Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Unverschlüsselte Verbindungen blockieren
#11
Thumbs Up 
(25.02.2020, 13:25)SBW schrieb: Hallo zusammen,
letzte Woche war es dann soweit. Temporär für zwei Tage die Annahme von E-Mails, welche auf dem Transport unverschlüsselt verschickt wurden, blockiert.

Was soll ich sagen, es ging am ersten Tag richtig rund. Vormittags füllte ich unser Ticketsystem, ein paar Anfragen kamen an die Postmaster Adresse sowie unzählige Anfrufe. Das Arbeitsaufkommen reichte amzweiten Tag in den späten Abend hinein. Trotz vorgefertige Textbausteine und Erklärung der Maßnahme, waren es oft die unendlichen Diskussionen, die einen aufgehalten haben.

Ich bin erstaunt, wie viel vermeidliche E-Mail-Server-Admins mit der Situation (teils total) überfordert sind. Die kleinen Betriebe sind sehr oft auf ihre IT-Dienstleister angewiesen - verständlich. Aber es sind auch Organisationen dabei, wo ich mir das nie hätte träumen lassen.

Nächste Woche geht es in die Runde 2 von 5. Schließlich wollen wir ab dem 01.05.2020 entgültig die unverschlüsselten Verbindungen blockieren. Big Grin


Gruß,
Daniel

Hallo Daniel

Vielen Dank für den Einblick, halte uns hier gerne auf dem Laufenden! Ich finde es ja durchaus mutig wie ihr das macht, mit ähnlichen Einschlägen hätte ich auch gerechnet. Das Ganze ist schon ziemlich traurig...bin mal gespannt wie es weitergeht!

Viele Grüße aus Paderborn

Sören
Zitieren
#12
Hallo Sören,
Zitat:Ich finde es ja durchaus mutig wie ihr das macht,

Meine ursprüngliche Idee war, dass man im NoSpamProxy eine Regel mit automatischer Antwort erstellt, welche bei "unverschlüsselt" und/oder TLS 1.0 und/oder TLS1.1 eine Nachricht an den Absender verschickt. Geht aber leider Out of the Box nicht. 

Über Jan's PowerShell Skript kommt man die betroffenen Domains sauber aufgelistet. Anschließend könnte man an postmaster@domain.de (automatisiert) schreiben. Aber leider pflegen und vorallem überwachen kaum IT-Dienstleister/Webhoster diese E-Mail-Adresse. Zudem ist es aus Sicht des Datenschutzes wohl eine Grauzone.

Wie könnte aus deiner Sicht ein Best Practice für das Vorhaben aussehen? Big Grin


Gruß,
Daniel
Zitieren
#13
(25.02.2020, 15:30)SBW schrieb: Hallo Sören,
Zitat:Ich finde es ja durchaus mutig wie ihr das macht,

Meine ursprüngliche Idee war, dass man im NoSpamProxy eine Regel mit automatischer Antwort erstellt, welche bei "unverschlüsselt" und/oder TLS 1.0 und/oder TLS1.1 eine Nachricht an den Absender verschickt. Geht aber leider Out of the Box nicht. 

Über Jan's PowerShell Skript kommt man die betroffenen Domains sauber aufgelistet. Anschließend könnte man an postmaster@domain.de (automatisiert) schreiben. Aber leider pflegen und vorallem überwachen kaum IT-Dienstleister/Webhoster diese E-Mail-Adresse. Zudem ist es aus Sicht des Datenschutzes wohl nicht eine Grauzone.

Wie könnte aus deiner Sicht ein Best Practice für das Vorhaben aussehen? Big Grin


Gruß,
Daniel

Hallo Daniel,

obwohl ich das schon recht lange mache, einen echten Best Practice kann ich dir nicht liefern, wohl aber ein paar Überlegungen.

Zunächst denke ich das es zwei Szenarien gibt warum man das tut:

1.) man muß es umsetzen z.B. DSGVO
2.) man will es umsetzen, einfach weil es schlau ist

Ist man im ersten Szenario "gefangen" läßt sich das aus meiner Sicht am einfachsten den Partner vermitteln, da es hier keine Grauzone mehr gibt.

Beim zweiten Szenario sollte man versuchen so früh wie möglich alle Beteiligten abzuholen:

- Newsletter an bestehende Partner versenden mit einem Hinweis auf die Änderung in der Zukunft
- einen Disclaimer an die ausgehenden Mails anhängen mit einem Hinweis auf die Änderung in der Zukunft

Damit wird man sicherlich nicht alle abholen, aber man kann sagen: Wir haben euch informiert, mit ordentlich Vorlauf.

Dadurch das ein NDR beim Server erzeugt wird, der bei euch die Mail nicht abladen konnte, wird ja der externe Sender informiert...man kann dann nur hoffen das der so schlau ist und sich an seine IT wendet.

Super wäre natürlich wenn der NSP selbst noch eine Mail generiert, so wie wir es tun würden wenn wir per Regel nur noch verschlüsselte Mails nehmen. Ich werde das mal als FR an Jan und Stefan geben...aber selbst der FR umgesetzt wird, so würde dir das nicht mehr helfen Wink


Angehängte Dateien Thumbnail(s)
   
Zitieren
#14
Hallo Sören,
vielen Dank für deine Überlegungen.

Zitat:aber selbst der FR umgesetzt wird, so würde dir das nicht mehr helfen

Sag nie mals nie... wir sind inzwischen vom 01.05.2020 abgerückt und haben als Deadline den 01.08.2020 definiert.

Zitat:Ich werde das mal als FR an Jan und Stefan geben

Danke!

Aus unserer Sicht (IT) ist der Disclaimer wohl die einzig vernüftige, zuverlässige Lösung mit der größten Reichweite. Den Text bzw. Link zu dem offziellen Dokument auf unserer Internetseite in rot und fett, so dass es fast nicht zu überlesen ist. Kommende Woche werde ich das der Führungsebene vorstellen.

Achja, beim Text orientieren wir uns an der IT des Landes Niedersachsen. Die haben den Schritt bereits letztes Jahr (https://www.it.niedersachsen.de/startsei...7563.html) getan. Bitte nicht vergessen, vorab eine schriftliches OK für die Weiterverwendung einzuholen. Cool

Grüße
Daniel
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste