TLS-Abschaltung Email-Postfach

[Stephan Gerlach]

Neulich kam eine Email der Telekom; es ging um die Abschaltung der
Standards TLS 1.0 und 1.1 für die (nur?) Email-Übertragung. Siehe auch
<https://telekomhilft.telekom.de/t5/Blog/Wichtiger-Update-Hinweis-zu-euren-Telekom-Mail-Postfaechern-Jetzt/ba-p/5755077>.

Dazu einige grundsätzliche Fragen:

- Kann ein verwendeter Router, der *nicht* ein
Email-(Verwaltungs-)Programm selbst beinhaltet, selbst irgendwie davon
betroffen sein? D.h. z.B. man verwendet die neuesten Endgeräte mit der
aktuellst möglichen Software, aber ein zwischen Telekom-Leitung und
Endgerät geschalteter Router ist "alt".

- Hat das etwas mit den Postausgangsservern
securepop.t-online.de und secureimap.t-online.de (davon gibt es also
(mindestens) 2 Stück) bzw. dem Postausgangsserver securesmtp.t-online.de
zu tun, oder betrifft die Änderung voraussichtlich *alle* beteiligten
Postausgangs-/Posteingangsserver?
(Ich vermute letzteres.)

- Es ist (aktuell) offenbar auch noch(?) möglich, Emails über die
Verschlüsselung SSL zu senden/empfangen, obwohl eine Abschaltung von SSL
im oben genannten Link gar nicht explizit erwähnt wird. Da steht nur,
daß TLS der Nachfolger von SSL ist. Ich würde jetzt erwarten, daß
Email-Versand/-Empfang über SSL bereits jetzt nicht mehr funktioniert;
aber offenbar ist das Gegenteil(?) der Fall. Es steht nur da, daß TLS
1.0 und TLS 1.1 deaktiviert werden. Von SSL ist wie gesagt gar keine
Rede; das klingt so (implizit), als sei das schon deaktiviert(?).

Wird die SSL-Verschlüsselung im Zuge der geplanten Änderung quasi
"automatisch" mit deaktiviert?



--
> Eigentlich sollte Brain 1.0 laufen.
gut, dann werde ich mir das morgen mal besorgen...
(...Dialog aus m.p.d.g.w.a.)

[Andreas Hartmann]

On 29.09.22 at 03:27 Stephan Gerlach wrote:
> Neulich kam eine Email der Telekom; es ging um die Abschaltung der Standards TLS 1.0 und 1.1 für die (nur?) Email-Übertragung. Siehe auch
> <https://telekomhilft.telekom.de/t5/Blog/Wichtiger-Update-Hinweis-zu-euren-Telekom-Mail-Postfaechern-Jetzt/ba-p/5755077>.
>
> Dazu einige grundsätzliche Fragen:
>
> - Kann ein verwendeter Router, der *nicht* ein Email-(Verwaltungs-)Programm selbst beinhaltet, selbst irgendwie davon betroffen sein? D.h. z.B. man verwendet die neuesten

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

> Endgeräte mit der aktuellst möglichen Software, aber ein zwischen Telekom-Leitung und Endgerät geschalteter Router ist "alt".

Nein. Email-Traffic ist einfacher Unicast-Verkehr. Den leiten Router / Switche unabhängig vom für die reine Datenübertragung verwendeten Protokoll durch (falls es nicht
irgendein konfigurierter Portfilter verhindert - der macht das dann aber unabhängig vom Inhalt) - wie alle anderen beliebigen Daten auch. Wäre insgesamt ja auch Schwachsinn.
Mir wäre keine Firewall (bei den von Dir genannten Devicetypen / SOHO) bekannt, die auf das Verschlüsselungsformat der Inhalte reagieren würden. Wenn doch, müsste es
konfigurierbar sein und es wäre dann sicher nicht auf Mail begrenzt.

>
> - Hat das etwas mit den Postausgangsservern
> securepop.t-online.de und secureimap.t-online.de (davon gibt es also (mindestens) 2 Stück) bzw. dem Postausgangsserver securesmtp.t-online.de zu tun, oder betrifft die
> Änderung voraussichtlich *alle* beteiligten Postausgangs-/Posteingangsserver?
> (Ich vermute letzteres.)

Letzteres. Alles andere wäre ja auch bescheuert.

