pl: SMTP + TLS immer sinnoll?

Moin,

hab grad den folgenden Satz geschrieben:

Verschlüsselte Übertragung: Mit SMTP können Mails auch per SSL versendet werden. Es sei jedoch angemerkt daß eine verschlüsselte Übertragung nicht immer sinnvoll ist, insbesondere wenn mehrere Mailserver im Spiel sind. Ebensowenig ist sichergestellt, daß ein Mailempfänger zum Abholen seiner Mails mit POP3 oder IMAP eine sichere Verbindung verwendet.

MfG

  1. @@pl

    hab grad den folgenden Satz geschrieben:

    Verschlüsselte Übertragung: Mit SMTP können Mails auch per SSL versendet werden. Es sei jedoch angemerkt daß eine verschlüsselte Übertragung nicht immer sinnvoll ist, insbesondere wenn mehrere Mailserver im Spiel sind. Ebensowenig ist sichergestellt, daß ein Mailempfänger zum Abholen seiner Mails mit POP3 oder IMAP eine sichere Verbindung verwendet.

    Und? Willst du jetzt hören, dass vor „daß“ ein Komma fehlt oder dass die meisten das „dass“ schreiben?

    LLAP 🖖

    --
    „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
  2. Ergänzung: Eine Ende-zu-Ende-Sicherheit wird auch schon deswegen nicht erreicht, da alle Mailserver und Mailrelays die E-Mail im Klartext verarbeiten.

    Soweit zum Thema DSGV.

    1. Hallo pl,

      Ergänzung: Eine Ende-zu-Ende-Sicherheit wird auch schon deswegen nicht erreicht, da alle Mailserver und Mailrelays die E-Mail im Klartext verarbeiten.

      Soweit zum Thema DSGV.

      Die DSGVO fordert keine Ende-zu-Ende-Verschlüsselung im Mail-Verkehr. Sie fordert, dass deine Krankenakte nicht als Mailtext versendet wird.

      Bis demnächst
      Matthias

      --
      Pantoffeltierchen haben keine Hobbys.
      1. Die DSGVO fordert u.a. daß personenbezogene Daten über eine sichere Verbindung zu übertragen sind. Was zu dem Unsinn führt, Mailformulare per HTTPS auszuliefern.

        Der Benutzer wiegt seine Daten in einer Sicherheit die gar nicht vorhanden ist. Einen solchen Sachverhalt kann man auch Betrug nennen.

        MfG

        1. Hello,

          Der Benutzer wiegt seine Daten in einer Sicherheit die gar nicht vorhanden ist. Einen solchen Sachverhalt kann man auch Betrug nennen.

          Könntest Du das bitte etwas näher erläutern?

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
        2. Moin,

          Die DSGVO fordert u.a. daß personenbezogene Daten über eine sichere Verbindung zu übertragen sind. Was zu dem Unsinn führt, Mailformulare per HTTPS auszuliefern.

          Was ist daran Unsinn? Personenbezogene Daten werden über eine sichere Verbindung zum Webserver übertragen. Das ist doch genau das, was die DSGVO fordert.

          Der Benutzer wiegt seine Daten in einer Sicherheit die gar nicht vorhanden ist. Einen solchen Sachverhalt kann man auch Betrug nennen.

          Bitte was? Wenn die Daten des Mailformulars in einer Ticketdatenbank liegen, auf die nur vom verschlüsselten Intranet zugegriffen werden kann, ist ja wohl einiges an Sicherheit vorhanden. Ebenso ist diese Sicherheit vorhanden, wenn die anschließende E-Mail-Kommunikation Transport- und/oder Ende-zu-Ende-verschlüsselt stattfindet.

          Viele Grüße
          Robert

    2. Hello,

      Ergänzung: Eine Ende-zu-Ende-Sicherheit wird auch schon deswegen nicht erreicht, da alle Mailserver und Mailrelays die E-Mail im Klartext verarbeiten.

