Mailversand zwischen Mailservern sicher?

[taz]

Hallo allerseits,
ich habe einen vServer mit Plesk 9.2.2 (CentOS) und Postfix.

Ich kann den Mailversand/Mailemfang mittels SSL/TSL verschlüsseln (Mailclient zu Server)
Nun frage ich mich wie und ob der Mailversand vom Plesk Mailserver zum Mailserver des Empfängers (und anders rum) gesichert wird.
Wie kann ich prüfen ob diese Kommunikation gesichert ist?

Danke für eure Mühe.

[harv]

grundsätzlich ist die erstmal unsicher es besteht aber die möglichkeit per tls zu verschlüsseln nur muss das der andere Server auch unterstützen.

[taz]

Danke, harv für deine Antwort.
Kann ich PLesk 9 beibringen, dass es Mails automatisch verschlüsselt an den Mailserver des Empfängers senden wenn dieser eine Verschlüsselung unterstützt?

Sehr interessant ist in Bezug auf das Thema folgender Artikel:
http://www.zdnet.de/sicherheit_in_der_p ... 6494-1.htm

Wenn ich das richtig sehe kann PLesk 9 bzw. Postfix STARTTSL beim Empfangen von Mails.
Im Artikel steht wie man das prüfen kann.
Ich habe nur noch nicht rausgefunden ob er das auch beim Senden kann.

Habt ihr eine Idee oder wisst ihr da etwas?

Danke.

[harv]

ich werde mich mal schlau machen und ein tut ausetzten, da es sich hier ja doch um etwas SEHR wichitges handelt

Plesk das beizubringen geht nicht aber Postfix lässt sich sehr schön "manipulieren"/optimieren/konfigurieren also denke ich finden wir da eine lösung

[harv]

So Problem nr.1 du benötigst hierfür ein echtes Zertifikat ein selbstsigniertes reicht da nicht

und dann gibts hier ne kleine Anleitung: http://matthias.leisi.net/159-Postfix-E ... Mails.html

Postfix: Erzwingen von TLS für ausgehende Mails

Um bei ausgehenden Mails die Nutzung von TLS zu erzwingen, muss man Postfix zwei Dinge mit auf den Weg geben:
die Liste der Domains, bei denen TLS erzwungen werden soll, und die entsprechenden Zertifikate.

Zuerst sollte man prüfen, dass Mails an diese Domains bereits mit TLS übermittelt werden und dass das Server Zertifikat erfolgreich verifiziert werden kann (im Logfile steht dann so etwas wie “Setting up connection to …” und “Verified: subject_CN=..., issuer=...”).
Postfix Konfiguration

In /etc/postfix/main.cf:

smtp_tls_per_site = hash:/etc/postfix/ssl_outgoing

Daneben sind natürlich die weiteren smtp_tls_XXX-Einstellungen notwendig.
Domain Konfiguration

In /etc/postfix/ssl_outgoing:

example.com MUST_NOPEERMATCH

Neben MUST_NOPEERMATCH gibt es noch andere Optionen (siehe postconf Dokumentation auf postfix.org):

* NONE: Kein TLS. Ist nützlich, um Ausnahmen zu definieren, da ein weniger spezifisches MAY übersteuert wird.
* MAY: Opportunistisches TLS. Die anderen Angaben übersteuern das MAY.
* MUST_NOPEERMATCH: TLS wird erzwungen, aber es ist nicht notwendig, dass der Name im subject_CN-Feld mit dem Namen des Mailservers übereinstimmt. Das ist die sinnvollste Methode, da beim Erzwingen gleicher Namen alle Mailserver mit Wildcards im subject_CN rausfallen (Postini nutzt überall Wildcards).
* MUST: TLS wird erwzungen, inklusive übereinstimmung zwischen subject_CN und Hostnamen.

Postfix >= 2.3

Die Einstellungen oben gelten für die wahrscheinlich am weitesten verbreitete Postfix Version 2.2. Ab Version 2.3 gibt es anstelle von smtp_tls_per_site das flexiblere smtp_tls_policy_maps (siehe die entsprechende postconf Dokumentation).

[taz]

Hey harv. Vielen Dank für die Mühe!

Ich bin bei meiner Recherche zu ähnlichen Erkenntnisen gekommen.
Wie man ein Zertifikat für den Mailserver installiert wird sogar von Parallels beschrieben:
http://download1.parallels.com/Plesk/PP ... =59211.htm

Gibt es eine Möglichkeit das ganze mit dem default Plesk Zertifikat zu realisieren oder mit nur einem zusätzlich erworbenen Zertifikat?
Das Ganze sollte sinnvoll/bezahlbar für einen Server sein auf dem einige Kunden angelegt sind die jeweils mehrere Domains besitzen.

Für jede Domain ein Zertifikat zu kaufen ist... schweine teuer ;) vorallem für private Websites.
Mir fehlt immernoch eine CA die bezahlbare Zertifikate ausstellt die man nicht in den gängigen Browsern nachinstallieren muss.

