Open Source im professionellen Einsatz
Linux-Magazin 02/2015
© Liftarn, CC BY 2.0 (Wikimedia)

© Liftarn, CC BY 2.0 (Wikimedia)

Transportverschlüsselung mit DANE und DNSsec

Sicherer Transport

Wer glaubt, STARTTLS im Mailclient zu aktivieren, mache seinen Mailverkehr in jedem Fall sicherer, der irrt. Erst wer auf DANE setzt, kann sicher sein, dass ein Mailserver oder eine Firewall auf dem Transportweg nicht jede Verschlüsselung ausknipst.

473

Kommunikation braucht Privatsphäre. Sie bildet die Grundlage für vertraulichen und verbindlichen Austausch. Eine normale E-Mail bietet keine Privatsphäre, denn sie passiert das Netz im Klartext. Wer den Netzwerkverkehr mitliest, hat vollen Zugriff auf den Inhalt der Nachricht. Wer Privatsphäre will, muss also verschlüsseln, das schützt private Informationen und Firmengeheimnisse. PGP und S/MIME beziehungsweise SSL und STARTTLS sind geeignete Methoden zur Verschlüsselung von E-Mail. Die ersten beiden verschlüsseln die Nachricht, die anderen den Transport.

Nicht immer sicherer Transport

Transportverschlüsselung (Transport Layer Security, TLS) ist attraktiv. Sie ermöglicht ein brauchbares Schutzniveau und ist für Anwender transparent. Das ist gut, denn es spart Supportkosten, die Anwender können sich auf ihr eigentliches Ziel, die Inhalte der Kommunikation, konzentrieren.

Viele Admins glauben, es genüge, die für Verschlüsselung erforderlichen Zertifikate zu erzeugen und STARTTLS im SMTP-Server und -Client (Abbildung 1) zu aktivieren, dann sei der Transport fortan sicher. Sie irren. Transportverschlüsselung hat einige prinzipbedingte Schwachstellen, die dieser Artikel bespricht und begründet.

Abbildung 1: Es reicht nicht, im Mailclient SSL/TLS zu aktivieren, weil standardmäßig alle Beteiligten verschlüsselungsfreie Kommunikation als Fallback nutzen – und der lässt sich provozieren.

Session Downgrade

STARTTLS ist eine Protokollerweiterung des ursprünglichen SMTP. Zwei Voraussetzungen müssen gegeben sei, um eine TLS-geschützte Verbindung aufzubauen. Der Server muss ESMTP (Extended SMTP) sowohl beherrschen als auch anbieten und die Erweiterung STARTTLS muss im Server aktiviert sein.

Ob diese Voraussetzungen gegeben sind, erkennt ein Client erst nach dem Verbindungsaufbau, wenn der Server zur Begrüßung des Clients sein "SMTP Banner" sendet. Im Banner etabliert der Server seinen aktuellen Status durch einen Statuscode, oft gefolgt von seinem Namen und – wichtig – dem String »ESMTP« (Listing 1).

Listing 1

Ungefilterte SMTP-Verbindung

01 $ telnet mail.sys4.de 25
02 220-mail.sys4.de ESMTP Postfix
03 EHLO client.example.com
04 250-mail.sys4.de
05 250-PIPELINING
06 250-SIZE 40960000
07 250-ETRN
08 250-STARTTLS
09 250-ENHANCEDSTATUSCODES
10 250-8BITMIME
11 250 DSN

Sendet der Server kein »ESMTP« im Banner, dann beherrscht er (oder gibt es zumindest vor) kein ESMTP und die Kommunikation kann nur ohne Transportverschlüsselung stattfinden. Fehlt der String oder sendet der Server »SMTP« , dann muss der Client davon ausgehen, dass der Server keine SMTP-Erweiterungen beherrscht.

Die SMTP-Clients in gängigen Mailservern sind grundsätzlich bedingungslos auf Transport eingestellt. Sie führen "Opportunistische TLS" durch. Bietet der Server STARTTLS an, versuchen sie verschlüsselten Transport herbeizuführen. Fehlt ESMTP im Banner des Servers, schalten sie auf herkömmliches SMTP zurück. Sie verzichten auf Transportverschlüsselung, weil es keine Gelegenheit (lat.: opportunitas) dazu gibt.

Anbieter von Sicherheitslösungen machen sich dieses Verhalten ebenso zunutze wie auch einige Accessprovider. Sie filtern SMTP-Verbindungen in der Firewall (bei Cisco schick SMTP Fixup genannt), im Desktop-SMTP-Proxy (McAfee) oder auf WAN-Strecken [1] und entfernen das »ESMTP« im Banner.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Mail in a Box

    Einen All-inclusive-Mailserver versprechen die Macher von Mail in a Box. Damit auch unbedarfte User damit elektronische Post verschicken, soll er auch einfach aufzusetzen sein. Das macht neugierig: E-Mail-Kenner Patrick Koetter wirft für das Linux-Magazin einen ausführlichen Blick in den Briefkasten.

  • Mailserver in a Box: Simple Mailserver-Appliance

    Mailserver-in-a-Box richtet sich als Public-Domain-Projekt an Anwender, die ihren Mailserver auf eigener Hardware betreiben möchten, ohne sich in die Details der Mailserver-Administration einzuarbeiten.

  • Einführung

    Fehler im Dunstkreis eines SMTP-Servers per Telnet und Testmails suchen – das kann zu einem nervenzehrenden Hindernislauf ausarten. Das Tool Swaks bringt die Ziellinie wieder in Sichtweite.

  • Open SSL 1.1.0 ist da

    Open SSL 1.1.0 entfernt unter anderem den Support für SSLv2 und bringt verschiedene Aktualisierungen mit, darunter Support für neue Algorithmen von Daniel J. Bernstein.

  • Transport-Sicherung

    Zwischen TCP und der Applikation angesiedelt bietet das TLS-Protokoll Sicherheit während der Datenübertragung. Beim Einsatz für SMTP stößt TLS aber an Grenzen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.