Port 465 + SSL oder Port 587 + TLS?

[Helge01]

das ist denke ich neu, dass du nun auch offloaden kannst.

Meine HAProxy Konfiguration mit SSL Offloading existiert schon seit Prosody 0.10.x. Es hat sich diesbezüglich nichts geändert.

Changelog Prosody 0.12

Du kannst natürlich auf den ACME Client auf dem Prosody Server verzichten, wenn du alle 3 Monate das Zertifikat von der Sense auf den Server kopierst.

 

[Bob.Dig]

@Helge01 Spricht man denn wirklich von offloading in dem Fall?
Kann gut sein, dass haproxy das offloading doch nur für Webtraffic machen kann.
Was wohl neu ist: mod_s2s_bidi
Das hatte ich wohl jetzt verwechselt. Also doch keine ha_proxy für bob.

 

[Helge01]

Also doch keine ha_proxy für bob.

Das machst du schon irgendwann mal. Wenn man sieht was da an Sicherheit durch ACLs alles möglich ist, möchte man es nicht mehr missen.

 

[Bob.Dig]

@Helge01 Ok, aber wie erreiche ich jetzt, dass ich nach draußen LE nutze und nach innen selbst oder gar nicht? Geht das mit "tcp"? Und wenn ja, warum benutzt Du es nicht so?

 

[Helge01]

nach draußen LE nutze

Meinst du damit das LE Zertifikat was aus dem Internet zum HAProxy aufgerufen wird? Das wird im Frontend unter SSL Offloading -> Zertifikat eingetragen. Im Backend kannst du Encrypt(SSL) aktivieren, dann wird die Verbindung wieder mit dem LE Zertifikat vom Prosody Server verschlüsselt.

Oder meinst du die Erneuerung der Zertifikate von LE, einmal auf der Sense und auf dem Prosody Server?

 

[TheManneken]

Ist auch scan to mail, 587 und 465 sind ausgehende Ports. (Eingehend sind 993/995.)

Nein oder im besten Falle: Jein. Ob ein Port eingehend oder ausgehend ist, ist hier überhaupt nicht relevant, da es hier nicht um eine Firewall geht. Und selbst wenn es darum ginge, sollten all diese Ports ausgehend geöffnet sein, da hier ausschließlich ausgehende Anfragen beantwortet werden, und für eine Antwort benötigt es keine eingehenden Firewallregeln. Aber unterm Strich ist die zitierte Aussage falsch bzw. ergibt keinen Sinn, da kein Port fest definiert aus- oder (!) eingehend ist.

 

[Bob.Dig]

Meinst du damit das LE Zertifikat was aus dem Internet zum HAProxy aufgerufen wird? Das wird im Frontend unter SSL Offloading -> Zertifikat eingetragen. Im Backend kannst du Encrypt(SSL) aktivieren, dann wird die Verbindung wieder mit dem LE Zertifikat vom Prosody Server verschlüsselt.

Und wenn in meinem Falle auf letztem nur self signed verwendet wird?

 

[Helge01]

Und wenn in meinem Falle auf letztem nur self signed verwendet wird?

Eine gute Frage, würde gehen wenn man wüsste ob der HAProxy das self signed Zertifikat akzeptiert. Theoretisch müsste es gehen wenn in der Zertifikatsverwaltung das eigene Root-CA hinterlegt ist.

 

[Helge01]

@Bob.Dig Ich habe das mal getestet.
Ich habe mein eigenes Root-CA Zertifikat schon immer in der Zertifikatsverwaltung von der Sense gehabt. Mit meiner Zertifizierungsstelle habe ich ein gültiges Wildcard Serverzertifikat erstellt und auf dem Prosody Server das LE Zertifikat damit ersetzt. Wie zu erwarten funktioniert es und du könntest damit wirklich auf den ACME Client auf dem Server verzichten.

Du musst nur zwei Sachen dabei bedenken. Wegen des eigenen Zertifikats wird StartTLS je nach Client nicht mehr funktionieren und s2s Verbindungen werden garantiert nicht mehr akzeptiert. Durch Push ist man aber zumindest unter iOS darauf angewiesen.

 

[Bob.Dig]

@Bob.Dig Ich habe das mal getestet.

Kannst Du im Backend nicht gleich an mehreren Stellen den Certificate-Check ausstellen? So sieht das zumindest für mich aus, ich hasse ha-proxy.

 

[Helge01]

den Certificats-Check ausstellen?

Könnte man im Backend machen, SSL checks -> no Geht nicht, da damit eigentlich nur der Health check gemeint ist.

 

[Merle]

Nein oder im besten Falle: Jein. Ob ein Port eingehend oder ausgehend ist, ist hier überhaupt nicht relevant, da es hier nicht um eine Firewall geht. Und selbst wenn es darum ginge, sollten all diese Ports ausgehend geöffnet sein, da hier ausschließlich ausgehende Anfragen beantwortet werden, und für eine Antwort benötigt es keine eingehenden Firewallregeln. Aber unterm Strich ist die zitierte Aussage falsch bzw. ergibt keinen Sinn, da kein Port fest definiert aus- oder (!) eingehend ist.

Danke, Firewalls kenne ich. Lass mich nachfassen: Im Bereich E-Mail, um welchen es hier geht, sind tcp/465 und tcp/587 dazu gedacht, Mails zuzustellen. Also für AUSGEHENDEN Mailverkehr genutzte Ports.
Im Bereich E-Mail, um welchen es hier geht, werden die Ports tcp/993 und tcp/995 für EINGEHENDEN Mailverkehr benutzt. (Auch wenn der Verbindungsaufbau initial vom Client zum Port 993 erfolgt, also netzwerkmäßig „outgoing“.)
Präzise genug?

*edit: im Kontext war eigentlich klar dass ich nur „mail to scan“ mit „scan to mail“ ersetzt habe mit der Argumentation. Darum auch die einfachere Umschreibung.

 

[Bob.Dig]

@Helge01 Da ich dir keine PM schreiben kann, wie hilfst Du mir jetzt mit der ha proxy config? 😉
Bin erfolglos und kann das GUI nicht ab, weil es halt nicht selbsterklärend ist. Aber ich weiß, ich sollte froh sein, überhaupt ne GUI zu haben.

Ergänzung (6. April 2022)

@Merle Oder man unterscheidet s2s und c2s?

 

[Merle]

Aber warum? Ich wollte nur die Frage nach der Funktion „mail 2 scan“ beantworten… gibt es nicht. Und dazu habe ich Ports herangezogen.
Wer wie warum ne Kommunikation initiiert ist hier doch voll irrelevant für diesen Punkt.

 

[h00bi]

Sofern möglich immer Port 587 verwenden.

https://kinsta.com/de/blog/smtp-port-waehlen/

Wozu wird Port 587 verwendet?​

Port 587 ist der Standardport für die SMTP-Übermittlung im modernen Web. Man kann zwar auch andere Ports für die Einreichung verwenden (mehr dazu im Folgenden), aber man sollte immer mit Port 587 als Standardport beginnen und nur dann einen anderen Port verwenden, wenn die Umstände es erfordern (z.B. wenn dein Host aus irgendeinem Grund Port 587 blockiert).

Port 587 unterstützt auch TLS, was bedeutet, dass du E-Mails sicher einreichen kannst.

Wozu wird Port 465 verwendet?​

Port 465 war ursprünglich für SMTPS (SMTP over SSL) registriert. Nach einer kurzen Pause in dieser Funktion wurde Port 465 für eine andere Verwendung neu zugewiesen und veraltet.

Trotz dieser Tatsache unterstützen viele ISPs und Cloud-Hosting-Provider immer noch Port 465 für die SMTP-Einreichung.

 

[Bob.Dig]

Sofern möglich immer Port 587 verwenden.

https://kinsta.com/de/blog/smtp-port-waehlen/

Ich hab bei mir Port 587 wieder zu gemacht, weil das einfach niemand nutzt. Nicht mal google.

 

[h00bi]

gmail unterstützt beides (stand heute). Aber eigentlich ist google hier ein schlechtes Beispiel, weil die lange an Port 465 festgehalten haben.

smtp.gmail.com
SSL erforderlich: Ja
TLS erforderlich: Ja (falls verfügbar)
Authentifizierung erforderlich: Ja
Port für SSL: 465
Port für TLS/STARTTLS: 587

 

[Yuuri]

Aber eigentlich ist google hier ein schlechtes Beispiel, weil die lange an Port 465 festgehalten haben.

Auch für dich nochmal: #17

 

[Bob.Dig]

D.h. 465 für TLS, 587 für STARTTLS. Wollte ich nun auch mal was auf diesen Ports sehen, insbesondere 465, würde es helfen, einen SRV Record zu erstellen?

