Verschlüsselung der Mail-Server Verbindung

Hallo funky

Es gibt keinen technischen Zusammenhang,  mit den Protokollen (verschlüsselt / nicht verschlüsselt) mit denen ein E-Mail gesendet und empfangen wird.

D.h. eine Rückweisung eines E-Mail auf Grund bestimmter Konfigurationsparameter beim sendenden Client ist nicht gegeben.

Details zum E-Mail Header findest Du z.B. hier:

http://th-h.de/faq/headerfaq.php#aufbau

Die von Dir zitierte Fehlermeldung besagt, dass auf dem E-Mail Client der STMP Server falsch konfiguriert wurde. Z.B. hat Gmail seine Webserver so konfiguriert, dass ein Nutzer die SMTP Server verschlüsselt ansprechen muss. Dazu findet man über bekannte Suchmaschinen viele Informationen  😉

Schönen Nachmittag

RAL9004

Hi RAL9004

Also ich sehe das so. Der Mailserver vom Empfänger will zuerst eine Verschlüsselung aushandeln. Der Swisscom Mailserver kann bzw. will das aber nicht. Falsch ist der Mailserver vom Empfänger nicht konfiguriert, denn ich kann über meine gmail- und hotmail-Adresse problemlos Mails verschicken an ihn. Der Fehler tritt nur auf, wenn ich über Bluewin mail an ihn schicken möchte.

Hallo Funky

Die von Dir zitierte Fehlermeldung betrifft das SMTP Protokoll

Vielleicht hilft Dir das Video etwas besser zu verstehen, wie SMTP funktoniert:

https://www.youtube.com/watch?v=mTN6P9CoM6M

Auch wenn ich nicht arrogant, polternd oder beleidigend auftrete, bin ich mir in dem was ich schreibe absolut sicher   😉

Schönen Abend

RAL9004

@RAL9004: Bist du dir sicher, dass eine Fehlermeldung betreffend STARTTLS keinen technischen Zusammenhang mit verschlüsselt/unverschlüsselt zu tun hat? Ich denke, @funky hat den Kern des Problems vermutlich schon recht genau getroffen. Anscheinend möchte er ein Mail an einen bestimmten Empfänger schicken, dessen Mailserver aber die Mitteilung ablehnt mit der Begründung, dass noch kein STARTTLS-Befehl ausgegeben wurde. Dies betrifft die Kommunikation zwischen Server und Server (wird so ca um Sekunde 31 des verlinkten Youtubevideos behandelt). Ich kann mir gut vorstellen, dass einige besonders findige Mailadmins inzwischen eine Verschlüsselung erzwingen wollen.

Um das Ganze genauer einzugrenzen wären allerdings einige detaillierteren Informationen nötig. Insbesondere der komplette Text der erhaltenen Nichtzustellbarkeitsmeldung und die Empfängerdomain sind unverzichtbar. Wenn du das nicht öffentlich schreiben möchtest kannst du mir eine PN schicken.

Hi PowerMac

Es wird genau so sein wie du schreibst. Habe auch noch ein bisschen rumgesucht auf google und bin schlussendlich auf Youtube fündig geworden. Ein nicht mal 1 Tage altes Video beschreibt den Fehler denke ich mal perfekt. Das Problem scheint zu sein, das Swisscom mit uralt-Technik arbeitet. Dies jedenfalls ist die Schlussfolgerung des Videos.

Keine Ahnung ob diese Videoquelle kompetent ist, jedenfalls habe ich beim Testversand einer Mail über Bluewin auf dessen Test-Mailadresse den genau gleichen Fehlercode.

https://www.youtube.com/watch?v=51Gu9L9CYPw

Was denkst du dazu?

Hi weissertiger2

Ja richtig. Mailversand von Bluewin zu allen Konten funktioniert, nur eben zu diesem speziellen nicht. Mit Gmail oder Hotmail funktioniert es jedoch. Der Fehler muss fast beim Swisscom-Mailserver sein.