> - Es ist (aktuell) offenbar auch noch(?) möglich, Emails über die Verschlüsselung SSL zu senden/empfangen, obwohl eine Abschaltung von SSL im oben genannten Link gar nicht
> explizit erwähnt wird. Da steht nur, daß TLS der Nachfolger von SSL ist. Ich würde jetzt erwarten, daß Email-Versand/-Empfang über SSL bereits jetzt nicht mehr
> funktioniert; aber offenbar ist das Gegenteil(?) der Fall. Es steht nur da, daß TLS 1.0 und TLS 1.1 deaktiviert werden. Von SSL ist wie gesagt gar keine Rede; das klingt so
> (implizit), als sei das schon deaktiviert(?).

korrekt - sollte zumindest so sein - habe ich aber nicht getestet, weil ich von der Abschaltung sowieso nicht betroffen bin (wurde auch nicht angeschrieben). TLS 1.0 und
1.1 sind schon ziemlich lange zu vermeiden. Von daher ist die Telekom mit der Abschaltung ziemlich spät dran an der Stelle. Bei VoIP wurde TLS 1.2 meines Wissens von Anfang
an enforced (wenn man denn verschlüsseltes SIP nutzt - noch wird ja auch unverschlüsseltes angeboten leider).


Gruß
Andreas

[Thomas Hochstein]

Stephan Gerlach schrieb:

> - Es ist (aktuell) offenbar auch noch(?) möglich, Emails über die
> Verschlüsselung SSL zu senden/empfangen, obwohl eine Abschaltung von SSL
> im oben genannten Link gar nicht explizit erwähnt wird. Da steht nur,
> daß TLS der Nachfolger von SSL ist.

Das ist eine Frage der Begrifflichkeiten. SSL und TLS bezeichnen im
Prinzip das gleiche; was früher als proprietäre Entwicklung von Netsacpe
"Secure Sockets Layer" heißt, heißt seit der Spezifierung durch die IETF
1999 "Transport Layer Security". (SSL 3.1 wurde im Prinzip TLS 1.0)

SSL 1.0, 2.0, 3.0 und TLS 1.0 und 1.1 sollten nicht mehr verwendet werden;
für TLS 1.0 und 1.1 gilt das seit März 2021

> Ich würde jetzt erwarten, daß
> Email-Versand/-Empfang über SSL bereits jetzt nicht mehr funktioniert;
> aber offenbar ist das Gegenteil(?) der Fall. Es steht nur da, daß TLS
> 1.0 und TLS 1.1 deaktiviert werden. Von SSL ist wie gesagt gar keine
> Rede; das klingt so (implizit), als sei das schon deaktiviert(?).
>
> Wird die SSL-Verschlüsselung im Zuge der geplanten Änderung quasi
> "automatisch" mit deaktiviert?

SSL 3.0 soll seit 2015 nicht mehr verwendet werden. Falls das bisher noch
möglich war, sollte man annehmen, dass die Deaktivierung ebenfalls
erfolgt, ja.

-thh

[Marco Moock]

Am 29.09.2022 um 03:27:35 Uhr schrieb Stephan Gerlach:

> Neulich kam eine Email der Telekom; es ging um die Abschaltung der
> Standards TLS 1.0 und 1.1 für die (nur?) Email-Übertragung.

Das sind uralte Protokolle, die man heute nicht mehr nutzen sollte, da
sie ein paar Sicherheitsprobleme haben. Stelle daher auf TLS 1.3 um,
jeder aktuelle MUA/NUA kann das. Deinen Uralt-Thunderbird solltest du
auch durch eine aktuelle Version ersetzen.

> - Kann ein verwendeter Router, der *nicht* ein
> Email-(Verwaltungs-)Programm selbst beinhaltet, selbst irgendwie
> davon betroffen sein? D.h. z.B. man verwendet die neuesten Endgeräte
> mit der aktuellst möglichen Software, aber ein zwischen
> Telekom-Leitung und Endgerät geschalteter Router ist "alt".

Router und Modem haben damit NICHTS zu tun.
Was für Geräte hast du da?
Die Telekom will auch anderen Kram wie ADSL und ATM loswerden.

> - Hat das etwas mit den Postausgangsservern
> securepop.t-online.de und secureimap.t-online.de (davon gibt es also
> (mindestens) 2 Stück) bzw. dem Postausgangsserver
> securesmtp.t-online.de zu tun, oder betrifft die Änderung
> voraussichtlich *alle* beteiligten Postausgangs-/Posteingangsserver?
> (Ich vermute letzteres.)

