NoSpamProxy Forum
Unverschlüsselte Verbindungen blockieren - Druckversion

+- NoSpamProxy Forum (https://forum.nospamproxy.com)
+-- Forum: NoSpamProxy (https://forum.nospamproxy.com/forumdisplay.php?fid=1)
+--- Forum: Protection (https://forum.nospamproxy.com/forumdisplay.php?fid=3)
+--- Thema: Unverschlüsselte Verbindungen blockieren (/showthread.php?tid=103)

Seiten: 1 2


Unverschlüsselte Verbindungen blockieren - SBW - 12.02.2020

Guten Abend zusammen,
wir bereits an anderer Stelle beschrieben, planen wir die Abschaltung von TLS 1.0 und TLS 1.1. Nun kam im Rahmen der Planung die Idee auf, bis zur finalen Abschaltung in gewissen Zeitabständen unverschlüsselte Verbindungen zu blockieren.

Wir würden am Tag X im Empfangskonnector -> Verbindungssicherheit den Parameter "Verlange StartTLS als Verbindungssicherheit" ausgewählen. Anschließend natürlich die Gateway Rollen neu gestarteten, damit die Konfiguration auf jeden Fall wirksam wird.

Ist das überhaupt die richtige Stellschraube für unser Vorhaben? Falls dies so wäre, welchen Fehlercode bzw. Nachricht bekommt die Gegenstelle? Nach dem Motto "Unverschlüsselte Verbindungen werden in absehbarer Zeit nicht mehr möglich sein.".


Gruß,
Daniel


RE: Unverschlüsselte Verbindungen blockieren - JanJäschke - 13.02.2020

Guten Morgen Daniel,

ja das ist die richtige Stellschraube. Eine Neustart der Gateway-Rolle ist aber nicht zwingend erforderlich, nur als Info.

Die zurück gegebene Meldung sieht dann wie folgt aus:


Code:
This is the mail system at host postfix-external.example-external.test.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<example@example.test>: host nsp-ws-2019.example.test[10.82.0.21] said: 553 5.7.3 A secured
    connection (either via StartTLS or SMTPS) is required for this sender. (in
    reply to MAIL FROM command)


Gruß,
Jan


RE: Unverschlüsselte Verbindungen blockieren - S.Beiler - 13.02.2020

(12.02.2020, 19:52)SBW schrieb: Guten Abend zusammen,
wir bereits an anderer Stelle beschrieben, planen wir die Abschaltung von TLS 1.0 und TLS 1.1. Nun kam im Rahmen der Planung die Idee auf, bis zur finalen Abschaltung in gewissen Zeitabständen unverschlüsselte Verbindungen zu blockieren.

Wir würden am Tag X im Empfangskonnector -> Verbindungssicherheit den Parameter "Verlange StartTLS als Verbindungssicherheit" ausgewählen. Anschließend natürlich die Gateway Rollen neu gestarteten, damit die Konfiguration auf jeden Fall wirksam wird.

Ist das überhaupt die richtige Stellschraube für unser Vorhaben? Falls dies so wäre, welchen Fehlercode bzw. Nachricht bekommt die Gegenstelle? Nach dem Motto "Unverschlüsselte Verbindungen werden in absehbarer Zeit nicht mehr möglich sein.".


Gruß,
Daniel

Hallo SBW Smile

an meinem Post findest du ein Skript zur Auswertung der aktuell genutzten TLS Verbindungen. Um das Skript zu nutzen muss ein SQL Management Studio installiert sein, innerhalb des Skripts kann man noch definieren für welchen Zeitraum : d, -7 (das .txt muss entfernt werden)


RE: Unverschlüsselte Verbindungen blockieren - SBW - 13.02.2020

Guten Morgen Jan,
vielen Dank an dieser Stelle für den Praxistest. Ich werde natürlich berichten, wie die Rückmeldung im Feld aussieht.

Guten Morgen S.,
vielen Dank für das SQL Skript und die dafür notwendige Zeit. Funktioniert sogar auf Anhieb... Wink
Die Gruppierung der verschiedenen Algorithmen ist natürlich eine feine Sache. Dafür gibt's ein +1.

Nachdem die Hauptarbeite eigentlich getan ist, dürfte der Report in NSP nur noch eine Formsache sein, oder?  Big Grin

Gruß,
Daniel


RE: Unverschlüsselte Verbindungen blockieren - JanJäschke - 13.02.2020

Hallo Daniel,

ich werde es in ein Powershell Skript adaptieren.
Eine GUI Implementierung wird es erst geben wenn wir unser komplettes Reporting überarbeitet haben. Wink


Gruß,
Jan


RE: Unverschlüsselte Verbindungen blockieren - SBW - 13.02.2020

Hallo Jan,

Zitat:ich werde es in ein Powershell Skript adaptieren.
Wegen mir muss es nicht sein. Ob ich ein Powershell- oder SQL-Skript starte, ist grad "wurscht".

Zitat:Eine GUI Implementierung wird es erst geben wenn wir unser komplettes Reporting überarbeitet haben.
Gibt es dazu eine Timeline (du heißt ja nicht Stefan Cink)? Big Grin


Gruß,
Daniel


RE: Unverschlüsselte Verbindungen blockieren - S.Beiler - 13.02.2020

(13.02.2020, 13:49)SBW schrieb: Gibt es dazu eine Timeline (du heißt ja nicht Stefan Cink)? Big Grin


Unser Jan ist ebenfalls ein PM so wie der geschätzte Kollege Cink Smile


RE: Unverschlüsselte Verbindungen blockieren - JanJäschke - 13.02.2020

Und deswegen adaptiere ich die Antwort vom Kollegen Cink einfach mal   Angel

Wir sind jüngst davon abgerückt, Features in Versionen anzukündigen. Wir entwickeln sehr eng an Scrum angelehnt und verschieben Features von der Prio eine Stelle nach hinten, wenn sicherheitskritische Funktionen ad hoc eingebaut werden müssen. Von daher werden wir in Zukunft die Verfügbarkeit nur noch in Quartalen angeben.


Beste Grüße,
Jan


RE: Unverschlüsselte Verbindungen blockieren - StefanCink - 13.02.2020

Hier ist alles gesagt. :-)


RE: Unverschlüsselte Verbindungen blockieren - SBW - 25.02.2020

Hallo zusammen,
letzte Woche war es dann soweit. Temporär für zwei Tage die Annahme von E-Mails, welche auf dem Transport unverschlüsselt verschickt wurden, blockiert.

Was soll ich sagen, es ging am ersten Tag richtig rund. Vormittags füllte ich unser Ticketsystem, ein paar Anfragen kamen an die Postmaster Adresse sowie unzählige Anfrufe. Das Arbeitsaufkommen reichte am zweiten Tag in den späten Abend hinein. Trotz vorgefertige Textbausteine und Erklärung der Maßnahme, waren es oft die unendlichen Diskussionen, die einen aufgehalten haben.

Ich bin erstaunt, wie viel vermeidliche E-Mail-Server-Admins mit der Situation (teils total) überfordert sind. Die kleinen Betriebe sind sehr oft auf ihre IT-Dienstleister angewiesen - verständlich. Aber es sind auch Organisationen dabei, wo ich mir das nie hätte träumen lassen.

Nächste Woche geht es in die Runde 2 von 5. Schließlich wollen wir ab dem 01.05.2020 entgültig die unverschlüsselten Verbindungen blockieren. Big Grin


Gruß,
Daniel