Häufigkeit von TLS Ciphern

Ich hatte etwas Zeit für eine kleine Analyse und wollte eigentlich mal nachsehen, ob noch jemand SSLv3 statt TLS für Verbindungen zu unseren Mailservern benutzt. Also habe ich die Logfiles der letzten 4 Wochen nach den Verbindungsparametern gefiltert. Folgende Studie kam dabei heraus:

gezählt Cipher
1 TLSv1.2:DHE-RSA-AES128-GCM-SHA256:128
1 TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256:
1 TLSv1.2:ECDHE-RSA-AES128-SHA:128
3 TLSv1:DHE-DSS-AES256-SHA:256
5 TLSv1.2:DHE-RSA-AES128-SHA256:128
6 TLSv1.1:ECDHE-RSA-AES128-SHA:128
6 TLSv1.2:EDH-RSA-DES-CBC3-SHA:168
7 TLSv1.2:AES128-GCM-SHA256:128
10 TLSv1.2:DES-CBC3-SHA:168
11 TLSv1.1:AES256-SHA:256
12 TLSv1.1:DHE-RSA-AES256-SHA:256
13 TLSv1.2:CAMELLIA256-SHA:256
24 TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128:
40 TLSv1.2:DHE-RSA-AES256-SHA256:256
82 TLSv1:EDH-RSA-DES-CBC3-SHA:168
83 TLSv1:DHE-RSA-AES128-SHA:128
228 TLSv1.2:ECDHE-RSA-AES128-SHA256:128
294 TLSv1.2:AES256-SHA256:256
316 TLSv1:DES-CBC3-SHA:168
386 TLSv1:DHE-RSA-CAMELLIA256-SHA:256
455 TLSv1.2:DHE-RSA-AES256-SHA:256
461 TLSv1.2:AES128-SHA:128
606 TLSv1.1:ECDHE-RSA-AES256-SHA:256
745 TLSv1.2:AES256-SHA:256
760 TLSv1.2:AES128-SHA256:128
2345 TLSv1.2:DHE-RSA-AES128-SHA:128
2663 TLSv1.2:ECDHE-RSA-AES256-SHA:256
3234 TLSv1:AES128-SHA:128
9522 TLSv1:DHE-RSA-AES256-SHA:256
9762 TLSv1.2:AES256-GCM-SHA384:256
14110 TLSv1:ECDHE-RSA-AES128-SHA:128
16894 TLSv1.2:ECDHE-RSA-AES256-SHA384:256
18719 TLSv1:AES256-SHA:256
36597 TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256
53900 TLSv1:ECDHE-RSA-AES256-SHA:256
89330 TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128
175139 TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256

Grundlage der Studie sind 436.746 Emails, die unsere Server erreicht haben, also nicht, was gesendet wurde.

Was ich schonmal positiv finde, ist das Fehlen von SSL als Protokoll. Alle transportgesicherten Emails waren mit TLS gesichert. Leider konnten mich die eingesetzten/ausgehandelten Cipher nicht so beglücken z.b. TLSv1:AES256-SHA:256 . TLSv1 ist eigentlich SSLv3, nur leicht modifiziert und bereits erfolgreich gebrochen worden.

Um die Frage, die einigen Lesern auf der Zunge brennt: „Wieso lasst Ihr das zu?“ zu beantworten: Weil sonst keine Emails mehr bei den Kunden ankommen würden. Die Realität sieht nämlich leider so aus, daß die meisten Mailserver nicht auf Stand sind und es diesen Sendern auch egal ist. Die Senden zur Not auch ohne TLS. Heute erst bei der größten Film- und Fernseheproduktionfirma aus Hollywood erlebt.

Transportverschlüsselung wird also von vielen Firmen und Mailserverbetreiber immer noch als „egal, Hauptsache Mail kommt an“ abgetan und solange Ihr als Kunden nicht darauf besteht, daß der benutzte Mailserver A) TLS kann und B) den besten Cipher wählt der verfügbar ist, wird sich auch nichts ändern.

Unsere Server handeln den besten Cipher aus, der verfügbar ist. Versprochen 😉

interessant zu wissen wäre jetzt noch, welche Mailserver hinter den veralteten Ciphern stehen, nur kann ich damit leider nicht dienen.

3 thoughts on “Häufigkeit von TLS Ciphern

  1. Hallo nach Braunschweig,
    hier sprichst du ein Thema an, welches Leider nicht in den Köpfen ankommen will. Richtig ist die Aussage, würde man nur noch verschlüsselte Mail als Admin zulassen, würde die Hälfte aller E-Mail nie ihr Ziel finden. Genauso tot finde ich PGP oder S-MIME Zertifizierung, Da wurde erfolgreich Lobbyarbeit geleistet.
    Wann begreifen die Leute, dass „Datenschutz persönliche Freiheit ist“ …
    Beste Grüße aus Dresden

  2. Dass kein SSLv3 vorkommt, kann auch daran liegen, dass diese alten Protokolle von deinem System gar nicht mehr unterstützt werden. Debian hat z.B. seit Jessie keinen SSLv3-Support mehr.

    Das sagt dann wenig über die anderen Server aus, denn die nutzen es eventuell doch noch, nur eben mit deinem System nicht. 😉

  3. Pingback: Followup - Der SSLv3 Stand - Marius's Welt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.