Alle genannten Server können TLS nutzen. Bei allen sollte man es auch
nutzen.

> - Es ist (aktuell) offenbar auch noch(?) möglich, Emails über die
> Verschlüsselung SSL zu senden/empfangen, obwohl eine Abschaltung von
> SSL im oben genannten Link gar nicht explizit erwähnt wird. Da steht
> nur, daß TLS der Nachfolger von SSL ist. Ich würde jetzt erwarten,
> daß Email-Versand/-Empfang über SSL bereits jetzt nicht mehr
> funktioniert; aber offenbar ist das Gegenteil(?) der Fall. Es steht
> nur da, daß TLS 1.0 und TLS 1.1 deaktiviert werden. Von SSL ist wie
> gesagt gar keine Rede; das klingt so (implizit), als sei das schon
> deaktiviert(?).
>
> Wird die SSL-Verschlüsselung im Zuge der geplanten Änderung quasi
> "automatisch" mit deaktiviert?

Meinst du damit SSL3.0 oder meinst du damit die Option SSL/TLS in
vielen Programmen, die alle SSL- und TLS-Protokolle meint und damit
implizites TLS über Port 465 (SMTP) bzw. 993 (IMAP) meint?
Die geht weiterhin, aber halt nur noch mit TLS1.2 und 1.3.

[Stephan Gerlach]

Marco Moock schrieb:

> Am 29.09.2022 um 03:27:35 Uhr schrieb Stephan Gerlach:
>
>> Neulich kam eine Email der Telekom; es ging um die Abschaltung der
>> Standards TLS 1.0 und 1.1 für die (nur?) Email-Übertragung.
>
> Das sind uralte Protokolle, die man heute nicht mehr nutzen sollte, da
> sie ein paar Sicherheitsprobleme haben. Stelle daher auf TLS 1.3 um,
> jeder aktuelle MUA/NUA kann das. Deinen Uralt-Thunderbird solltest du
> auch durch eine aktuelle Version ersetzen.

Was ist, wenn demnächst Email-Verkehr zwischen $Empfänger und $Sender
stattfindet, und einer von beiden nutzt noch (da von seinem Provider
"erlaubt") trotzdem TLS 1.0 oder 1.1, aber der andere TLS 1.2 oder 1.3?

Kommen die Emails trotzdem an?

>> - Kann ein verwendeter Router, der *nicht* ein
>> Email-(Verwaltungs-)Programm selbst beinhaltet, selbst irgendwie
>> davon betroffen sein? D.h. z.B. man verwendet die neuesten Endgeräte
>> mit der aktuellst möglichen Software, aber ein zwischen
>> Telekom-Leitung und Endgerät geschalteter Router ist "alt".
>
> Router und Modem haben damit NICHTS zu tun.
> Was für Geräte hast du da?

Aktuell ein Speedport W504V. Hab' ich mir im Zuge der
Analog-Zwangsabschaltung günstig gebraucht besorgt.

> Die Telekom will auch anderen Kram wie ADSL und ATM loswerden.

Vor der Analog-Abschaltung kamen hier mehrfach und zeitlich weit vorher
mehrere Briefe rein.
Bezüglich einer nächsten Zwangs-Abschaltung kam noch gar nichts hier an,
d.h. in dem Sinne, daß künftig z.B. nur noch VDSL möglich wäre.
Der aktuelle "Billig-Tarif" Magenta XS beinhaltet AFAIK einen
ADSL2(?)-Anschluß; jedenfalls kein VDSL. War/ist billiger, und VDSL
brauche ich nicht zwingend.

[...]

>> - Es ist (aktuell) offenbar auch noch(?) möglich, Emails über die
>> Verschlüsselung SSL zu senden/empfangen, obwohl eine Abschaltung von
>> SSL im oben genannten Link gar nicht explizit erwähnt wird. Da steht
>> nur, daß TLS der Nachfolger von SSL ist. Ich würde jetzt erwarten,
>> daß Email-Versand/-Empfang über SSL bereits jetzt nicht mehr
>> funktioniert; aber offenbar ist das Gegenteil(?) der Fall. Es steht
>> nur da, daß TLS 1.0 und TLS 1.1 deaktiviert werden. Von SSL ist wie
>> gesagt gar keine Rede; das klingt so (implizit), als sei das schon
>> deaktiviert(?).
>>
>> Wird die SSL-Verschlüsselung im Zuge der geplanten Änderung quasi
>> "automatisch" mit deaktiviert?
>

> Meinst du damit SSL3.0...

