Tag Archives: TLS

Neue TLS Probleme beim BSI

Posted on by

Vor zwei Wochen habe ich auf Probleme beim EMailversand des BSI aufmerksam gemacht. Damals bekam ich nach 24h die Rückmeldung, daß die Probleme behoben seien.

Leider mußten wir heute feststellen, daß das BSI Mailserver benutzt, die nicht-deterministisch sind, sprich, mal gehts, mal nicht 😉  Einer unser Server, der die gleiche Konfig hat wie alle anderen mit StartTLS anbietet, bekam nun unverschlüsselt Post vom buerger-cert.de Mailserver, obwohl dieser keine Stunde vorher einem anderen Server eine TLS verschlüsselte Verbindung angeboten hat… HMMMM!

Da haben wir dann mal genauer hingesehen und fanden noch weitere Probleme beim TLS des bei der OpenIT GmbH gehosteten Servers:

A) Es fällt auf, daß buerger-cert.de als MX gar keinen eigenen Mailserver einsetzt, sondern den zentral Mailserver von Openit.de benutzt :

2016-08-23 13:18:08 1bc9iZ-0005l4-Nl => mailversand@buerger-cert.de R=dnslookup T=remote_smtp H=mx.openit.de [217.69.65.200] X=TLSv1:AES128-SHA:128 C=“250 Ok: queued as E9B4011A055″

Das wird den gleichen Sicherheitslevel haben wie mx.kundenserver.de aka 1und1 Mailserver, oder vielleicht doch nicht ? 🙂

B) Nein, haben sie nicht, denn der dort eingesetzte Postfix Mailserver (220 mx.openit.de ESMTP Postfix)  scheint „etwas“ veraltet zu sein, oder auf veralteter Software zu laufen, denn er bietet nur TLS 1.0 an. Experten kennen das auch als SSLv3 und das ist ja bekanntlich geknackt worden und sollte nicht mehr eingesetzt werden.

Jetzt muß man 1und1 bescheinigen, wenigstens konsequent zu sein und überall TLS 1.2 einzusetzen, aber dafür immer noch SSLv3 anzunehmen 😀 Was die Macher von ssl-tools.net dazu meinen, kann man hier sehen :

https://ssl-tools.net/mailservers/1und1.de    (Ja, den Gag versteht man nur, wenn man den Link aufruft 😉 )

Was ssl-tools.net vom bueger-cet.de Mailserver hält, sieht man hier :

BSI-Neue-Probleme-mit-TLS(Stand: 25.8.2016 )

C) Die Mailserver im Cluster sind unterschiedlich konfiguriert … hää ?????? Einer kann TLS 1.2 der nächste nicht ??  Da kann man nur den Kopf schütteln.

Fazit

Auch wenn das BSI ein Problem gelöst hat, es sind noch viel mehr vorhanden. Bin mal gespannt, wann das behoben wird, denn die Meldung an das BSI ging natürlich vor diesem Artikel raus 🙂

BSI versendet Emails ohne TLS Verschlüsselung

Posted on by

Mit Werbewirksamen Aktionen haben große Hoster wie 1und1, DTAG, GMX & Co. vor 2 Jahren damit geworben, daß sie auch endlich SSL/TLS zum Verschlüsseln von Emails auf dem Transportweg einsetzen. Die DTAG (Deutsche Telekom AG ) fiel dabei besonders negativ auf, weil sie der letzte Hoster in Deutschland war, der TLS aktiviert hat.

Heute nun mußten die Admins der Firma Evolution Hosting, die seit Anbeginn der TLS Era SSL und TLS Verbindungen zu Ihren Emailservern unterstützt hat, feststellen, daß ausgerechnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch EMailserver aus der digitalen Steinzeit nutzt, die nicht per se TLS zum Senden von Emails benutzen.

Opensource Emailserver wie Exim oder PostFix senden grundsätzlich mit aktiviertem TLS, wenn der empfangene Server das zuläßt.

Damit ist das BSI aber nicht alleine, denn Massenemails werden auch von anderen prominenten TLS Verweigerern weiterhin ungeschützt verschickt, teilweise mit Kundenummer und Anschrift im Emailnachrichtenteil. Mit dabei sind u.a.:

otto.de
deichmann.com
weltbild.de
buerger-cert.de  (BSI)
braunschweiger-zeitungsverlag.de

Dabei schneiden sich diese Unternehmen selbst ins Fleisch, denn immer mehr Server nehmen nur noch TLS Verschlüsselte Verbindungen an, da Spambots i.d.R. unverschlüsselt senden wollen. Dementsprechend groß war der Spameinbruch, nachdem EvH diese Option für seine Kunden aktiviert hatte.

Ein Lichtblick

Das BSI hat innerhalb von 20h reagiert und Abhilfe versprochen:

Sehr geehrte/r Frau/Herr *******,

vielen Dank für den Hinweis. Wir werden dies abstellen.

Mit freundlichen Grüßen
das Team CERT-Bund