Mail Abruf - TLSv1.0 vs TLSv1.2

  • Hallo,


    mir ist aufgefallen das zwei meiner Container nicht mehr sauber mit dem von NetCup bereitgestellten Mailserver kommunizieren. So sagt z.B. imapfilter



    Wenn ich das MinProtocol von TSLv1.2 auf TLSv1.0 heruntersetze funktioniert die Verbindung wieder.

    Code
    cat /etc/ssl/openssl.cnf |grep -i tls
    MinProtocol = TLSv1.0


    Dazu habe ich jetzt zwei Fragen:

    - Bei der Suche habe ich diverse Empfehlungen gesehen TLSv1.0 abzuschalten. Ich bin kein Sicherheitsfanatiker, aber bevor ich die clients anpasse wäre die Frage ob ich Serverseitig Einfluss nehmen kann / etwas geplant ist.

    - Der zweite Container versteckt noch vor mir wo das MinProtocol gesetzt wird.


    Kommentare / Verbesserungen / Hinweise welcome.


    Alex

  • Bei einem shared Server müssen wir immer das unterstützen, was die meisten unserer Kunden nutzen. Shared Server nutzen Kunden von denen geschätzt mehr als 99% keine Ahnung haben was TLS bedeutet. Das brauchen sie auch nicht, denn wir managen die Dienste für sie.


    Für technisch visierte Menschen ist es nur schwer vorstellbar, aber selbst Windows XP ist noch im einstelligen Prozenzbereich bei den Nutzern der shared Dienste vertreten. Aus Gründen der Abwärtskompatibilität unterstützen wir daher auch noch TLS 1.


    Ich bitte dafür um Verständnis!


    Mit freundlichen Grüßen


    Felix Preuß

  • Akzeptierte Anwort, danke!

    Wirklich? Wenn der Server weder TLS1.1, noch TLS1.2 noch TLS1.3 unterstützt und damit Clients auf das problematische TLS1.0 zwingt, ist das doch ein gravierendes Sicherheitsproblem. :/:thumbdown:

    Aus Gründen der Abwärtskompatibilität unterstützen wir daher auch noch TLS 1.

    "auch noch" klingt für mich, als wäre die Idee schon, dass der Server TLS in Version 1.1/1.2/1.3 reden können sollte?

    Zitat

    aber selbst Windows XP ist noch im einstelligen Prozenzbereich bei den Nutzern der shared Dienste vertreten.

    Firefox unter Windows XP unterstützt TLS1.2. Ich gehe davon aus, dass das auch für Thunderbird gilt.

  • Wer hat denn davon gesprochen, das die Nutzer unter Windows XP einen Firefox oder Thunderbird benutzen?

    Das sollte nur ein Beispiel sein, dass man Windows XP Nutzer nicht generell ausschließen würde. Wer aus welchen Gründen auch immer einen XP PC im Internet benutzt, muss sich halt anpassen. Mit XP Bordmitteln lässt sich auch microsoft.com nicht mehr aufrufen: https://docs.microsoft.com/en-…rity/solving-tls1-problem


    Außerdem lässt sich auch unter XP mit TLS1.2 arbeiten: https://msfn.org/board/topic/1…=comments#comment-1158320 Ist halt nix für Otto-Normalverbraucher, aber der sollte Windows XP auch nicht mehr einsetzen, insbesondere nicht im Internet. (Da gehört es ja schon fast zum Selbstschutz, dass man ihn vom Internet ausschließt)

    Mailclients, die sich als Windows XP ausgeben haben in den allermeisten Fällen nichts gutes in Sinn.

    Es mag Gründe geben, XP einsetzen zu müssen. Aber es gibt keinen Grund, sich mit so einem Rechner im Internet zu bewegen.