Die SSL-Version wird im Programm nicht explizit erwähnt.

> ... oder meinst du damit die Option SSL/TLS in

> vielen Programmen, die alle SSL- und TLS-Protokolle meint und damit
> implizites TLS über Port 465 (SMTP) bzw. 993 (IMAP) meint?

Die Option heißt nicht SSL/TLS.

Konkret verfügbar sind unter "verschlüsselte Verbindung verwenden":
* Nie
* TLS, wenn möglich (über Port 110)
* TLS (über Port 110)
* SSL (über Port 995)

Bezüglich der letzten Option steht keinerlei Bezug zu TLS dort.
Wenn man diese letzte Option anwählt, dann kann man Emails senden und
empfangen.

> Die geht weiterhin, aber halt nur noch mit TLS1.2 und 1.3.

[Marco Moock]

Am 04.10.2022 um 02:29:13 Uhr schrieb Stephan Gerlach:

> Was ist, wenn demnächst Email-Verkehr zwischen $Empfänger und $Sender
> stattfindet, und einer von beiden nutzt noch (da von seinem Provider
> "erlaubt") trotzdem TLS 1.0 oder 1.1, aber der andere TLS 1.2 oder
> 1.3?

Das hat damit nichts zu tun, denn das TLS hier ist eine
Transportverschlüsselung zwischen dem MUA und dem Mailserver bei deinem
Provider. Was dahinter passiert interessiert da nicht, ergo kommen die
Mails an, sofern die Server der unterschiedlichen Provider irgendwie
kommunizieren können, ggf. unverschlüsselt, ggf. über völlig andere
Protokolle.

> >> - Kann ein verwendeter Router, der *nicht* ein
> >> Email-(Verwaltungs-)Programm selbst beinhaltet, selbst irgendwie
> >> davon betroffen sein? D.h. z.B. man verwendet die neuesten
> >> Endgeräte mit der aktuellst möglichen Software, aber ein zwischen
> >> Telekom-Leitung und Endgerät geschalteter Router ist "alt".
> >
> > Router und Modem haben damit NICHTS zu tun.
> > Was für Geräte hast du da?
>
> Aktuell ein Speedport W504V. Hab' ich mir im Zuge der
> Analog-Zwangsabschaltung günstig gebraucht besorgt.

Solltest du ersetzen, kann kein IPv6.

> Bezüglich einer nächsten Zwangs-Abschaltung kam noch gar nichts hier
> an, d.h. in dem Sinne, daß künftig z.B. nur noch VDSL möglich wäre.
> Der aktuelle "Billig-Tarif" Magenta XS beinhaltet AFAIK einen
> ADSL2(?)-Anschluß; jedenfalls kein VDSL. War/ist billiger, und VDSL
> brauche ich nicht zwingend.

Wenn möglich wird meines Wissens kein ATM mehr genutzt, sondern
Ethernet und VDSL, wenn es zur Verfügung steht. Die Abschaltung von
ADSL2+ geht natürlich erst dann, wenn überall VDSL zur Verfügung
steht, das ist aber nicht der Fall.

> Konkret verfügbar sind unter "verschlüsselte Verbindung verwenden":
> * Nie
> * TLS, wenn möglich (über Port 110)
> * TLS (über Port 110)
> * SSL (über Port 995)

Leider wird da nicht beschrieben, ob STARTTLS (explizites TLS) oder ein
TLS-Tunnel (implizites TLS) gemeint ist. Anhand der Ports kann man aber
zuordnen, was sinnvoll wäre.

> Bezüglich der letzten Option steht keinerlei Bezug zu TLS dort.
> Wenn man diese letzte Option anwählt, dann kann man Emails senden und
> empfangen.

Weil TLS und SSL oft synonym verwendet werden/wurden. SSL ist aber de
facto tot.
Du verwendet halt aber ne steinalte Version vom Thunderbird, daher ist
es nicht verwunderlich, dass da alte Bezeichnungen zu finden sind.
Warum nimmst du nicht eine aktuelle Version?

[Diedrich Ehlerding]

Stephan Gerlach meinte:

> Was ist, wenn demnächst Email-Verkehr zwischen $Empfänger und $Sender
> stattfindet, und einer von beiden nutzt noch (da von seinem Provider
> "erlaubt") trotzdem TLS 1.0 oder 1.1, aber der andere TLS 1.2 oder
> 1.3?
>
> Kommen die Emails trotzdem an?

