Ist es in Ordnung, selbstsignierte Zertifikate für den SMTP-Transport zu verwenden?

7

Mit "by ok to use" meine ich:

  • Werden MTA-Agenten, die E-Mails von meinem Server erhalten, meine E- Mails ablehnen?
  • Wenn nicht, werden sie meine E-Mails auf andere Weise schlecht behandeln (als Spam markieren, unsicher und so ...)?

... oder ist es einfach besser, bei unverschlüsselten E-Mails zu bleiben?

Miloš Đakonović
quelle

Antworten:

7

Ich habe ein paar Jahre lang einen MTA mit einem selbstsignierten Zertifikat betrieben, bis echte so billig wurden, dass ich mich nicht mehr darum kümmern konnte, und ich hatte keine einzige Ablehnung wegen des nicht signierten Zertifikats in all dem Zeit. Ich hatte auch nie eine einzige Beschwerde darüber, dass eine E-Mail deswegen als Spam markiert wurde. Wenn überhaupt, scheint die Verwendung von TLS Sie häufig als Nicht-Spam-Experten zu kennzeichnen.

Meiner Meinung nach lohnt es sich auf jeden Fall, SMTP TLS zu aktivieren, wenn Sie können, unabhängig davon, ob Sie für ein von einem Drittanbieter signiertes Zertifikat bezahlen oder nicht.

Bearbeiten als Antwort auf Ihren Kommentar: Es ist nicht so, dass jemand eingehende E-Mails auf dieser Basis nicht einschränken könnte. Ich bin noch nie darauf gestoßen, ist alles. Ein von einem Drittanbieter signiertes Zertifikat ist immer noch nützlich, um zu beweisen, dass kein Man-in-the-Middle-Angriff stattfindet. Aber das scheint derzeit kein ernstes Problem in der MTA-Welt zu sein. Wenn sich dies ändert, könnten wir feststellen, dass die Leute auf signierten Zertifikaten bestehen.

Sicherheit ist vorhanden, um Bedrohungen zu begegnen. Wenn sich also das Bedrohungsmodell ändert, ändert sich auch der Bereich der vernünftigen und angemessenen Sicherheitsreaktionen.

MadHatter
quelle
Vielen Dank. Das wusste ich nicht: Es gibt im Gegensatz zu anderen Fällen keine restriktive Behandlung von selbstsignierten Zertifikaten im MTA-MTA-Verkehr. Aber wofür sind echte (CA-signierte) Zertifikate nützlich, wenn wir unsere selbstsignierten Zertifikate weitergeben können?
Miloš Đakonović
Stimmen Sie 100% zu. Ich habe noch nie einen Empfänger-Daemon gefunden, der meinen Schlüssel überprüfen wollte. Und da ich bereit bin, jedem mit einem MX etwas zu geben, ist mir ihr egal. Dies wird sich ändern.
Quadruplebucky
1
Ich führe immer noch einen MTA mit selbstsignierten Zertifikaten aus. Es scheint ziemlich häufig zu sein.
Michael Hampton
In welcher Beziehung steht die Verwendung von TLS zur Kennzeichnung als Spam? Ich würde annehmen, dass es darum geht, das empfangende Ende zu identifizieren, es sei denn, der Absender verwendet sein Zertifikat in der verschlüsselten Verbindung. In welchem ​​Prozentsatz hat der Absender TLS überhaupt ausprobiert, anstatt es im Klartext zu senden?
Hultqvist
3

Wie MadHatter bereits sagte, ist die Verschlüsselung mit einem selbstsignierten Zertifikat derzeit ein Fortschritt im Vergleich zu vielen anderen SMTPs mit kleiner Zeit, wenn Sie über SMTP-Relaying sprechen.

Es gibt jedoch einige Nachteile, aber nicht die Art, die Sie erwarten. Das wichtigste sind Ihre SMTP-Clients, die an der Verschlüsselung ersticken. Es gibt viele kleine SMTP-Clients, die in Standardlösungen für häufig auftretende geschäftliche Probleme bereitgestellt werden, die die SMTP-Verschlüsselung nicht mögen und fehlschlagen - oft im Stillen! Wenn Sie also Standardsoftware mit integrierten E-Mail-Clients verwenden, überprüfen Sie diese, bevor Sie wechseln.

Abgesehen davon würde ich sagen, wenn Sie Bedenken haben, dass Ihre E-Mails als Spam markiert werden, sollten Sie SPF und DKIM einrichten. Das hilft sehr.

bjanssen
quelle
"SPF und DKIM einrichten" - mehr kann ich nicht sagen. Yahoo und Hotmail, IIRC, legen E-Mails standardmäßig im Spam / Junk-Ordner ab, wenn keine der beiden Optionen aktiviert ist.
Pepoluan
0

Es ist nicht.

Zertifizierungsstellen sind für SMTP unbrauchbar. Server validieren das Zertifikat nicht. Sie können nicht. Es gibt keine standardisierten vertrauenswürdigen Zertifizierungsstellen und es ist kein Mitarbeiter beteiligt, der bewertet, was zu tun ist, wenn ein Problem mit einem Zertifikat vorliegt. Daher werden Zertifizierungsstellen einfach ignoriert. Die einzige Möglichkeit, SMTP an SMTP zu sichern, ist die Verwendung von DANE für SMTP.

Die vollständige Antwort finden Sie hier . Auch Wiki ist hilfreich.

Vyacheslav Konovalov
quelle
0

Die Frage ist sicherlich irgendwie veraltet, verdient aber einen erneuten Besuch und sollte eine aktualisierte Antwort erhalten.

Zu den Auswirkungen auf die ausgehende Zustellung und die Spam-Filterung: Laut dem Transparenzbericht von Google zur E-Mail-Verschlüsselung bei der Übertragung von / zu Google werden etwa 90% der ausgehenden und 93% der eingehenden E-Mails über TLS übertragen. In gewisser Hinsicht wird TLS für E-Mails zur Norm, und angesichts des hohen Spam-Volumens ist die Verwendung von TLS als weiteren Bewertungswert in einem Spam-Filter nicht von großem Wert. Da eingehende TLS-Zertifikate heutzutage normalerweise nicht zur Authentifizierung ausgehender Verbindungen verwendet werden, wirkt sich der Inhalt des Zertifikats (Metadaten, die das Zertifikat signiert haben,…) überhaupt nicht auf Spamfilter für ausgehende E-Mails aus.

In der Vergangenheit haben MTAs nur eingeschränkte Optionen zur Behandlung von Zertifikatfehlern: Senden Sie das Senden der Nachricht überhaupt nicht oder kehren Sie zurück, um die Nachricht über Klartextverbindungen zu senden. Das Ablehnen der Nachricht führt zu Anfragen zur Benutzerunterstützung, während das Zurücksetzen auf Klartext keine Sicherheitsvorteile gegenüber der Verwendung von mindestens "einer" Verschlüsselungsstufe bietet. Dementsprechend haben die meisten MTAs eine "opportunistische TLS" -Konfiguration verwendet: Verwenden Sie lieber TLS, falls verfügbar, unabhängig vom genauen zu validierenden Zertifikat.

In den letzten zehn Jahren war jedoch in der Branche eine leichte Verschiebung zu verzeichnen.

Seit 2010 empfiehlt der Verband der Automobilindustrie, zumindest opportunistisches TLS für E-Mails zu verwenden, und empfiehlt obligatorisches TLS für vertrauliche E-Mails.

Einige E-Mail-Dienstanbieter haben auch damit begonnen, optionales obligatorisches ausgehendes TLS einzuführen, beispielsweise der deutsche E-Mail-Anbieter posteo.de im Jahr 2016 .

Die Funktion von Posteo kann pro Benutzer aktiviert werden. Wenn die Nachricht nicht über eine verschlüsselte Verbindung übertragen werden kann, erhält der sendende Benutzer eine Fehlermeldung. Der Benutzer kann dann entscheiden, diese Funktion entweder (vorübergehend) zu deaktivieren (z. B. den Empfänger nach einem Upgrade seines Mail-Dienstes zu fragen). Innerhalb von zwei Wochen nach Veröffentlichung der Funktion unterstützten einige E-Mail-Dienste (opportunistische) TLS.

Wenn Sie also TLS überhaupt nicht anbieten und sich nur auf unverschlüsselte E-Mails verlassen, kann dies bei einigen Absendern zu teilweise eingehenden Problemen führen. Die meisten dieser Fälle schienen jedoch mit selbstsignierten Zertifikaten in Ordnung zu sein.

In einem Forschungsbericht zur E-Mail-Sicherheit aus dem Jahr 2015 wurde festgestellt, dass 64% der Domänen STARTTLS-unterstützende Mailserver verwenden, deren Zertifikat mit dem NSS-Stammspeicher von Mozilla validiert wurde. Daher haben 36% selbstsignierte, ungültige oder abgelaufene Zertifikate verwendet.

In jüngerer Zeit hat die strikte Transportsicherheit von MTA den allgemeinen Trend verbessert: Wenn auf Ihrem Mailserver gehostete Domänen die strenge Transportsicherheit von MTA (RFC 8461) verwenden, haben diese Domänen auch vereinbart, eingehende E-Mails über TLS mithilfe vertrauenswürdiger Zertifikate durchzusetzen. In Abschnitt 4.2 von RFC 8461 wird dies deutlich

Das vom empfangenden MTA vorgelegte Zertifikat darf nicht abgelaufen sein und MUSS an eine Stammzertifizierungsstelle gekettet werden, der der sendende MTA vertraut.

Dies gilt natürlich nur für Domains, die strenge MTA-Transportsicherheit verwenden.

Immerhin: Probleme mit ausgehenden E-Mails sind ab heute unwahrscheinlich. In Bezug auf eingehende E-Mails wird dringend empfohlen, ordnungsgemäße TLS-Zertifikate zu verwenden, die von einer öffentlichen Zertifizierungsstelle ausgestellt wurden, da dies zu einigen Zustellungsproblemen führen kann. Einige davon sind möglicherweise in Ihrer Domain adressierbar (wie MTA-STS), andere jedoch möglicherweise nicht (z. B. das Senden von Servern, die obligatorisches ausgehendes TLS erzwingen).

knoepfchendruecker
quelle