info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
TLS-Abschaltung Email-Postfach (Teil 2)
2 views
Skip to first unread message
Stephan Gerlach
Jan 3, 2023, 4:16:58 PM1/3/23
to
Theoretisch sollte bei der Telekom der Email-Versand mit den alten
Verschlüsselungs-Standards TLS 1.0 und TLS 1.1 seit 1. Januar 2023 nicht
mehr möglich sein, siehe u.a.
<https://groups.google.com/g/de.comm.provider.t-online/c/KqJYDPvBRJI&ved=2ahUKEwjIqabspKz8AhVYPuwKHY55DVMQFnoECAYQAg&usg=AOvVaw0KLkE9RiBTYRkgBuqnOE-2>.
oder
<https://telekomhilft.telekom.de/t5/Blog/Wichtiger-Update-Hinweis-zu-euren-Telekom-Mail-Postfaechern-Jetzt/ba-p/5755077>
Praktisch zeigten mehrere Tests hingegen:
Sowohl Email-Versand als auch -Empfang sind weiterhin mit TLS 1.0
und/oder TLS 1.1 möglich; Test mit einer TLS-1.0-Version von Mozilla
Thunderbird zeigen dies.
Der Empfang der per TLS 1.0 verschlüsselten Emails ist auch dann
möglich, wenn man ein "TLS-1.2-Programm" zum Empfang verwendet, also
wenn "TLS-1.0-Emails" eigentlich verweigert(?) werden sollten. Ein Blick
in den Quelltext der empfangenen Emails zeigt, daß offenbar mit TLS
1.0(?) versendet und empfangen wurde; da steht dann sowas wie
Received: from [192.168.2.100] ***.t-online.de
with (TLSv1:ECDHE-RSA-AES256-SHA encrypted)
Die einzige Besonderheit ist, daß beim Versand mit TLS 1.0 eine kurze
Fehlermeldung kommt, sinngemaäß "Zertifikat ungültig -> Zertifikat
temporär zulassen?", die aber unmittelbar umgangen werden kann.
Verwendet man eine "TLS-1.2-Version" von Thunderbird, tritt diese
Meldung nicht auf, und die Email wird "direkt" versendet. Im Quelltext
steht dann TLSv1.2 statt TLSv1.
Frage: Wie ist der "Fehler" zu erklären, daß offenbar sowohl Versand als
auch Empfang von mit TLS 1.0 veschlüsselten Emails weiterhin möglich ist?
Normalerweise würde ich erwarten, daß man diese "TLS-1.0-Emails" gar
nicht mehr versenden bzw. empfangen kann in dem Sinne, daß beim Senden
Fehlermeldungen a la "Verbindung verweigert" o.ä. kommen; und beim
Empfang die "TLS-1.0-Emails" einfach (unbemerkt) nicht ankommen.
Hat die Telekom einfach vergessen, TLS 1.0 und TLS 1.1 tatsächlich
abzuschalten?
--
> Eigentlich sollte Brain 1.0 laufen.
gut, dann werde ich mir das morgen mal besorgen...
(...Dialog aus m.p.d.g.w.a.)
Verschlüsselungs-Standards TLS 1.0 und TLS 1.1 seit 1. Januar 2023 nicht
mehr möglich sein, siehe u.a.
<https://groups.google.com/g/de.comm.provider.t-online/c/KqJYDPvBRJI&ved=2ahUKEwjIqabspKz8AhVYPuwKHY55DVMQFnoECAYQAg&usg=AOvVaw0KLkE9RiBTYRkgBuqnOE-2>.
oder
<https://telekomhilft.telekom.de/t5/Blog/Wichtiger-Update-Hinweis-zu-euren-Telekom-Mail-Postfaechern-Jetzt/ba-p/5755077>
Praktisch zeigten mehrere Tests hingegen:
Sowohl Email-Versand als auch -Empfang sind weiterhin mit TLS 1.0
und/oder TLS 1.1 möglich; Test mit einer TLS-1.0-Version von Mozilla
Thunderbird zeigen dies.