Example: service record

       _submission._tcp     SRV 0 1 465 mail.example.com.

 

[Yuuri]

D.h. 465 für TLS, 587 für STARTTLS.

Ja, aber STARTTLS ist halt dumm, weil erst unverschlüsselt verbunden und dann (hoffentlich) auf verschlüsselt gewechselt wird. Der Kompatibilität wegen soll ja beides erhalten bleiben, aber die Migration soll eben genauso auf implizites TLS (ergo Port 465) hinaus laufen, wie bei IMAP, POP und etlichen weiteren Protokollen auch.

Wollte ich nun auch mal was auf diesen Ports sehen, insbesondere 465, würde es helfen, einen SRV Record zu erstellen?

Die Records sind eigentlich total irrelevant und kannst du dir sparen, da zumindest Outlook und Thunderbird nicht darauf zugreifen. Ich weiß nicht, wie es um die mobilen Clients steht, aber ich bezweifel auch stark, dass dort irgendwer auf diese Records zugreift. RFC 6186 thematisiert das initial. Das angesprochene RFC 8314 entspricht auch einem Update für 6186 und beschreibt in Section 5.1 wie damit umgegangen werden soll.

This document updates [RFC6186] by changing the preference rules and
adding a new SRV service label _submissions._tcp to refer to Message
Submission with Implicit TLS.

User-configurable MUAs SHOULD support the use of [RFC6186] for
account setup. However, when using configuration information
obtained via this method, MUAs SHOULD ignore advertised services that
do not satisfy minimum confidentiality requirements, unless the user
has explicitly requested reduced confidentiality. This will have the
effect of causing the MUA to default to ignoring advertised
configurations that do not support TLS, even when those advertised
configurations have a higher priority than other advertised
configurations.

When using configuration information per [RFC6186], MUAs SHOULD NOT
automatically establish new configurations that do not require TLS
for all servers, unless there are no advertised configurations using
TLS. If such a configuration is chosen, prior to attempting to
authenticate to the server or use the server for Message Submission,
the MUA SHOULD warn the user that traffic to that server will not be
encrypted and that it will therefore likely be intercepted by
unauthorized parties. The specific wording is to be determined by
the implementation, but it should adequately capture the sense of
risk, given the widespread incidence of mass surveillance of email
traffic.

Similarly, an MUA MUST NOT attempt to "test" a particular Mail
Account configuration by submitting the user's authentication
credentials to a server, unless a TLS session meeting minimum
confidentiality levels has been established with that server. If
minimum confidentiality requirements have not been satisfied, the MUA
must explicitly warn that the user's password may be exposed to
attackers before testing the new configuration.

When establishing a new configuration for connecting to an IMAP, POP,
or SMTP submission server, based on SRV records, an MUA SHOULD verify
that either (a) the SRV records are signed using DNSSEC or (b) the
target Fully Qualified Domain Name (FQDN) of the SRV record matches
the original server FQDN for which the SRV queries were made. If the
target FQDN is not in the queried domain, the MUA SHOULD verify with
the user that the SRV target FQDN is suitable for use, before
executing any connections to the host. (See Section 6 of [RFC6186].)

An MUA MUST NOT consult SRV records to determine which servers to use
on every connection attempt, unless those SRV records are signed by
DNSSEC and have a valid signature. However, an MUA MAY consult SRV
records from time to time to determine if an MSP's server
configuration has changed and alert the user if it appears that this
has happened. This can also serve as a means to encourage users to
upgrade their configurations to require TLS if and when their MSPs
support it.

Ergo _submission._tcp für unverschlüsselt und _submissions._tcp für verschlüsselt mit implizitem TLS. STARTTLS auf 587 fällt somit komplett weg.

Aber wie gesagt: Kein Desktop Client unterstützt das, sondern nur ihre eigenen Herangehensweisen.

Für Outlook (2016): https://support.microsoft.com/en-us...discover-0d7b2709-958a-7249-1c87-434d257b9087

Thunderbird:

3. and/or (not yet implemented) use DNS SRV records _imap._tcp.example.com etc. (Problem: Doesn't provide username form etc..)

Sinnvoll ist somit ausschließlich ne XML unter den entsprechenden URLs bereitzustellen, denn diese werden beide Tools definitiv aus.

Für die XMLs hab ich mal das Repo gefunden: https://github.com/Incruises/autodiscover.xml