      Die Kette lautet: Client - Mailserver A - (Internet) - Mailserver B - Client.

      Die Verbindung vom Client zum eigenen SMTP-Server sollte dennoch verschlüsselt stattfinden. Die zwischen den Mailservern ist inzwischen i.d.R. auch verschlüsselt. Darüber hast Du aber keine Kontrolle.

      Wenn Du eMails zwischen zwei Clients verschlüsselt versenden willst, musst Du dies auch veranlassen (z. B. PGP). Sonst sind nur die (bzw. einzelne) Transportwege verschlüsselt, nicht aber der Content.

      Bei Verwendung von PGP o. ä. muss dein Gegenüber selbstverständlich deinen Puplic-Key kennen, um die eMail passend verschlüsseln zu können, während die reine Transportverschlüsselung (OSI Layer 4) zwischen Server und Client automatisch ausgehandelt werden kann, also ohne Zutun der User.

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
      1. Hello,

        Ergänzung: Eine Ende-zu-Ende-Sicherheit wird auch schon deswegen nicht erreicht, da alle Mailserver und Mailrelays die E-Mail im Klartext verarbeiten.

        Die Kette lautet: Client - Mailserver A - (Internet) - Mailserver B - Client.

        Die Verbindung vom Client zum eigenen SMTP-Server sollte dennoch verschlüsselt stattfinden.

        Wenn sich Client und Server auf einunddemselben Host oder in einundderselben DMZ befinden ist das unsinnig. Außerdem ist das für denjenigen der ein Mailformular senden will gar nicht ersichtlich.

        MfG

        1. Hello Hotti,

          Wenn sich Client und Server auf einunddemselben Host oder in einundderselben DMZ befinden ist das unsinnig.

          Das kann man ja glücklicherweise auch konfigurieren (bzw. es ist default), dass Localhost-Verbindungen nicht verschlüsselt werden.

          Außerdem ist das für denjenigen der ein Mailformular senden will gar nicht ersichtlich.

          Das ist mir jetzt etwas zu wirr. Was bitteschön ist ein "Mailformular" und wie soll es deiner Meinung nach funktionieren?

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
        2. Moin,

          Die Verbindung vom Client zum eigenen SMTP-Server sollte dennoch verschlüsselt stattfinden.

          Wenn sich Client und Server auf einunddemselben Host oder in einundderselben DMZ befinden ist das unsinnig.

          Diese Aussage ist in dieser Allgemeinheit falsch: Es gibt DMZ, in denen mehrere Zehntausend Netzteilnehmer sind. Und da möchtest du trotzdem deine Kommunikation absichern.

          Viele Grüße
          Robert

  3. Hello,

    Verschlüsselte Übertragung: Mit SMTP können Mails auch per SSL versendet werden.

    Unbedingt verwenden!

    Es sei jedoch angemerkt daß eine verschlüsselte Übertragung nicht immer sinnvoll ist, insbesondere wenn mehrere Mailserver im Spiel sind.

    Hier wird ein Zertifikat, ein Public Key und ein Private Key verwendet. Da das Postoffice zu einem Postfach immer auf demselben Mailserver liegt (es sei denn, Du ziehst damit um), und die Transport Layer Security eine End-to-End-Verschlüsselung mit Hilfe des Zertifakates für die Authentizität des Mailservers darstellt, sehe ich da kein Problem. Oder wie meintest Du das mit "mehrere Mailserver"?

    Relaying ist ein anderes Thema!

    Ebensowenig ist sichergestellt, daß ein Mailempfänger zum Abholen seiner Mails mit POP3 oder IMAP eine sichere Verbindung verwendet.

    Das regelt im Wesentlichen der Mailserver, was er anbietet. Wenn der keine unverschlüsselten Verbindungen mehr zulässt, kann auch kein Client eine solche aufbauen!

