On 27.10.21 11:14, Markus Schönhaber wrote:
Am 27.10.21 um 10:03 schrieb Markus Winkler:
BTW: Zumindest TLSv1 würde ich heutzutage abschalten. ;-)
Warum?
Ein Grund:
https://tools.ietf.org/html/rfc8996
TLS version 1.2 became the recommended version for IETF protocols in 2008 (subsequently being obsoleted by TLS version 1.3 in 2018), providing sufficient time to transition away from older versions. Removing support for older versions from implementations reduces the attack surface, reduces opportunity for misconfiguration, and streamlines library and product maintenance.
Aber auf dem MX zwingt das ältere Clients, die maximal TLSv1 beherrschen, dazu, ganz unverschlüsselt zu senden. Ich sehe da keinen Sicherheitsgewinn.
Es geht mir ein Stück weit ums Prinzip. Ein Client, der am Ende des Jahres 2021 Software einsetzt, die gerade mal TLSv1 beherrscht, hat m. E. keine angeblich auf dem Transportweg "verschlüsselten" Mails mehr zu versenden. Dort ist der Betreiber des Systems in der Pflicht. Und ich behaupte mal, dass TLSv1 nur eines von vielen Problemen auf Systemen dieser Art sein dürfte ... Wenn dort nicht Druck aufgebaut wird, ändert sich da nie was. ;-)
Außerdem sind in Bereichen, wo z. B. DSGVO-relevante Daten übertragen werden ist, diese alten Protokollversionen ohnehin nicht mehr einsetzbar.
Obendrein sollte man wirklich, wie Walter schon schrieb, langsam darüber nachdenken, unverschlüsselte Mails zu blocken. Zumindest in Umgebungen, wo man sich das leisten kann. In 99,9 % der Fälle wären die nicht mehr ankommenden Mails solche, die man eh nicht will ... Außerdem würde ein regulärer Absender aus den 0,1 % ja darüber informiert und könnte seinem Provider mal auf die Füße treten. ;-)
Aber um nicht falsch verstanden zu werden: Ich bin mir der generellen Problematik, was man noch toleriert und was nicht, durchaus bewusst und finde Postels "Be liberal in what you accept and conservative in what you send" immer noch gut. Trotzdem bleibt die Welt nicht stehen, und irgendwann muss man alte Zöpfe auch einfach mal abschneiden - _IMHO_. Und deswegen schrieb ich ja oben auch, dass _ich_ das heutzutage abschalten würde (und das auch mache). ;-)
Viele Grüße Markus