@weissertiger2

Ja als ich mal einen Artikel schrieb konnte Bluewin noch gar nichts.

http://2.bp.blogspot.com/-AH0N4bMcKIc/Vn8Nke-h5jI/AAAAAAAAdeY/Tr3dGMDtoIE/s640/2015-12-26%2B22_55_51...

Jetzt nehmen sie zumindest verschlüsselte Mails an:

https://www.google.com/transparencyreport/saferemail/?hl=de#search=bluewin.ch

Aber eben. Viel Wert ist das ja nicht 😉

Hallo PowerMac

Meine Aussage fusst auf folgendem Modell:

E-Mail Client (SMTP) sendet Mail --> MTA (n) --> E-Mail Client (IMAP / POP) empfängt Mail.

STARTTLS verschlüsselt von SMTP zum eigenen Mailserver (welcher auch MTA Rolle) hat

https://de.wikipedia.org/wiki/STARTTLS

Der Weg (über n MTA) zum Mailserver Empfänger (Mailserver Hotmail / GMX / Bluewin) läuft nur über die Parameter der MTA ab. Der Sender definiert weder diese Parameter, noch werden Infos wie Verschlüsselung mitgegeben.

D.h. der Empfänger Mail Server kann weder wissen, noch will er es wissen ob der Sender verschlüsselt gesendet hat oder nicht.

Morgen früh werde ich das ganze noch präziser zu formulieren versuchen.

Schönen Abend

RAL9004

Hallo weisser Tiger

Der Fehler tritt auf, wenn der Fragesteller E-Mals an die unbekannte E-Mail Domain schickt.

Der Test, welche Verschlüsselung die Mailserver der Bluewin beherscht, wird dann relevant wenn das Mail von den Bluewin Mail Serven zurück gewiesen wird.

Zumindest sagt das die Logik. Zweitens habe ich noch von keinem namhaften E-Mail Provider gehört, der ein Problem mi tdem zustellen von Mail an eine Bluewin Domain gehabt hat. Irgendwelche wilden Postfix bzw OpenSource Mailserver Installation auf freier Wildbahn ausgenommen.

Auch wenn die Frage als gelöst markiert ist, so ist doch nicht überzeugend geklärt - IMO.

Grüsse

RAL9004

---

[...]

Der Weg (über n MTA) zum Mailserver Empfänger (Mailserver Hotmail / GMX / Bluewin) läuft nur über die Parameter der MTA ab. Der Sender definiert weder diese Parameter, noch werden Infos wie Verschlüsselung mitgegeben.

 

D.h. der Empfänger Mail Server kann weder wissen, noch will er es wissen ob der Sender verschlüsselt gesendet hat oder nicht.[...]

---

Richtig, dem empfangenden Server ist es egal ob das Mail auf seinem bisherigen Weg durchs Netz immer verschlüsselt oder auch mal unverschlüsselt übertragen wurde. Aber auch zwischen zwei MTAs kann STARTTLS zum Einsatz kommen, und dem empfangenden MTA steht es frei, dies zu erzwingen. Im vorliegenden Fall trifft genau dies zu. Und da die bluewin-Server ausgehend nicht verschlüsseln, verweigert der empfangende Server die Annahme. Als Endkunde hat man hierauf keinerlei Einfluss, da müssen die Mailadmins von bluewin die Konfiguration anpassen.

Bevor man jetzt allzu sehr auf Bluewin herumbasht: im weltweiten Emailverkehr wird STARTTLS (leider) noch längst nicht überall angewendet, aktuell liegt die Durchdringung bei ca. 70-80%. Alle nicht-STARTTLS-Mails abzuwimmeln, ist vor diesem Hintergrund eine ziemlich brachiale Methode mit erheblichem Kollateralschaden - nicht nur von Absendern @bluewin.ch.

Danke für alle eure Antworten und Erklärungen. Sieht also ganz so aus, als das der einzige Lösungsansatz für den Moment ist, Mails über gmail oder dergleichen zu versenden. Und dies so lange, bis Swisscom die STARTTLS-Verschlüsselung auch für ausgehende Mails verwendet.