Der Empfang der per TLS 1.0 verschlüsselten Emails ist auch dann
möglich, wenn man ein "TLS-1.2-Programm" zum Empfang verwendet, also
wenn "TLS-1.0-Emails" eigentlich verweigert(?) werden sollten. Ein Blick
in den Quelltext der empfangenen Emails zeigt, daß offenbar mit TLS
1.0(?) versendet und empfangen wurde; da steht dann sowas wie
Received: from [192.168.2.100] ***.t-online.de
with (TLSv1:ECDHE-RSA-AES256-SHA encrypted)
Die einzige Besonderheit ist, daß beim Versand mit TLS 1.0 eine kurze
Fehlermeldung kommt, sinngemaäß "Zertifikat ungültig -> Zertifikat
temporär zulassen?", die aber unmittelbar umgangen werden kann.
Verwendet man eine "TLS-1.2-Version" von Thunderbird, tritt diese
Meldung nicht auf, und die Email wird "direkt" versendet. Im Quelltext
steht dann TLSv1.2 statt TLSv1.
Frage: Wie ist der "Fehler" zu erklären, daß offenbar sowohl Versand als
auch Empfang von mit TLS 1.0 veschlüsselten Emails weiterhin möglich ist?
Normalerweise würde ich erwarten, daß man diese "TLS-1.0-Emails" gar
nicht mehr versenden bzw. empfangen kann in dem Sinne, daß beim Senden
Fehlermeldungen a la "Verbindung verweigert" o.ä. kommen; und beim
Empfang die "TLS-1.0-Emails" einfach (unbemerkt) nicht ankommen.
Hat die Telekom einfach vergessen, TLS 1.0 und TLS 1.1 tatsächlich
abzuschalten?
--
> Eigentlich sollte Brain 1.0 laufen.
gut, dann werde ich mir das morgen mal besorgen...
(...Dialog aus m.p.d.g.w.a.)
Marco Moock
Jan 4, 2023, 2:31:35 AM1/4/23
to
Am 03.01.2023 um 22:37:02 Uhr schrieb Stephan Gerlach:
> Frage: Wie ist der "Fehler" zu erklären, daß offenbar sowohl Versand
> als auch Empfang von mit TLS 1.0 veschlüsselten Emails weiterhin
> möglich ist? Normalerweise würde ich erwarten, daß man diese
> "TLS-1.0-Emails" gar nicht mehr versenden bzw. empfangen kann in dem
> Sinne, daß beim Senden Fehlermeldungen a la "Verbindung verweigert"
> o.ä. kommen; und beim Empfang die "TLS-1.0-Emails" einfach
> (unbemerkt) nicht ankommen. Hat die Telekom einfach vergessen, TLS
> 1.0 und TLS 1.1 tatsächlich abzuschalten?
Exakt das vermute ich. Abschaltungen werden gerne für den Jahresanfang
> Frage: Wie ist der "Fehler" zu erklären, daß offenbar sowohl Versand
> als auch Empfang von mit TLS 1.0 veschlüsselten Emails weiterhin
> möglich ist? Normalerweise würde ich erwarten, daß man diese
> "TLS-1.0-Emails" gar nicht mehr versenden bzw. empfangen kann in dem
> Sinne, daß beim Senden Fehlermeldungen a la "Verbindung verweigert"
> o.ä. kommen; und beim Empfang die "TLS-1.0-Emails" einfach
> (unbemerkt) nicht ankommen. Hat die Telekom einfach vergessen, TLS
> 1.0 und TLS 1.1 tatsächlich abzuschalten?
gemacht und da sind viele Leute im Urlaub. Ggf. haben die aber auch
(temporär) einen Rückzieher gemacht, weil noch viele TLS1.0 nutzen oder
sich beschwert haben.
Es kann aber auch sein, dass die das sukzessive machen (z.B. erstmal
einer der MX, dann die MSA usw.), um nicht so viele Supportanfragen auf
einmal zu haben.
--
Gruß
Marco
PS: aioe ist bei mir in de.* gesperrt, weil von da sehr viel Müll
kommt und es den Betreiber nicht kümmert.
0 new messages