Ja. Diese Verschlüsselung betrifft nur den Transport zwischen Client und
IMAP- bzw. SMTP-Relay-Server; sie verhindert (nur), dass jemand
mitliest, der an deiner Telefonleitung mitlauscht. Auf den Servern der
betroffenen Provider liegt die Mail im Klartext vor. Wenn du Ende-zu-
Ende-Verschlüsselung brauchst, so dass also nur Absender und Empfänger
Klartext zu sehen bekommen, dann musst du die Nachricht selber
verschlüsseln (per S/MIME, gpg, oder wie auch immer
--
gpg-Key (DSA 1024) D36AD663E6DB91A4
fingerprint = 2983 4D54 E00B 8483 B5B8 C7D1 D36A D663 E6DB 91A4
HTML-Mail wird ungeleſen entſorgt.

[Stephan Gerlach]

Marco Moock schrieb:

> Am 04.10.2022 um 02:29:13 Uhr schrieb Stephan Gerlach:

[...]

>>> Router und Modem haben damit NICHTS zu tun.
>>> Was für Geräte hast du da?
>> Aktuell ein Speedport W504V. Hab' ich mir im Zuge der
>> Analog-Zwangsabschaltung günstig gebraucht besorgt.
>
> Solltest du ersetzen, kann kein IPv6.

Der W504V hat halt bisher (meistens) funktioniert; daher habe ich mir
keine großen Gedanken drüber gemacht. Außerdem war er günstig; AFAIR
günstiger als die monatliche Router-Miete(!?) für bereitgestellte
Neu-Geräte der Telekom.
Ich hatte/habe auch noch ein paar W503V. Die haben allerdings manchmal
beim Telefonieren de-synchronisiert; nungut, die sind auch nicht
offiziell unterstützt am Annex-J-Anschluß. Evtl. hätte es auch gereicht,
da ein paar Kondensatoren zu tauschen.

Ich könnte allerdings in der Tat ab und zu in den örtlichen
Kleinanzeigen gucken, ob irgendjemand günstige Router abzugeben hat.

>> Bezüglich einer nächsten Zwangs-Abschaltung kam noch gar nichts hier
>> an, d.h. in dem Sinne, daß künftig z.B. nur noch VDSL möglich wäre.
>> Der aktuelle "Billig-Tarif" Magenta XS beinhaltet AFAIK einen
>> ADSL2(?)-Anschluß; jedenfalls kein VDSL. War/ist billiger, und VDSL
>> brauche ich nicht zwingend.
>
> Wenn möglich wird meines Wissens kein ATM mehr genutzt, sondern
> Ethernet und VDSL, wenn es zur Verfügung steht.
> Die Abschaltung von
> ADSL2+ geht natürlich erst dann, wenn überall VDSL zur Verfügung
> steht, das ist aber nicht der Fall.

Irgendwo in meinen Unterlagen hier sollte stehen, was genau das hier für
ein Anschluß ist, also ob "nur" ADSL oder ADSL2+. Ich bin aber gerade zu
faul, die Unterlagen zu suchen. Es ist jedenfalls wie gesagt kein VDSL
Anschluß.

>> Konkret verfügbar sind unter "verschlüsselte Verbindung verwenden":
>> * Nie
>> * TLS, wenn möglich (über Port 110)
>> * TLS (über Port 110)
>> * SSL (über Port 995)
>
> Leider wird da nicht beschrieben, ob STARTTLS (explizites TLS) oder ein
> TLS-Tunnel (implizites TLS) gemeint ist. Anhand der Ports kann man aber
> zuordnen, was sinnvoll wäre.

Das stimmt, daß die Beschreibung selbst wenig informativ ist. Wenn SSL
zum Teil nur eine andere Bezeichnung für TLS ist, dann fragt man sich,
warum TLS und SSL als verschiedene(!) Optionen angeboten werden.

>> Bezüglich der letzten Option steht keinerlei Bezug zu TLS dort.
>> Wenn man diese letzte Option anwählt, dann kann man Emails senden und
>> empfangen.
>
> Weil TLS und SSL oft synonym verwendet werden/wurden. SSL ist aber de
> facto tot.

Warum steht dann TLS als zusätzliche mögliche Option dort?
Google ist diesbezüglich weniger hilfreich.