    Glück Auf
    Tom vom Berg

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
  4. Hallo pl,

    prinzipiell ist deine Aussage natürlich komplett richtig: EMail bietet keine E2E Verschlüsselung und du hast ab dem ersten fremdem EMail-Server keine Kontrolle mehr über die weitere Übertragung.

    Mich stört aber das Wort "sinnvoll". Auf eine SMTP-Verschlüsselung zu verzichten, weil ich nicht sicher bin, dass irgendwo auf der Strecke jemand mitliest? Ich führe meine Post-Korrespondenz ja auch nicht deshalb über Postkarten, weil irgendwer unterwegs den Brief öffnen und wieder verschließen könnte. Wenn alle beteiligten Mailserver TLS[1] verwenden, kann zumindest niemand auf der Strecke mitlesen.

    Was man formulieren sollte, ist: TLS zum Mailserver ist absolut sinnvoll. Es entfernt einen von vielen Angriffsvektoren. Vertrauliche Informationen per E-Mail zu schicken, das ist absolut NICHT sinnvoll, weil E-Mail prinzipbedingt kein abhörsicheres Medium ist.

    Für Abhörsicherheit brauchst Du Ende-zu-Ende Verschlüsselung, dafür kannst Du auf PGP und ähnliche Produkte eingehen, die das für Mail ermöglichen. Alternativ muss einer der beiden Kommunikationspartner seinen eigenen, sicheren Server haben, und der andere Kommunikationspartner muss sich mit TLS, unter Verwendung von Zertifikaten, dorthin verbinden. Wenn es dann auf konkrete TLS-Protokolle hinaus läuft, kannst Du noch erwähnen dass ab 2020 TLS 1.2 das Minimum ist, weil die großen Browser ältere Versionen dann nicht mehr unterstützen wollen.

    Just my 2ct - mach damit was Du möchtest.

    Rolf

    --
    sumpsi - posui - clusi

    1. gemeint als Gattungsbegriff ↩︎

    1. Hi

      Was man formulieren sollte, ist: TLS zum Mailserver ist absolut sinnvoll.

      Innerhalb einer Security-Hub-Infrastruktur macht es keinen Sinn. Das sagt zumindest mein Provider und für mich ist das sowohl nachvollziehbar als auch verbindlich weil die ganze Policy darauf ausgerichtet ist.

      Warum auch sollte ich mich mit meinem Provider rumstreiten.

      MfG

      1. Hallo pl,

        wenn ich jetzt ja wüsste, was mit Security Hub Infrastruktur gemeint ist. Es scheint kein gängiger Begriff, Tante Google ist recht zugeknöpft bei einer Anfrage. Ist das ein physikalisch abgeschlossenes Netz, an dem nur autorisierte Personen teilnehmen?

        Auch den Begriff "Security Hub" kann ich nicht wirklich einordnen. Man findet da eher Kompetenzzentren (ISH am Flughafen München), Ausbildungsstätten oder Verteilplattformen für Sicherheitsfragen. Was meinst Du mit SHI?

        Rolf

        --
        sumpsi - posui - clusi
  5. Moin,

    Verschlüsselte Übertragung: Mit SMTP können Mails auch per SSL versendet werden.

    Naja, eigentlich kann SMTP mit SSL/TLS verschlüsselt werden (TLS erklärt ja schon genau, auf welcher Ebene: Transport Layer Security).

    Es sei jedoch angemerkt daß eine verschlüsselte Übertragung nicht immer sinnvoll ist, insbesondere wenn mehrere Mailserver im Spiel sind. Ebensowenig ist sichergestellt, daß ein Mailempfänger zum Abholen seiner Mails mit POP3 oder IMAP eine sichere Verbindung verwendet.

    Verschlüsselung ist nicht sinnvoll, wenn sie evtl. nicht genutzt wird? Äh, die Frage ist doch eher, warum sie nicht genutzt wird. Sinnvoll ist sie auf jeden Fall. Zumal bei TLS und mehreren Servern zumindest Teilstrecken verschlüsselt werden.

