Statistiken zu E-Mail-Verkehr?

[psychofaktory]

Hallo,

ich würde meinen Mail-Server gerne weiter abhärten um die Schwachstellen für potentielle Angriffsvektoren zu minimieren.

Dabei bin ich auf das Thema SMTP-Sicherheit gestoßen.
Hier werden von vielen Mail-Server als unsicher geltende TLS-Protokolle (<TLSv1.2), sowie schwache Cipher-Suites eingesetzt:
Hier ein Beispiel von gmail.com:
https://tls.imirhil.fr/smtp/gmail.com

Man beruft sich hier auf Kompatibilitätsgründe, da wohl ein nicht zu unterschätzender Anteil an Mail-Verkehr immernoch über stark veraltete Mail-Systeme laufen würde, die keine neueren Standards unterstützen würden.

Jetzt hat sich mir die Frage gestellt:
Wo lassen sich verwertbare Informationen oder Statistiken dazu finden, welcher Anteil des weltweisen E-Mail-Verkehrs (Spam am besten ausgenommen) über veraltete Mail-Systeme stattfindet.

Hat hier jemand eine Info?

Was wären die Empfehlungen aus der Community hier zu den Protokollen und Cipher-Suites die ein Mailserver unterstützen sollte?

 

[holdes]

So wirkliche Infos wirst du darüber wohl kaum finden, dazu müsste ein Dienst durchgängig das gesamte Internet scannen und die Ergebnisse verwertbar liefern. Es gibt zwar genug Scanner die sowas tun aber die geben speziell für SMTP die Daten soweit nicht verwertbar aus.

Übrigens blocken viele Firewalls als SMTP Gateway den Test komplett, bei uns führt dieser daher zu keinem Ergebnis. Am sichersten ist es aber ganz klar: Relayserver/Gateway davor hängen welcher bekannte Signaturen/Angriffe abwehrt. Was dein Mailserver dann noch für Ciphersuites anbietet ist im Grunde egal, denn er wäre direkt nicht mehr aus dem Internet erreichbar. Wenn du deinen Server als Heimserver betreibst, kannst du dir die z.B. die Sophos XG als VM dazwischen schalten (oder diverse andere OpenSource Appliances).

 

[psychofaktory]

So wirkliche Infos wirst du darüber wohl kaum finden

Worauf stützen dann E-Mail-Provider bzw. die Mailserver-Betreiber dann die Aussage, man "müsse" veraltete Standards aus Kompatibilitätsgründen beibehalten?

 

[holdes]

Ich vermute sie erfassen diese Informationen aus ihren eigenen Logdaten. Dazu muss man nicht wissen welche Ciphers der Server unterstützt, sondern lediglich welcher für die Kommunikation genutzt wurde.

Im Normalfall handeln die Mailserver untereinander den jeweils höchstmöglichen Standard aus und wenn die dort feststellen, dass 50% der Server an denen sie Mails ausliefern oder von welchen sie welche bekommen das mit alten Ciphers macht, kann man da schon eine Aussage zu treffen.

 

[MisC]

Meiner Erfahrung nach von Arbeit und Privat ist, dass 99 % von dem was ohne TLS 1.2 eingeliefert wird Spam ist. Öffentliche Statistiken kenne ich allerdings auch nicht. Unterstützt du schwächere TLS Versionen kann das auch Auswirkungen auf Clients haben die eigentlich TLS 1.2 unterstützen (Downgrade-Attacken).

Daher rate ich grundsätzlich dazu alte TLS Versionen zu deaktivieren. Und da es ja offenbar ein Privater Server ist kannst du unverschlüsselte Verbindungen dann direkt ganz abweisen. Voraussetzung ist natürlich, dass deine Verschlüsselung korrekt konfiguriert ist und ein gültiges Zertifikat verwendet wird.

 

[psychofaktory]

@MisC Danke für die Einschätzung.
Das war auch mein Standpunkt.
Allerdings konnte ich eben keine Zahlen finden, die das belegen können.
Die Logs die mir zur Verfügung stehen sind da natürlich nicht repräsentativ genug.

 

[psychofaktory]

Hier habe ich nun zumindest einen Anhaltspunkt gefunden:
Google Transparenzbericht: E-Mail-Verschlüsselung bei der Übertragung

Allerdings geht aus den Zahlen nicht hervor wie hoch bei den Unverschlüsselten Nachrichten der Anteil an SPAM ist.