> Du verwendet halt aber ne steinalte Version vom Thunderbird, daher ist
> es nicht verwunderlich, dass da alte Bezeichnungen zu finden sind.

Trotzdem wird offenbar "irgendwie" zwischen TLS und SSL unterschieden.

> Warum nimmst du nicht eine aktuelle Version?

Weil die schon seit Ewigkeiten funktioniert hat und bisher einfach kein
Bedarf für eine neue war.
Falls nun der diesbezügliche obligatorische Einwand kommt: Nein, ich
hatte seit gefühlt 128 Jahren noch keinen Malware-Befall deswegen
(zumindest nicht wissentlich, oder daß ich auch nur irgendwelche
Anzeichen dafür bemerkt hätte).

[Jakob YANAGIBASHI]

On 2022/10/06 2:25, Stephan Gerlach wrote:
> Das stimmt, daß die Beschreibung selbst wenig informativ ist. Wenn SSL
> zum Teil nur eine andere Bezeichnung für TLS ist, dann fragt man sich,
> warum TLS und SSL als verschiedene(!) Optionen angeboten werden.

Die Bezeichnungen der Optionen in E-Mail-Programmen sind historisch so
gewachsen. Es wurde sicherlich immer versucht, den Nutzer möglichst
wenig zu verwirren. Und im Endeffekt führt dies nun zu maximaler Verwirrung.

Für viele MUA (gerade ältere Software-Versionen) gilt:

* Die Option "TLS" heißt so, weil es vom STARTTLS-Verfahren kommt. Hier
wird erst eine unverschlüsselte Verbindung aufgebaut und dann eine
Verschlüsselung verhandelt. Nennt sich auch "explizite Verschlüsselung",
weil sie erst explizit ausgehandelt wird. Standardport daher genau
derselbe wie bei einer reinen unverschlüsselten Verbindung: für POP3 auf
110, für IMAP auf 143, SMTP auf 587 (bei Submission, zwischen MTA auf
Port 25).

* Die Option "SSL" bezeichnet hingegen eine "implizite Verschlüsselung".
So wie auch bei HTTPS findet dann der gesamte Datenverkehr des
eigentlichen Protokolls innerhalb eines TLS-Tunnels statt. Statt
POP3/IMAP könnte man hier dann korrekterweise auch von POP3S/IMAPS
sprechen, und die Standardports sind auch verschieden: für POP3S auf
995, für IMAPS auf 993 und SMTPS auf 465 (für Submission).

Die Art der Verschlüsselung, also TLS-Version, ist aber bei allen
Optionen in der Regel genau gleich. Wenn ein MUA z. B. TLS 1.2 kann,
dann wird er das nach Möglichkeit auch nutzen, egal ob man sich für
explizite oder implizite Verschlüsselung entscheidet.

Die meisten Mail-Provider unterstützen auch nur eine Option. Man hat
also gar keine Wahl. Der Exchange an meiner Uni macht nur explizite
Verschlüsselung bzw. STARTTLS. Entsprechend muss die Einstellung in
meinem MUA gesetzt sein, damit ich mich erfolgreich verbinden kann.
Posteo hingegen kann beides, aber empfiehlt in ihrer Hilfe-Sektion, die
implizite Verschlüsselung zu verwenden. Damit folgen sie auch der
aktuellen Empfehlung aus RFC 8314.

"
In brief, this memo now recommends that:
[...]
o Connections to Mail Submission Servers and Mail Access Servers be
made using "Implicit TLS" (as defined below), in preference to
connecting to the "cleartext" port and negotiating TLS using the
STARTTLS command or a similar command.
"

Quelle: https://www.rfc-editor.org/rfc/rfc8314

[Jörg Tewes]

Stephan Gerlach schrieb:

> Marco Moock schrieb:
>> Am 04.10.2022 um 02:29:13 Uhr schrieb Stephan Gerlach:
>
> [...]
>
>>>> Router und Modem haben damit NICHTS zu tun.
>>>> Was für Geräte hast du da?
>>> Aktuell ein Speedport W504V. Hab' ich mir im Zuge der
>>> Analog-Zwangsabschaltung günstig gebraucht besorgt.
>>
>> Solltest du ersetzen, kann kein IPv6.

> Der W504V hat halt bisher (meistens) funktioniert; daher habe ich mir
> keine großen Gedanken drüber gemacht. Außerdem war er günstig; AFAIR
> günstiger als die monatliche Router-Miete(!?) für bereitgestellte
> Neu-Geräte der Telekom.