    Viele Grüße
    Robert

    1. Zumal bei TLS und mehreren Servern zumindest Teilstrecken verschlüsselt werden.

      wären da immer noch Strecken die nicht verschlüsselt sind. Was ebensowenig prüfbar ist. Von einer sicheren Verbindung kann von daher generell nicht die Rede sein, weil man es nicht garantieren kann.

      Das Schloßsymbol (HTTPS) in der Adresszeile des Browsers gilt eben nicht für die Daten, die nach dem Submit eines Mailformulars per SMTP verschickt werden.

      Abgesehen davon daß der Besucher schonmal gar nicht nachvollziehen kann, an welche Adresse die Mail gesendet wird.

      Programiertechnisch gibt es übrigens keinen Unterschied zwischen TLS und SSL. In Perl heißt der diesbezügliche Layer IO::Socket::SSL ansonsten IO::Socket::INET (unverschlüsselt).

      MfG

      1. Hallo pl,

        Das Schloßsymbol (HTTPS) in der Adresszeile des Browsers gilt eben nicht für die Daten, die nach dem Submit eines Mailformulars per SMTP verschickt werden.

        Das stimmt. Wenn ich über den Dienst von 🔒 web.de eine Mail versende, ist eine durchgängige Verschlüsselung nicht garantiert.

        Abgesehen davon daß der Besucher schonmal gar nicht nachvollziehen kann, an welche Adresse die Mail gesendet wird.

        Gilt das nicht für jede Mail?

        Bis demnächst
        Matthias

        --
        Pantoffeltierchen haben keine Hobbys.
        1. Moin,

          Abgesehen davon daß der Besucher schonmal gar nicht nachvollziehen kann, an welche Adresse die Mail gesendet wird.

          Gilt das nicht für jede Mail?

          Das gilt für alles was Du mit dem Browser machst.

          MfG

          1. Abgesehen davon daß der Besucher schonmal gar nicht nachvollziehen kann, an welche Adresse die Mail gesendet wird. Gilt das nicht für jede Mail? Das gilt für alles was Du mit dem Browser machst.

            Das gilt für fast jede[n], [die|der] auch nur irgendetwas mit einem Computer machen.

            1. Abgesehen davon daß der Besucher schonmal gar nicht nachvollziehen kann, an welche Adresse die Mail gesendet wird. Gilt das nicht für jede Mail? Das gilt für alles was Du mit dem Browser machst. Das gilt für fast jede[n], [die|der] auch nur irgendetwas mit einem Computer machen.

              Also wemmer schon richtig aufzählen dann müssmer auch die nennen deren Geschlecht nicht feststellbar ist: += jedes, das

              Schönen Sonntag.

              PS: Mann kanns auch übertreiben mit dem Verschlüsselungswahn.

              1. Hallo Ursa Major,

                Das gilt für fast jede[n], [die|der] auch nur irgendetwas mit einem Computer machen.

                Also wemmer schon richtig aufzählen dann müssmer auch die nennen deren Geschlecht nicht feststellbar ist: += jedes, das

                Das geht wesentlich einfacher: Das gilt für fast alle, die auch nur irgendetwas mit einem Computer machen.

                Bis demnächst
                Matthias

                --
                Pantoffeltierchen haben keine Hobbys.
              2. Moin,

                PS: Mann kanns auch übertreiben mit dem Verschlüsselungswahn.

                in Bezug zu Edward Snowden: Nein!

                Viele Grüße
                Robert

              3. Hello,

                PS: Mann kanns auch übertreiben mit dem Verschlüsselungswahn.

