Deaktivierung von TLS 1.0 und TLS 1.1 bei STRATO

[F-Klaus]

Hallo,

vor einigen Tagen bekam ich von STRATO die Aufforderung, mein eMail-Programm auf >= TLS 1.2 umzustellen, da ab 02.06. STRATO diese Protokolle nicht mehr unterstützt und ich bei meinen Postfächern dies noch machen würde.
Ich verwende den Thunderbird.
In den Einstellungen von Thunderbird habe ich nichts gefunden, wo ich dies umstellen könnte. Zudem habe ich nach x-maligem 'googeln' gelesen, dass der Thunderbird TLS 1.2 und TLS 1.3 kann!

Kann man den Thunderbird umstellen? Oder soll ich einfach abwarten, ob er nach Abschaltung bei STRATO die richtigen Protokolle auswählt?
Lang habe ich ja nicht mehr Zeit!

Danke im Voraus, Franz

 

[leipziger1979]

Thunderbird ruft doch nur eMails ab.
Es geht um deinen/einen Mail-Server der umgestellt werden soll.

Oder was hostest du bei Strato?

 

[Grimba]

Ich denke da musst du nichts extra einstellen. Die Protokollversion machen Dein Thunderbird mit Strato beim Verbindungssufbau aus. Sofern da in deinen Einstellungen sowas wie SSL/TLS oder ähnliches steht, und der Thunderbird aktuell ist, brauchst du imho nichts tun.

 

[F-Klaus]

Danke für die schnellen Antworten!

Ich habe bei STRATO eMail-Postfächer und eine HP.

Die Verbindungssicherheit im Thunderbird ist auf SSL/TLS eingestellt und er ist aktuell!

 

[madmax2010]

Welchen mailsever und port nutzt du denn gerade genau?
mach doch mal einen screenshot deiner Servereinstellungen (nutznamen bitte ggf. Zensieren)

 

[Tornhoof]

Wirklich gegooglet hast du nicht bzgl. Thunderbird oder?
https://www.thunderbird-mail.de/forum/thread/84817-problem-mit-ssl-tls-nach-update-auf-78-0-1/

Thunderbird nützt schon länger 1.2

 

[Helge01]

Welche Thunderbird Version nutzt du?

 

[F-Klaus]

Thunderbird 78.10.2 (32-Bit)

Ergänzung (26. Mai 2021)

@Tornhoof
hatte ich gefunden, aber als er unverschlüsselt probiert hat, nicht mehr weiter gelesen!

 

[madmax2010]

➜ ~ openssl s_client -connect imap.strato.de:993 -tls1_2
CONNECTED(00000005)
depth=2 C = DE, O = T-Systems Enterprise Services GmbH, OU = T-Systems Trust Center, CN = T-TeleSec GlobalRoot Class 2
verify return:1
depth=1 C = DE, O = T-Systems International GmbH, OU = T-Systems Trust Center, ST = Nordrhein Westfalen, postalCode = 57250, L = Netphen, street = Untere Industriestr. 20, CN = TeleSec ServerPass Class 2 CA
verify return:1
depth=0 C = DE, O = Strato AG, OU = Rechenzentrum, ST = Berlin, L = Berlin, CN = imap.strato.de
verify return:1
---
Certificate chain
0 s:/C=DE/O=Strato AG/OU=Rechenzentrum/ST=Berlin/L=Berlin/CN=imap.strato.de
i:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass Class 2 CA
1 s:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass Class 2 CA
i:/C=DE/O=T-Systems Enterprise Services GmbH/OU=T-Systems Trust Center/CN=T-TeleSec GlobalRoot Class 2
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=DE/O=Strato AG/OU=Rechenzentrum/ST=Berlin/L=Berlin/CN=imap.strato.de
issuer=/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass Class 2 CA
---
No client certificate CA names sent
Server Temp Key: ECDH, X25519, 253 bits
---
SSL handshake has read 4174 bytes and written 289 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID:
Session-ID-ctx:
Master-Key: 61B8978E9295FFAB49AAE2FCD0B2F4B7436204B951F01C25D5EE1BCCA93F455A230063DAA3C7B1D9688DB5A53C57074F
Start Time: 1622033445
Timeout : 7200 (sec)
Verify return code: 0 (ok)
---
* OK [CAPABILITY IMAP4 IMAP4rev1 AUTH=PLAIN AUTH=LOGIN AUTH=CRAM-MD5 AUTH=DIGEST-MD5 CHILDREN ENABLE I18NLEVEL=2 ID IDLE MOVE MULTIAPPEND NAMESPACE QUOTA SORT STATUS=SIZE UIDPLUS UNSELECT WITHIN XLIST] IMAP server ready (P18 TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384)

Schaut für mich aus, als ob der server mit genau der Config mit tls1.2 klar kommt. Das war bestimmt nur eine Infomail, keine direkte Handlungsanweisung

 

[snakesh1t]

Es geht in dem Fall eher um Mailserver wie Microsoft Exchange, die über einen POP3-Connector E-Mails abrufen. Einige ältere Programme unterstützen nur TLS 1.1 und müssen aktualisiert oder ersetzt werden.