[harv]

tja das ist das grosse dilemma .... anders wirds nicht gehen

[taz]

So viel zum Thema bezahlbares Zertifikat:
http://www.clickssl.com/rapidssl/rapids ... rtificates
16$ im Jahr ist verkraftbar ;)

Die Frage ist jetzt jedoch, kann ich mit solch einem Zertifikat den Mailaustausch zwischen den MTAs verschlüsseln?
Es scheint unterschiedliche Zertifikate zu geben. Was mich aber irgendwie verwirrt, da ich egal ob ich http oder smtp nutze, eigentlich nur den Server eindeutig identifizieren möchte und man da nach meinem Verständnis das selbe Zertifikat nutzen kann.

Des Weiteren habe ich festgestellt, dass mein Plesk Panel (https://x12345.provider.de:8443) vom Provider mit einem Zertifikat "geschützt" wird. Das Zertifikat ist wohl ein Wildcard-Zertifikat ausgestellt auf den Domainnamen (*.provider.de) des Providers. Wo ist dieses Zertifikat abgelegt und kann ich es für den Mailversand verwenden?
Postfix schickt die Mails mit dem Hostnamen "x12345.provider.de" raus.

Danke für die Hilfe!

[harv]

Des Weiteren habe ich festgestellt, dass mein Plesk Panel (https://x12345.provider.de:8443) vom Provider mit einem Zertifikat "geschützt" wird. Das Zertifikat ist wohl ein Wildcard-Zertifikat ausgestellt auf den Domainnamen (*.provider.de) des Providers. Wo ist dieses Zertifikat abgelegt und kann ich es für den Mailversand verwenden?
Postfix schickt die Mails mit dem Hostnamen "x12345.provider.de" raus.

Das hört sich danach an du brauchst auf jedenfall ein so genanntes "root" Zertifikat das auf deine IP ausgestellt ist und nicht auf eine Domain. (kann auch sein das es reicht wenn es auf deine mail domain ausgestellt ist, wiess ich aber nicht 100%)

Wo ist dieses Zertifikat abgelegt und kann ich es für den Mailversand verwenden?

Was meinst du mit "wo"?

So viel zum Thema bezahlbares Zertifikat:
http://www.clickssl.com/rapidssl/rapids ... rtificates
16$ im Jahr ist verkraftbar ;)

Das läst sich nicht nutzen ^^

Single FQDN Domain

[taz]

Das Zertifikat das mein Plesk Panel schützt, ist unter Virtuozzo, außerhalb des Containers in dem mein Server läuft, installiert.
Es handelt sich um einen vServer. Ich habe schon meinen Provider gefragt ob ich dieses Zertifikat nutzen kann und warte auf die Antwort.

Wieso kann ich das Zertifikat von clickssl nicht nutzen?
Wieso gibt es unterschiede in den Zertifikaten?
Mein Server (Postfix) verschickt Mails mit dem Hostnamen "x12345.provider.de". Wenn ich ein Zertifikat für diese Domain kaufe, kann ich doch den Mailversand des Mailservers (Postfix) damit schützen.
Sorry das mit den Zertifikaten scheint mir noch nicht ganz klar. Ich seh hier irgendwie nur Geldmacherei. Zertifikat ist doch Zertifikat.
Ich will doch nur überprüfen können ob eine IP und/oder Domain die ist, mit der ich glaube zu kommunizieren. Dafür benötige ich doch nicht unterschiedliche Zertifikate für Mail (smtp) oder http.

Kein wunder, dass fast alle Mailserver Ihre Mails im Klartext verschicken. So ein rumgemache nur wegen den Zertifikaten^^

[harv]

Wieso kann ich das Zertifikat von clickssl nicht nutzen?
[...]
Mein Server (Postfix) verschickt Mails mit dem Hostnamen "x12345.provider.de". Wenn ich ein Zertifikat für diese Domain kaufe, kann ich doch den Mailversand des Mailservers (Postfix) damit schützen.

weil das nur auf eine domain ist, aber wie ^^ schon gesagt das kann ich dir nicht 100% sagen obs damit dann nicht klappt

Wieso gibt es unterschiede in den Zertifikaten?
[..]
Sorry das mit den Zertifikaten scheint mir noch nicht ganz klar. Ich seh hier irgendwie nur Geldmacherei. Zertifikat ist doch Zertifikat.

Naja es wird alles abgedeckt was nötig ist
www.Domain.tld
*.domain.tld
IP

jedes dieser Zertifikate ist für unterschieliche zwecke sinnvoll (und auch unterschiedlich teuer)

dann gibt es natürlich noch einen unterschied beim überprüfen der Person auf die das Zertifikat ausgestellt ist

Per Mail
Per Tel
Per Post
Per Einschreiben mit vorlage des Persos/Pass (Persönlich zustellung)
Persönlich

auch kombinationen davon sind möglich und je nach dem wie aufwändig dieser vorgang ist und damit auch umso sicherer, umso Teurer ist das Zertifikat

Dafür benötige ich doch nicht unterschiedliche Zertifikate für Mail (smtp) oder http.

nein du kannst das selbe für http, smtp und pop3/imap nutzen (beim domain zertifikat ^^ bin ich mir nicht sicher) das macht keinen unterschied

Ich habe schon meinen Provider gefragt ob ich dieses Zertifikat nutzen kann und warte auf die Antwort.

dann würde ich vorschlagen wir warten die antwort ab