Alte Mailserver stören den Verkehr: zu schwache eMail-Verschlüsselung

eMail: sicher & komfortabel bei BB-ONE.net
eMail: sicher & komfortabel bei BB-ONE.net

So könnte man die Probleme sehen, die viele eMail-Versender seit Anfang Juni 2015 haben, wenn sie eMails an Empfänger versenden wollen, die ihre Mail-Technik (noch) nicht auf aktuellen Stand gebracht haben. Dies sind die Hintergründe zur eMail-Verschlüsselung:

OpenSSL wird standardmässig verwendet, wenn es um die Verschlüsselung von eMail-Verkehr geht. Anfang Juni 2015 gab es ein Update von OpenSSL, das weitreichende Folgen hatte. Das wirkt sich aus, wenn eMail-Server miteinander kommunizieren. Hierbei werden „Schlüssel“ ausgetauscht. Kurz gesagt: wenn der eine den Schlüssel des anderen nicht erkennt oder erkennen kann, wird ein eMail eben nicht angenommen oder versendet.

Schlüssel-Längen unter 768 bit Schlüssel-Länge und die SSL-Verfahren SSLv2 und SSLv3 sollen schon lange nicht mehr verwendet werden, da sie als unsicher einzustufen sind. Daher wird im aktuellen OpenSSL auch eine Schlüssel-Länge von wenigsten 768 bit als Untergrenze definiert. Verwendet also ein anderer eMail-Server kürzere Schlüssel, so kommt keine eMail-Kommunikation zustande. Viele eMail-Server verwenden immer noch kurze Schlüssel-Längen, dazu gehören auch Klassiker, wie Sendmail, wenn sie nicht gepflegt wurden.

Das kann man nur als fahrlässig bezeichnen und sollte eigentlich nicht vorkommen.

Die Fehlermeldung beim Absender, der seine eMails dann nicht abgeben kann, lautet dann 403 4.7.0 TLS handshake failed oder ähnlich.

Seit dem letzten OpenSSL-Update verwenden alle eMail-Server bei BB-ONE.net diese Einstellungen:

  • Schlüssel-Längen mit 768 bis zu 2048 bit möglich
  • SSLv2 und SSLv3 deaktiviert – da unsicher
  • Alle schwachen Krypto-Chiffren deaktiviert

Damit sind unsere Kunden auf der sicheren Seite.

Literatur zum Thema: