TLS – Transport Layer Security

Sichere Verbindung von E-Mail-Servern mit TLS und NoSpamProxy

Blick in das KRZ Rechenzentrum mit E-Mail Security Gateway

Intelligentes TLS-Management mit NoSpamProxy

Die sichere Übertragung von E-Mails zwischen zwei E-Mail-Servern mittels TLS sollte mittlerweile selbstverständlich sein. Dennoch kommt es nach wie vor sehr häufig vor, dass Server dieses wichtige Merkmal nicht oder nur teilweise unterstützen. Die E-Mail-Server von Amazon zum Beispiel versenden über TLS-geschützte Verbindungen, der Empfang ist jedoch grundsätzlich nur unverschlüsselt möglich. Dabei ist die flächendeckende Umsetzung von TLS denkbar einfach. Entgegen der weitläufigen Meinung reicht ein selbstgeneriertes Zertifikat völlig aus, da die Zertifikate in den allermeisten Fällen nicht geprüft werden. Die Server-Software muss TLS jedoch unterstützen.

NoSpamProxy ist ein E-Mail-Security-Gateway, das höchsten Sicherheitsansprüchen gerecht wird. So ist es beispielsweise mit wenigen Mausklicks möglich, für einzelne Kommunikationspartner die Verschlüsselung der Verbindung zu erzwingen. Für kritische Verbindungen kann sogar hinterlegt werden, welches Zertifikat die Gegenstelle liefern muss. Dies entspricht im Wesentlichen dem Zweck von DANE (DNS-based Authentication of Named Entities). DANE ist ein Protokoll, das dazu dient, den Datenverkehr abzusichern. Es erweitert die verbreitete Transportwegverschlüsselung TLS in der Weise, dass die verwendeten Zertifikate nicht unbemerkt ausgewechselt werden können und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails.

Der Unterschied besteht lediglich in der manuellen Hinterlegung des Zertifikats im NoSpamProxy durch den Administrator. Sicherheitsbewusste Unternehmen können mit Hilfe von NoSpamProxy ein manuelles DANE-Verfahren mit ihren Marktpartnern etablieren.

Screenshot Einstellungen für Partner

Absicherung der Verbindung zu Kommunikationspartnern

Die Einstellungen in den Partnereinträgen von NoSpamProxy gilt sowohl für ein- als auch ausgehende Verbindungen zu dieser Domäne.

Auch die Sicherheit der Verbindung ist mit einem Mausklick auf ein Mindestmaß einzustellen. Damit wird verhindert, dass NoSpamProxy schwache oder alte Verschlüsselungs- und Hashalgorithmen, sogenannte Cipher Suites, verwendet. Es ist sogar möglich, ausschließlich Cipher Suites mit Perfect Forward Secrecy (PFS) zu verwenden.

TLS-Sicherheit mit einem einzigen Mausklick

Die Absicherung des E-Mail-Empfangs erledigt der Administrator in den Empfangskonnektoren von NoSpamProxy. Dort kann die Verbindungssicherheit optional erlaubt werden. Das bedeutet, dass NoSpamProxy dem einliefernden Server das StartTLS Verfahren anbietet. Der einliefernde Server kann dann selbst entscheiden, ob er verschlüsseln möchte, oder nicht.

Wird TLS im Empfangskonnektor bereits erzwungen, gilt dies für alle Server, die eine E-Mail bei NoSpamProxy einliefern wollen. Soll der Zwang nur für bestimmte Marktpartner hergestellt werden, gilt die Einstellung in den Partnereinstellungen (s.o.).

Screenshot SSL/TLS Konfiguration