Weniger als 5 Euro? Wow.

>>> Bezüglich einer nächsten Zwangs-Abschaltung kam noch gar nichts hier
>>> an, d.h. in dem Sinne, daß künftig z.B. nur noch VDSL möglich wäre.
>>> Der aktuelle "Billig-Tarif" Magenta XS beinhaltet AFAIK einen
>>> ADSL2(?)-Anschluß; jedenfalls kein VDSL. War/ist billiger, und VDSL
>>> brauche ich nicht zwingend.
>>
>> Wenn möglich wird meines Wissens kein ATM mehr genutzt, sondern
>> Ethernet und VDSL, wenn es zur Verfügung steht.
>> Die Abschaltung von
>> ADSL2+ geht natürlich erst dann, wenn überall VDSL zur Verfügung
>> steht, das ist aber nicht der Fall.
>
> Irgendwo in meinen Unterlagen hier sollte stehen, was genau das hier für
> ein Anschluß ist, also ob "nur" ADSL oder ADSL2+. Ich bin aber gerade zu
> faul, die Unterlagen zu suchen. Es ist jedenfalls wie gesagt kein VDSL
> Anschluß.

Wenn du Annex-J hast, sprich 2,x MBit Upload, dann muß es ADSL 2+ sein.

>>> Bezüglich der letzten Option steht keinerlei Bezug zu TLS dort.
>>> Wenn man diese letzte Option anwählt, dann kann man Emails senden und
>>> empfangen.
>>
>> Weil TLS und SSL oft synonym verwendet werden/wurden. SSL ist aber de
>> facto tot.
>
> Warum steht dann TLS als zusätzliche mögliche Option dort?
> Google ist diesbezüglich weniger hilfreich.

Weil der Programmierer wenig Ahnung von Verschlüsselung hatte?
--


Bye Jörg


Religionskriege sind Konflikte zwischen erwachsenen Menschen, bei
denen es darum geht, wer den cooleren, imaginären Freund hat. Wenn
Jesus gevierteilt worden wäre, hätten wir heute dann Mobiles über der
Tür hängen?

[Marco Moock]

Am 06.10.2022 um 02:25:52 Uhr schrieb Stephan Gerlach:

> Warum steht dann TLS als zusätzliche mögliche Option dort?
> Google ist diesbezüglich weniger hilfreich.

Vermutlich konnte man zwischen den Protokollen wählen.

> > Du verwendet halt aber ne steinalte Version vom Thunderbird, daher
> > ist es nicht verwunderlich, dass da alte Bezeichnungen zu finden
> > sind.
>
> Trotzdem wird offenbar "irgendwie" zwischen TLS und SSL unterschieden.

s.o.
Heute irrelevant, nur noch TLS 1.2 und 1.3 sind relevant, viele Dienste
haben ältere TLS-Versionen deaktiviert bzw. tun das in Kürze.

> > Warum nimmst du nicht eine aktuelle Version?
>
> Weil die schon seit Ewigkeiten funktioniert hat und bisher einfach
> kein Bedarf für eine neue war.

Was spricht dagegen, trotzdem zu aktualisieren?

[Arno Welzel]

Stephan Gerlach, 2022-09-29 03:27:

> Neulich kam eine Email der Telekom; es ging um die Abschaltung der
> Standards TLS 1.0 und 1.1 für die (nur?) Email-Übertragung. Siehe auch
> <https://telekomhilft.telekom.de/t5/Blog/Wichtiger-Update-Hinweis-zu-euren-Telekom-Mail-Postfaechern-Jetzt/ba-p/5755077>.
>
> Dazu einige grundsätzliche Fragen:
>
> - Kann ein verwendeter Router, der *nicht* ein
> Email-(Verwaltungs-)Programm selbst beinhaltet, selbst irgendwie davon
> betroffen sein? D.h. z.B. man verwendet die neuesten Endgeräte mit der
> aktuellst möglichen Software, aber ein zwischen Telekom-Leitung und
> Endgerät geschalteter Router ist "alt".

Der Router hat *nichts* mit E-Mail zu tun.

> - Hat das etwas mit den Postausgangsservern
> securepop.t-online.de und secureimap.t-online.de (davon gibt es also
> (mindestens) 2 Stück) bzw. dem Postausgangsserver securesmtp.t-online.de
> zu tun, oder betrifft die Änderung voraussichtlich *alle* beteiligten
> Postausgangs-/Posteingangsserver?
> (Ich vermute letzteres.)