                Da gebe ich Dir in einem Punkt, den ich selber z. Zt. sehe, recht:
                Wenn man fremden Quellen erlaubt, an sich verschlüsselte eMails zu senden, dann läuft man Gefahr, alle Virenschutzvorrichtungen der vorgeschalteten (höheren) Vermittlungseinrichtungen (Provider-Hops, eigene Mailserver) außer Kraft zu setzen. Es bleibt dann nur noch der Client selber, der hier prüfen kann.

                siehe auch anderes Posting

                Das Problem ist also ähnlich dem mit Datenbanken in der (öffentlichen) Cloud. Dafür gibt es auch noch keine abgesicherte Lösung.

                Glück Auf
                Tom vom Berg

                --
                Es gibt nichts Gutes, außer man tut es!
                Das Leben selbst ist der Sinn.
      2. Moin,

        Zumal bei TLS und mehreren Servern zumindest Teilstrecken verschlüsselt werden.

        wären da immer noch Strecken die nicht verschlüsselt sind. Was ebensowenig prüfbar ist. Von einer sicheren Verbindung kann von daher generell nicht die Rede sein, weil man es nicht garantieren kann.

        Man sollte meiner Meinung nach dennoch Verschlüsselung nutzen, denn das ist immer noch besser als gar keine. Schau dir mal das Web an: Edward Snowdens Enthüllungen und im Nachgang Google haben dazu geführt, dass mittlerweile HTTPS schon praktisch Standard ist.

        Das Schloßsymbol (HTTPS) in der Adresszeile des Browsers gilt eben nicht für die Daten, die nach dem Submit eines Mailformulars per SMTP verschickt werden.

        Browser !≠ Email, HTTP !≠ SMTP, das sollte doch eigentlich klar sein. HTTPS sagt ja auch nichts darüber aus, wie Passworte in einer Datenbank abgelegt werden.

        Abgesehen davon daß der Besucher schonmal gar nicht nachvollziehen kann, an welche Adresse die Mail gesendet wird.

        falls überhaupt.

        Viele Grüße
        Robert

        1. Moin,

          Man sollte meiner Meinung nach dennoch Verschlüsselung nutzen, denn das ist immer noch besser als gar keine.

          Bringt aber nichts in Sachen SMTP.

          Abgesehen davon daß der Besucher schonmal gar nicht nachvollziehen kann, an welche Adresse die Mail gesendet wird.

          … falls überhaupt

          Wenn er sein eigenes Mailprogramm benutzt schon. Da trägt er zumindest selbst den Empfänger ein. Und obwohl die Mail gar nicht an den Empfänger gesendet wird sondern an den eingetragenen Mailserver, geht ein Benutzer immerhin davon aus, daß der Mailserver das tut was er soll. Es bleibt ihm ja nichts weiter übrig und auch eine DSGV ändert daran nichts.

          MfG

          1. Moin,

            Man sollte meiner Meinung nach dennoch Verschlüsselung nutzen, denn das ist immer noch besser als gar keine.

            Bringt aber nichts in Sachen SMTP.

            weil ich dann die Strecken, die verschlüsselt sind, nicht mehr abschöpfen kann?

            Abgesehen davon daß der Besucher schonmal gar nicht nachvollziehen kann, an welche Adresse die Mail gesendet wird.

            … falls überhaupt

            Wenn er sein eigenes Mailprogramm benutzt schon.

            Bitte den verlinkten Kommentar noch einmal lesen. Es geht hier nicht um Formulare die eine Emailadresse als Ziel haben, soweit ich das verstanden habe.

            Viele Grüße
            Robert

          2. Hello,

            Man sollte meiner Meinung nach dennoch Verschlüsselung nutzen, denn das ist immer noch besser als gar keine.

            Bringt aber nichts in Sachen SMTP

            #Einspruch
            Die Verbindung zwischen Client und Postoffice zu verschlüsseln ist schon deshalb wichtig, damit keine UN-PW Kombinationen lesbar über das Netz flitzen. Die Verschlüsselung schützt also aktiv das Postoffice!