Du benutzt wahrscheinlich eh IMAP mit Thunderbird?
Wenn du Thunderbird auf einem aktuellen Stand hast, solltest du kein Problem haben.

 

[Helge01]

Deine Version von Thunderbird unterstützt > TLS1.2.

Hast du vielleicht außer dem Thunderbird noch ein Gerät mit einem älteren Mail Client (z.B. Smartphone)?

 

[F-Klaus]

Mein iPhone XS isi auf V 14.6, welche Version das Mailprog. hat kann ich momemtan nicht sehen.
Das meiner Frau hat die neueste Android-Version, muss ich mal noch nachschauen.

Bei meiner Domain bei STRATO kann ich nichts einstellen....

@madmax2010 es stand: Handlung erforderlich! im Anschreiben, deshalb war ich auch verunsichert.

Danke!

 

[Helge01]

Bei einem aktuellen OS und Standard Mail Client sollte alles OK sein.

Mich wundert nur die Aufforderung von STRATO. Ich weiß nicht ob die Logfiles auswerten und die Kunden informieren, wenn sie sich mit altem TLS Protokoll anmelden. Wenn dem so wäre würde ich sicherheitshalber mal das Passwort vom Email Postfach ändern.

 

[F-Klaus]

Vielen Dank erstmals, ich werde mein PW mal ändern, ansonsten abwarten...

 

[snaxilian]

Wenn dem so wäre

Selbst für den vollkommen unwahrscheinlichen Fall, dass Strato in seine Logs guckt um zu prüfen ob und welche Kunden noch veraltete Chiphers verwenden, dann sieht Strato lediglich den TLS Handshake. Die danach übertragenen Credentials sind dann verschlüsselt.
Warum genau verbreitest du solche Panikmache? Welchen Sicherheitsgewinn/-vorteil hat man als Kunde von Strato in dieser Situation?
Strato als Anbieter ist im Besitz des private key des Zertifikats und betreiben das IAM Backend mit den Usern. Sofern Strato ungehashte Kennwörter verwendet, könnten Sie sowieso alle Kennwörter ihrer Kunden auslesen weil sie den TLS verschlüsselten Traffic entschlüsseln. Ich traue Strato jetzt mal zu, dass Sie lediglich gehashte Kennwörter verwenden und damit ist kennt Strato das Kennwort ja nicht sondern lediglich den Hash.

Strato wird sich jedoch kaum den Aufwand gemacht haben, in die Logs zu gucken welche User welche Ciphers verwenden um diese dann gezielt anzuschreiben. Unfassbar hoher personeller Aufwand, der entsprechend mit Kosten verbunden ist, v.a. wenn man einfach eine Info-Mail an alle Kunden schicken kann mit Inhalt "Hallo $Kunde, zum Zeitpunkt X schalten wir alte Ciphers Y ab. Bitte stellen Sie sicher, dass ihre Programme mit den neuen bzw. noch verbliebenen Ciphers klar kommen. Andernfalls kümmern Sie sich bitte damit Sie weiterhin gewohnt ihre Mails abrufen können. MfG Strato-Support"

 

[Helge01]

Es geht doch nicht darum das man bei den alten TLS Protokollen mit lauscht um dann die Passwörter mitzulesen. Diesen Aufwand betreibt keiner, da wie du schon schreibst die Passwörter gehasht sind und auch eine TLS 1.0 Verbindung nicht jeder so einfach brechen kann.

Es geht darum das STRATO in den Logfiles sieht, mit welchem TLS Protokoll die Verbindung aufgebaut wurde. Hat der TO aber nur aktuelle Mail Clients , dann kann er es nicht sein. Es könnte aber das Passwort von seinem Account bekannt sein und andere melden sich daran an um z.B. Spam zu verschicken.

Eine Möglichkeit wäre zum Beispiel, das Passwort / die Mailadressen Kombination wird mehrfach verwendet und wurde von einem schlecht gesicherten Webshop gestohlen.

Das ganze hat nichts mit Panikmache zu tun, sondern ist normaler Alltag,

 

[F-Klaus]

Das Tablet meiner Frau war nur auf SSL eingestellt, habe ich geändert auf TLS. Vllt war es das?

 

[Helge01]

Vllt war es das?

Vom Mailclient?
Wenn ja, dann war es das. SSL 3.0 entspricht ungefähr TLS 1.0. Ich kann es aber kaum glauben, dass es so was noch gibt.

 

[Grimba]

Durchaus. SSL ist etwas anderes als TLS. Auch wenn beide ähnlich funktionieren, sind sie nicht exakt das gleiche. Wenn das Tablet deiner Frau halbwegs aktuell ist, solltest du keine Probleme haben. TLS 1.2 stammt von 2008.

 

[F-Klaus]

An das hatte ich gar nicht mehr gedacht! :-)
Ich muss mal die Android-Version nachschauen. Ich glaube aber, da gibt es kein Update mehr!?

Es ist noch ein Samsung Galaxy Tablet Tab 2 7.0 GT-P3110 Android V. 4.1.2 und es gibt keine Updates mehr!