Es betrifft alle Server. Im Zweifelsfall frage bei der Telekom. Die
bekommen dein Geld.

> - Es ist (aktuell) offenbar auch noch(?) möglich, Emails über die
> Verschlüsselung SSL zu senden/empfangen, obwohl eine Abschaltung von SSL
> im oben genannten Link gar nicht explizit erwähnt wird. Da steht nur,
> daß TLS der Nachfolger von SSL ist. Ich würde jetzt erwarten, daß
> Email-Versand/-Empfang über SSL bereits jetzt nicht mehr funktioniert;

Definiere "SSL". Wenn Du im Mailprogramm irgendwas mit "SSL" einstellst,
bedeutet das noch lange nicht, dass wirklich SSL benutzt wird - das kann
auch nur eine Bezeichnung im Programm sein, die mit dem tatsächlich
benutzten Protokoll nichts zu tun hat.

SSL ist schon lange tot und wird in der Regel schon seit vielen Jahren
nicht mehr unterstützt. TLS 1.0 ist auch schon sehr alt.

> aber offenbar ist das Gegenteil(?) der Fall. Es steht nur da, daß TLS
> 1.0 und TLS 1.1 deaktiviert werden. Von SSL ist wie gesagt gar keine
> Rede; das klingt so (implizit), als sei das schon deaktiviert(?).

Ja, davon würde ich ausgehen.

> Wird die SSL-Verschlüsselung im Zuge der geplanten Änderung quasi
> "automatisch" mit deaktiviert?

Nein, die war vermutlich vorher schon weg.

--
Arno Welzel
https://arnowelzel.de

[Arno Welzel]

Stephan Gerlach, 2022-10-04 02:29:

> Marco Moock schrieb:
>> Am 29.09.2022 um 03:27:35 Uhr schrieb Stephan Gerlach:
>>
>>> Neulich kam eine Email der Telekom; es ging um die Abschaltung der
>>> Standards TLS 1.0 und 1.1 für die (nur?) Email-Übertragung.
>>
>> Das sind uralte Protokolle, die man heute nicht mehr nutzen sollte, da
>> sie ein paar Sicherheitsprobleme haben. Stelle daher auf TLS 1.3 um,
>> jeder aktuelle MUA/NUA kann das. Deinen Uralt-Thunderbird solltest du
>> auch durch eine aktuelle Version ersetzen.
>
> Was ist, wenn demnächst Email-Verkehr zwischen $Empfänger und $Sender
> stattfindet, und einer von beiden nutzt noch (da von seinem Provider
> "erlaubt") trotzdem TLS 1.0 oder 1.1, aber der andere TLS 1.2 oder 1.3?
>
> Kommen die Emails trotzdem an?

Ja. Denn Du sendest nicht an den Empfänger, sondern nur an den
Mailserver deines Providers. Wie der Empfänger dann mit *seinem* Server
redet, kann Dir egal sein.

[Arno Welzel]

Stephan Gerlach, 2022-10-06 02:25:

[...]

> Ich könnte allerdings in der Tat ab und zu in den örtlichen
> Kleinanzeigen gucken, ob irgendjemand günstige Router abzugeben hat.

Was ist "günstig" für Dich?

Eine Fritz!Box 7530, auch für Telefonie und Super Vectoring nutzbar ist,
gibt es ab ca. 110 EUR neu.

[Shinji Ikari]

Guten Tag

Arno Welzel <use...@arnowelzel.de> schrieb

>Stephan Gerlach, 2022-09-29 03:27:
>> Neulich kam eine Email der Telekom; es ging um die Abschaltung der
>> Standards TLS 1.0 und 1.1 für die (nur?) Email-Übertragung. Siehe auch

...

>> - Hat das etwas mit den Postausgangsservern
>> securepop.t-online.de und secureimap.t-online.de (davon gibt es also
>> (mindestens) 2 Stück) bzw. dem Postausgangsserver securesmtp.t-online.de
>> zu tun, oder betrifft die Änderung voraussichtlich *alle* beteiligten
>> Postausgangs-/Posteingangsserver?
>> (Ich vermute letzteres.)

>Im Zweifelsfall frage bei der Telekom. Die
>bekommen dein Geld.

Ob sie Geld von ihm dafuer bekommen weiss ich nicht:
Freemail @t-online.de existiert und setzt nihct zwingend seinen
Anschluss bei dem Provider voraus.