            Glück Auf
            Tom vom Berg

            --
            Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
            1. Ok, wir gehen das mal durch. Ich schicke eine Mail von meinem PC aus per SSL (TLS) an meinen Mailserver. Nun ist die spannende Frage, was der Mailserver tut:

              1. er benuzt ebenfalls TLS um die Mail weiterzuleiten
              2. er leitet sie unverschlüsselt weiter
              

              Dazu folgende Anmerkung: Wenn er 1. tut, warum sollte er das tun? Das Protokoll sieht es nicht vor. Es sieht nur vor, daß ein MTA an Port 465 sowohl verschlüsselte als auch unverschlüsselte Mails entgegennehmen kann.

              Und was macht Dein Mailserver in diesem Fall? Finde es heraus!

              MfG

              1. Moin,

                Ok, wir gehen das mal durch. Ich schicke eine Mail von meinem PC aus per SSL (TLS) an meinen Mailserver. Nun ist die spannende Frage, was der Mailserver tut:

                1. er benuzt ebenfalls TLS um die Mail weiterzuleiten
                2. er leitet sie unverschlüsselt weiter
                

                Dazu folgende Anmerkung: Wenn er 1. tut, warum sollte er das tun?

                Das hat Tom doch schon dargelegt: Mindestens damit Benutzername und Passwort verschlüsselt zum Mailserver übertragen und die Einlieferung der Mail geschützt werden. Die Frage wäre eher, warum ein Mailserver keine verschlüsselten Verbindungen akzeptieren sollte.

                Das Protokoll sieht es nicht vor.

                Welches Protokoll? BTW, HTTP sieht auch keine Verschlüsselung vor, HTTPS ist HTTP über TLS.

                Es sieht nur vor, daß ein MTA an Port 465 sowohl verschlüsselte als auch unverschlüsselte Mails entgegennehmen kann.

                Und was macht Dein Mailserver in diesem Fall? Finde es heraus!

                Er empfängt alle Daten verschlüsselt. Und wenn der nächste Mailserver in der Kette SMTP über TLS kann, werden die Daten auch verschlüsselt weitergeleitet.

                Ach, vielleicht fällt einem ja das Stichwort „Sicherheit made in Germany ein“ 😉

                Viele Grüße
                Robert

                1. Hi,

                  Und was macht Dein Mailserver in diesem Fall? Finde es heraus!

                  Er empfängt alle Daten verschlüsselt. Und wenn der nächste Mailserver in der Kette SMTP über TLS kann, werden die Daten auch verschlüsselt weitergeleitet.

                  Ok, wenn das Dein Mailserver so macht. Heißt das ja noch lange nicht, daß es alle machen. Ich kenne Mailserver die behaupten SMTPS zu verwenden, jedoch findet man in der ausgelieferten Mail nirgendwo eine Zeile like (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

                  Sofern TLS verwendet wurde wäre das im Verlauf protokolliert!

                  MfG

                  1. Moin,

                    Ok, wenn das Dein Mailserver so macht. Heißt das ja noch lange nicht, daß es alle machen. Ich kenne Mailserver die behaupten SMTPS zu verwenden, jedoch findet man in der ausgelieferten Mail nirgendwo eine Zeile like (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

                    Sofern TLS verwendet wurde wäre das im Verlauf protokolliert!

                    Ich habe hier eine Mail innerhalb von „Sicherheit Made in Germany“ und da steht nicht deine Header-Zeile, aber (ein paar IDs und persönliche Daten entfernt)

                    Received: from mout.web.de ([212.227.15.14]) by mx-ha.gmx.net (mxgmx012 [212.227.15.9]) with ESMTPS (Nemesis) id $Id for $Empfänger; $Date
                    

                    ESMTPS wird wohl verschlüsselt sein.

                    Viele Grüße
                    Robert

                    1. Moin,

                      ESMTPS wird wohl verschlüsselt sein.

