Frage zur richtigen SMTP-Server Einstellung für Emails.

[Nolle]

Hallo liebe Community,

mir stellt sich die Frage mit welchen SMTP Einstellungen ich am sichersten fahre wenn ich Emails über meinen Host Anbieter verschicke.
Dieser bietet folgende Varianten an.

• Port und Verschlüsselung:
  • 587 mit STARTTLS (empfohlen)
  • 465 mit TLS
  • 25 mit STARTTLS oder keiner

Empfohlen wird mir die Verschlüsselung über Port 587 mit STARTTLS.
Aber ist diese tatsächlich die richtige?


Vielen Dank
LG

 

[Benutzername3]

STARTTLS und alles ist gut

 

[Yuuri]

Kein SSL/TLS verfügbar?

Übersehen, dann am besten TLS.

 

[d4nY]

Kurze Antwort, du kannst alle 3 Varianten nutzen

Lange Antwort:
465 ist der "alte" explizit für SSL/TLS genutzte Port, sprich eine Anwendung die über den Port kommuniziert, muss von sich aus schon verschlüsselt kommunizieren

Bei STARTTLS ist der Vorteil, dass der Server und der Client aushandeln können, ob verschlüsselt wird oder nicht.
Im Regelfall wird STARTTLS bei Port 587 auf "required" gesetzt, sprich die Gegenstelle MUSS eine Verschlüsselung anbieten, sonst wird die Verbindung abgelehnt.
Bei Port 25 wird STARTTLS in aller Regel auf "optional" gestellt, sprich die Gegenstelle kann verschlüsseln, muss aber nicht

 

[Nolle]

Vielen Dank an alle. Es geht mir in dem Fall natürlich auch um die DSGVO.
Diese scheibt ja vor das ich von meiner Webseite aus mit verschlüsselten Emails arbeite.
Wenn ein Benutzer quasi von mir einen Link für das erstellen eines neuen Passworts zugeschickt bekommt muss diese Mail verschlüsselt verschickt werden.

Bedeutet das jetzt?

587 mit STARTTLS ist genau so sicher wie 465 mit TLS?

 

[Yuuri]

465 ist der "alte" explizit für SSL/TLS genutzte Port, sprich eine Anwendung die über den Port kommuniziert, muss von sich aus schon verschlüsselt kommunizieren

RFC8314

Updates: 1939, 2595, 3501, 5068, 6186, 6409

3.3. Implicit TLS for SMTP Submission

When a TCP connection is established for the "submissions" service
(default port 465), a TLS handshake begins immediately. Clients MUST
implement the certificate validation mechanism described in
[RFC7817]. Once the TLS session is established, Message Submission
protocol data [RFC6409] is exchanged as TLS application data for the
remainder of the TCP connection. (Note: The "submissions" service
name is defined in Section 7.3 of this document and follows the usual
convention that the name of a service layered on top of Implicit TLS
consists of the name of the service as used without TLS, with an "s"
appended.)

The STARTTLS mechanism on port 587 is relatively widely deployed due
to the situation with port 465 (discussed in Section 7.3). This
differs from IMAP and POP services where Implicit TLS is more widely
deployed on servers than STARTTLS. It is desirable to migrate core
protocols used by MUA software to Implicit TLS over time, for
consistency as well as for the additional reasons discussed in
Appendix A. However, to maximize the use of encryption for
submission, it is desirable to support both mechanisms for Message
Submission over TLS for a transition period of several years. As a
result, clients and servers SHOULD implement both STARTTLS on
port 587 and Implicit TLS on port 465 for this transition period.
Note that there is no significant difference between the security
properties of STARTTLS on port 587 and Implicit TLS on port 465 if
the implementations are correct and if both the client and the server
are configured to require successful negotiation of TLS prior to
Message Submission.

Bei STARTTLS ist der Vorteil, dass der Server und der Client aushandeln können, ob verschlüsselt wird oder nicht.

2019 mit Lets Encrypt...

587 mit STARTTLS ist genau so sicher wie 465 mit TLS?

Technisch betrachtet, kann die Nutzung von Port 587 die Verschlüsselung nicht erzwingen, wenn bspw. Proxys den STARTTLS Befehl aus der Kommunikation entfernen und ist somit anfällig für MITM (da ja zu allererst unverschlüsselt übertragen wird). 465 wird von vorn herein nur verschlüsselt übertragen - da gibts kein wenn/dann/falls.

 

[Nolle]

Vielen Dank an alle.

ich arbeitete nach euren Vorschlägen jetzt mit folgenden Einstellungen

SMTP mail port: 465
da nur Verschlüsselt übertragen

SMTP mail secure: TLS
da sicherer als SSL

Richtig?

Jetzt stellt sich mir nur noch die Frage welche Adresse für den Postausgangsserver ich nehme.
send.one.com oder mailout.one.com .

Beide funktionieren. Das macht mir die Auswahl nicht einfacher.

Danke euch Männer