Ob und wann dies der Fall sein wird, weis hier drin wahrscheinlich niemand, nehme ich mal stark an. Wenn aber weltweit wie von PowerMac geschrieben 70-80 % der Mailserver diese Verschlüsselung beherrschen, dann frage ich mich schon etwas, wieso Swisscom als führender Telekomanbieter in der Schweiz so hinter dem Mond steht.

Nochmals danke für eure Bemühungen

Hallo PowerMac

Bitte sei so gut und überzeuge mich von den Fakten. Du schreibst, dass ca. 70 - 80 Prozent der Mail Server diese Methode implementiert haben. Seit vielen Jahren benutze ich u.a. eine Bluewin E-Mail Adresse. Noch nie hatte ich auf einem der vielen E-Mail Domains diesen Fehler.

Nenne mir doch bitte einen einzige E-Mail Domain, wo ch diesen Fehler mit einer Mail Adresse reproduzieren kann. Ich kann Testmails mit über diversen Mail Domains senden.

Leider hatte ich noch keine Zeit, um auf die Transportebene und STARTTLS im Zusammenhang mit SMTP weiter zu lesen und testen. So ein praktisches Beispiel würde mich von dieser mir selbst gestellten Pendenz befreien   😉

Danke Dir im Voraus

Grüsse

RAL9004

---

@RAL9004 schrieb:

Hallo PowerMac

Bitte sei so gut und überzeuge mich von den Fakten. Du schreibst, dass ca. 70 - 80 Prozent der Mail Server diese Methode implementiert haben. [...]

---

Selbstverständlich.

Die genannten Prozentangaben kommen von Google und besagen, dass z.B. am 4. März 2016 68% aller von Google empfangenen und 83% aller von Google verschickten E-Mails mit einer STARTTLS-Verschlüsselung an den zuständigen nächsten SMTP-Server weitergereicht bzw. von diesem empfangen wurden.

Die Bluewin-Server gehören zu den 83% der empfangsseitig STARTTLS-fähigen, aber nicht zu den 68% der mittels STARTTLS sendenden Server.

---

[...] Seit vielen Jahren benutze ich u.a. eine Bluewin E-Mail Adresse. Noch nie hatte ich auf einem der vielen E-Mail Domains diesen Fehler.

---

Völlig klar. Das bisher übliche Vorgehen war:

• Wenn der empfangende Server STARTTLS beherrscht, und der sendende Server dies nutzen möchte, erfolgt die Übertragung verschlüsselt.
• Wenn der empfangende Server kein STARTTLS beherrscht, oder der sendende Server dies nicht nutzen möchte, erfolgt die Übertragung unverschlüsselt.

Nun kommt offenbar bei einigen Serverbetreibern die Unsitte auf, im zweiten obigen Fall die Mailannahme zu verweigern, statt eine unverschlüsselte Übertragung zu tolerieren. Ich halte das für eine birenweiche Idee, da der Sicherheitsgewinn gering ist, aber hingegen gemäss der erwähnten Statistik rund ein Viertel aller eingehenden Mails abblitzen. Jon Postel würde sich im Grab umdrehen. Aber die Entscheidung liegt letztlich bei den Serverbetreibern.

---

[...] Nenne mir doch bitte einen einzige E-Mail Domain, wo ch diesen Fehler mit einer Mail Adresse reproduzieren kann. Ich kann Testmails mit über diversen Mail Domains senden.

---

test@sempertv.de

Oder du schickst ein Testmail gemäss Anleitung auf www.checktls.com (Tests->TLS Only Sender).

Q.E.D.

---

[...] Leider hatte ich noch keine Zeit, um auf die Transportebene und STARTTLS im Zusammenhang mit SMTP weiter zu lesen und testen. So ein praktisches Beispiel würde mich von dieser mir selbst gestellten Pendenz befreien   😉

---

Die Tiefen des SMTP-Weltalls sind wohl etwas zu unergründlich, um sie in ein paar Forenposts zu erklären. Wenn du möchtest kannst du mein Bat Book mal haben :smileyhappy: Gibt aber sicher noch zeitgemässere und leichter verständliche Einführungen in SMTP.