Schutz der SMTP-Verbindung erhöhen
10. Juli 2024
ID 272882
SMTP-Server und SMTP-Clients tauschen Daten unverschlüsselt über das Internet aus. Der Datenaustausch erfolgt häufig über einen oder mehrere Router, die von keinem der Teilnehmer kontrolliert oder als vertrauenswürdig eingestuft werden. Ein solcher nicht vertrauenswürdiger Router könnte es einem Dritten ermöglichen, die Verbindung zwischen Server und Client einzusehen oder Änderungen daran vorzunehmen.
Darüber hinaus ist es häufig erforderlich, dass zwei SMTP-Agenten die Identität des jeweils anderen überprüfen können. Dazu werden beim Aufbau einer SMTP-Verbindung die Zertifikate für Client und Server unverschlüsselt ausgetauscht.
Wenn der Client sein Zertifikat nicht offenlegen möchte, kann er dem Server vorschlagen, eine anonyme Verschlüsselungen zu verwenden. Normalerweise können die Verschlüsselungsparameter der Gegenstelle nicht kontrolliert werden, die Nachrichtenübermittlung muss jedoch gewährleistet sein. In solchen Fällen werden schwache Parameter zum Empfangen und Senden von E-Mails verwendet. In der Weboberfläche von KSMG befinden Sie die Parameter für die TLS-Verschüsselung im Abschnitt Einstellungen → Integriertes MTA → TLS-Verschlüsselung.
Beim Empfang von Nachrichten von Remote-Servern wird die Sicherheitsstufe der Verbindung durch den Wert der Dropdown-Liste Modus für die TLS-Sicherheit des Servers festgelegt. Der Standardwert ist TLS-Verschlüsselung anbieten. In diesem Fall schlägt der Client dem Server vor, eine verschlüsselte Verbindung mit dem Befehl STARTTLS aufzubauen. Wenn der Server keine verschlüsselte Verbindung aufbauen kann, erfolgt die Verbindung ohne TLS-Verschlüsselung. Beispielsweise führt ein strengerer Parameterwert wie TLS-Verschlüsselung verlangen in dieser Situation dazu, dass die Verbindung abgebrochen wird und die E-Mail-Nachrichten nicht zugestellt werden.
Beim Erstellen eines Clusters generiert KSMG automatisch ein selbstsigniertes Zertifikat. Dieses Zertifikat wird in der Tabelle der TLS-Zertifikate im Abschnitt Einstellungen → Integriertes MTA → TLS-Verschlüsselung unter dem Namen Default Cert angezeigt und besitzt eine RSA-Schlüssellänge von 4096 Bit und eine SHA-256-Signatur. Wenn Sie schwache Einstellungen verwenden, reicht dieses Zertifikat für die TLS-Verschlüsselung der Verbindung aus.
Beim Versenden von Nachrichten an Remote-Server wird die Sicherheitsstufe der Verbindung durch den Wert der Dropdown-Liste Modus für die TLS-Sicherheit des Clients festgelegt. Der Standardwert beträgt Möglichkeit der TLS-Verschlüsselung prüfen. Mit dieser Einstellung schlägt KSMG dem Remote-Server vor, eine Verbindung mit TLS-Verschlüsselung aufzubauen. Sollte dies nicht zustande kommen, wird die Nachricht unverschlüsselt übermittelt. Beispielsweise führt ein strengerer Parameterwert wie TLS-Verschlüsselung verlangen und das Zertifikat nicht überprüfen dazu, dass unabhängig von den Ergebnissen der Authentifizierung des TLS-Zertifikats vom Remote-Server eine TLS-Verschlüsselung verlangt wird. Wenn der Wert TLS-Verschlüsselung verlangen und das Zertifikat überprüfen ausgewählt ist, muss der Server zusätzlich über ein passendes TLS-Zertifikat bereitstellen. Wenn die Parameter des Remote-Servers nicht mit den festgelegten Werden übereinstimmen, führt dies dazu, dass die Verbindung abgebrochen wird und die E-Mail-Nachrichten nicht zugestellt werden.
In KSMG können Sie für jede Domain in der Liste den Versand von Nachrichten mit TLS-Verschlüsselung konfigurieren. Das Einrichten des Nachrichtenversands für eine bestimmte Domain erfolgt im Abschnitt Einstellungen → Integriertes MTA → Domänen.
Sie können die unten angegebenen Parametern zur Erhöhung der Sicherheit der SMTP-Verbindung bei der Nachrichtenübermittlung zwischen vertrauenswürdigen Agenten verwenden: Wenn beispielsweise innerhalb eines Unternehmens die TLS-Verschlüsselungen der Agenten dieselben strengen Einstellungen haben, werden Zertifikate ausgestellt und heruntergeladen, die von den Zertifizierungsstellen zertifiziert wurden, und der Empfang von E-Mails aus unbekannten Quellen ist ausgeschlossen. Um die Parameter zu konfigurieren, wechseln Sie in den Abschnitt Einstellungen → Integriertes MTA → TLS-Verschlüsselung und geben Sie folgende Werte an:
- Modus für die TLS-Sicherheit des Servers – TLS-Verschlüsselung verlangen.
- Modus für die TLS-Sicherheit des Clients – TLS-Verschlüsselung verlangen und das Zertifikat nicht überprüfen oder TLS-Verschlüsselung verlangen und das Zertifikat überprüfen.
Die Verwendung strenger TLS-Verschlüsselungseinstellungen erhöht die Serverlast und verringert den Durchsatz des Gateways.