So könnte man die Probleme sehen, die viele eMail-Versender seit Anfang Juni 2015 haben, wenn sie eMails an Empfänger versenden wollen, die ihre Mail-Technik (noch) nicht auf aktuellen Stand gebracht haben. Dies sind die Hintergründe zur eMail-Verschlüsselung:
OpenSSL wird standardmässig verwendet, wenn es um die Verschlüsselung von eMail-Verkehr geht. Anfang Juni 2015 gab es ein Update von OpenSSL, das weitreichende Folgen hatte. Das wirkt sich aus, wenn eMail-Server miteinander kommunizieren. Hierbei werden „Schlüssel“ ausgetauscht. Kurz gesagt: wenn der eine den Schlüssel des anderen nicht erkennt oder erkennen kann, wird ein eMail eben nicht angenommen oder versendet.
Schlüssel-Längen unter 768 bit Schlüssel-Länge und die SSL-Verfahren SSLv2 und SSLv3 sollen schon lange nicht mehr verwendet werden, da sie als unsicher einzustufen sind. Daher wird im aktuellen OpenSSL auch eine Schlüssel-Länge von wenigsten 768 bit als Untergrenze definiert. Verwendet also ein anderer eMail-Server kürzere Schlüssel, so kommt keine eMail-Kommunikation zustande. Viele eMail-Server verwenden immer noch kurze Schlüssel-Längen, dazu gehören auch Klassiker, wie Sendmail, wenn sie nicht gepflegt wurden.
Das kann man nur als fahrlässig bezeichnen und sollte eigentlich nicht vorkommen.
Die Fehlermeldung beim Absender, der seine eMails dann nicht abgeben kann, lautet dann 403 4.7.0 TLS handshake failed oder ähnlich.
Seit dem letzten OpenSSL-Update verwenden alle eMail-Server bei BB-ONE.net diese Einstellungen:
- Schlüssel-Längen mit 768 bis zu 2048 bit möglich
- SSLv2 und SSLv3 deaktiviert – da unsicher
- Alle schwachen Krypto-Chiffren deaktiviert
Damit sind unsere Kunden auf der sicheren Seite.
Literatur zum Thema:
- Der technische Hintergrund beim Verschlüsseln des eMail-Verkehrs:
Technische Hintergründe zur eMail-Verschüsselung - Die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik:
Empfehlungen des BSI zu Verschlüsselungsverfahren