email: IMAP nur mit STARTTLS ohne verschlüsseltes Passwort sicher ?

  • Ersteller Ersteller markus-1969
  • Erstellt am Erstellt am
Hier wurde mehrfach danach gefragt was denn der Stand ist und welche Technik eingesetzt wird, mit entsprechenden Hinweisen aus Security Sicht. Nach deiner ersten Aussage klang das auch so als ob da nix mehr aktiv betreut wird, das musst du schon auch entsprechend kommunizieren, wenn du da Hilfe willst. Wobei ich das mittlerweile auch als nicht umsetzbar ansehe
 
markus-1969 schrieb:
und ein neuer Server ist sicher unsicherer weil die Hacker die neuen Server mit ihrer IT kennen
Diese Ansicht ist mindestens naiv. Alles, was mit E-Mailtransport zu tun hat, gehört so ziemlich zu den ältesten noch genutzten Protokollen im Internet. Die mit der Zeit eingeführten Sicherheitsverbesserungen sind nachträglich "angeflanschte" Erweiterungen der schon ewig eingesetzten Protokolle. Bedeutet konkret: Wenn ich weiß, wie ein heutiger Mailserver funktioniert, weiß ich auch wie ein 30 Jahre altes System arbeitet, da es ein minder komplexe Untermenge des heutigen Protokollstapels einsetzt.

Edit: Um deine Ursprungsfrage zu beantworten:
Passwort, normal bedeutet unverschlüsselte Verbindung. Das Passwort wird Base64-codiert übertragen. Eine Verschlüsselung ist das nicht. Auf gar keinen Fall nutzen!
STARTTLS bedeutet, dass zunächst eine unverschlüsselte Verbindung aufgebaut wird, in der dann nachträglich TLS aktiviert wird. Auch das ist seit 2018 nicht mehr empfohlen. Siehe RFC8314:
In brief, this memo now recommends that:

o TLS version 1.2 or greater be used for all traffic between MUAs
and Mail Submission Servers, and also between MUAs and Mail Access
Servers.

o MUAs and Mail Service Providers (MSPs) (a) discourage the use of
cleartext protocols for mail access and mail submission and
(b) deprecate the use of cleartext protocols for these purposes as
soon as practicable.

o Connections to Mail Submission Servers and Mail Access Servers be
made using "Implicit TLS" (as defined below), in preference to
connecting to the "cleartext" port and negotiating TLS using the
STARTTLS command or a similar command.
Bei der Verwendung von TLS kommt es auf die Version an. Alle Versionen von TLS älter als 1.2 sind unsicher und sollten nicht mehr eingesetzt werden (entsprechend RFC8997).
 
Zuletzt bearbeitet:
Kannst ja spaßeshalber mal die öffentliche IP-Adresse des Mailservers hier eingeben:
Spamhaus
AbuseIPDB

Vielleicht ist es aber zuvor ratsam Herztropfen zu nehmen...
 
  • Gefällt mir
Reaktionen: WhiteHelix
Zurück
Oben