird üblicherweise nicht für Server-zu-Server-Verbindungen genutzt sondern von Client-zu-Server-Verbindungen. Auch mail.noris.net bietet diese Möglichkeit.
Bei STLS handelt es sich um das STARTTLS-Äquivalent für IMAP bzw POP3. Ist aber in der Praxis eher unüblich und es werden stattdessen direkt IMAPS und POP3S verwendet. Vereinfacht:

  • IMAPS = TLS-on-connect -> IMAP
  • verschlüsseltes IMAP = IMAP->STLS
  • POP3S = TLS-on-connect -> POP3
  • verschlüsseltes POP3 = POP3->STLS