                      Received: from mail01.net-server.de (p4FFE1CF4.dip0.t-ipconnect.de [79.254.28.244])
                      	(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
                      	(No client certificate requested)
                      	by mail01.net-server.de (Postfix) with SMTP id EA71D21890D8
                      

                      ..with SMTP! Also das ist kein Kriterium. Der Header zeigt, daß TLSv1.2 nur im ersten hop verwendet wurde.

                      Ein weites Betätigungsfeld 😉

                  2. Hello,

                    Und was macht Dein Mailserver in diesem Fall? Finde es heraus!

                    Er empfängt alle Daten verschlüsselt. Und wenn der nächste Mailserver in der Kette SMTP über TLS kann, werden die Daten auch verschlüsselt weitergeleitet.

                    Ok, wenn das Dein Mailserver so macht. Heißt das ja noch lange nicht, daß es alle machen. Ich kenne Mailserver die behaupten SMTPS zu verwenden, jedoch findet man in der ausgelieferten Mail nirgendwo eine Zeile like (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

                    Das gehört in diese Protokollschicht auch nicht mehr rein. Das ist OSI-Layer 4 und die ausgelieferte Mail ist OSI-Layer (6 +) 7.

                    Aber im Eröffnungsdialog der Mailkommunikation wirst Du derartige Dinge finden können. Klemm den Wireshark in die Leitung und scha es Dir an.

                    Glück Auf
                    Tom vom Berg

                    --
                    Es gibt nichts Gutes, außer man tut es!
                    Das Leben selbst ist der Sinn.
              2. Hello,

                Ok, wir gehen das mal durch. Ich schicke eine Mail von meinem PC aus per SSL (TLS) an meinen Mailserver. Nun ist die spannende Frage, was der Mailserver tut:

                1. er benuzt ebenfalls TLS um die Mail weiterzuleiten
                2. er leitet sie unverschlüsselt weiter
                

                Dazu folgende Anmerkung: Wenn er 1. tut, warum sollte er das tun? Das Protokoll sieht es nicht vor. Es sieht nur vor, daß ein MTA an Port 465 sowohl verschlüsselte als auch unverschlüsselte Mails entgegennehmen kann.

                Und was macht Dein Mailserver in diesem Fall? Finde es heraus!

                Das muss ich nicht erst herausfinden, das habe ich konfiguriert und geprüft. Warum sollte es inzwischen anders laufen?

                Mein Client baut mit dem Mailserver eine TLS-Verbindung auf und verbindet ihn mittels SASL mit dem Postoffice-Agenten ( MTA ). Andere Verbindungsarten bietet mein Mailserver gar nicht an. Dann nimmt er die eMail entgegen. Ob der Body verschlüsselt ist, interessiert nur den Virenschutz. Der wird nämlich nur bei unverschlüsseltem Body tätig.

                Und genau hier liegt der Hase im Pfeffer! Nimm niemals verschlüsselte Mails aus unsicheren Quellen an, wenn Du auf dem Client nicht auch noch einen sehr guten Virenschutz hast.

                Glück Auf
                Tom vom Berg

                [einige] Edits am 26.11.2018

                --
                Es gibt nichts Gutes, außer man tut es!
                Das Leben selbst ist der Sinn.
          3. Hi,

            Wenn er sein eigenes Mailprogramm benutzt schon.

            Nein. Auf dem empfangenden Server kann die Mail per Regel an eine oder viele andere Adressen zugestellt oder weitergeleitet werden - ob die Mail dann noch ins eigentlich angefunkte Postfach geht, ist nicht sicher.

            Gibt ja z.B. den Fall, daß ein Mitarbeiter aus dem Unternehmen ausscheidet - mails, die an sein Postfach geschickt werden, gehen danach aber an seinen Nachfolger oder seinen Abteilungsleiter oder …

            cu,
            Andreas a/k/a MudGuard