On 30.10.21 14:42, Markus Schönhaber wrote:
30.10.21, 10:35 +0200, Markus Winkler:
Ich persönlich tendiere jedenfalls schon dazu, dass man den Betreibern der Empfängerserver mittlerweile die Freiheit geben sollte, eben auch nur verschlüsselte Übertragungswege akzeptieren zu wollen.
Jeder kann natürlich (schon immer) seinen Server so konfigurieren, wie sie es für richtig hält. Wer keine unverschlüsselt eingelieferte Mail mehr annehmen will, soll das eben lassen.
Logisch - aber darum ging es in meinem Satz oben ja gar nicht, sondern lediglich darum, dass man mit der Ablehnung unverschlüsselter Mails den nach wie vor gültigen RFC verletzt. Und bzgl. dieses Punkts könnte man ja mal darüber nachdenken, den Betreibern von Mailservern zukünftig evtl. diese Entscheidungsfreiheit rein formal einzuräumen, ohne dass diese dann gleich als RFC-ignorant dastehen.
Ich bleibe allerdings dabei: Ich sehe keinen Sicherheitsgewinn darin, TLSv1 abzuschalten.
[...]
Natürlich ändert das nichts an "Dein Server - Deine Regeln". Aber jemand, der sich fragt, ob er gewisse Postfix-Defaults ändern oder Verschlüsselungsprotokolle abschalten soll, ist m. E. verdammt gut beraten, Viktors Meinung nicht zu ignorieren, sondern zumindest in Betracht zu ziehen.
Vielen Dank für den Link zur englischen Liste. Es ist immer gut, sich mit anderen Meinungen auseinanderzusetzen. ;-) Meine eigene habe ich ja schon dargelegt, u. a. zum aus dem RFC 8996 abgeleiteten Gewinn an Sicherheit, wenn solche überholten Protokolle nicht mehr eingesetzt und damit auch nicht mehr als Angriffsvektor genutzt werden können. Hier haben wir beide eben eine andere Sicht auf das Thema.
Viktors Meinung nehme ich ebenso zur Kenntnis, teile sie in der Form jedoch nicht und finde auch seine Wortwahl etwas, naja, eigenartig.
Und im Unterschied zur englischen Postfix-Liste ging es ja in diesem Thread hier ursprünglich gerade _nicht_ um irgendwelche Maximalforderungen à la "ab sofort soll nur noch TLSv1.3 verwendet werden". Der Ausgangspunkt der Diskussion war, das Andis Server noch TLSv1 unterstützt und ich aus meiner Sicht eben dessen Deaktivieren vorgeschlagen hatte (noch nicht mal von TLSv1.1 ;-)).
Dass man nicht mal eben einen der ältesten Dienste des Internets technisch umkrempeln kann, liegt selbstverständlich auf der Hand. Aber selbst solche hornalten Systeme wie beispielsweise Exchange 2010 / W2K8R2 lassen sich problemlos TLSv1.2 beibringen. Vor diesem Hintergrund kann ich daher, ehrlich gesagt, nicht ganz nachvollziehen, wieso 2021 noch darüber diskutiert wird, ob TLSv1 weiterhin akzeptabel ist, oder nicht. Warum nicht einfach endlich die Sicherheit nutzen, die schon _seit Jahren_ verfügbar ist? Es gibt nun mal Anwender, die aus eigenem Sicherheitsinteresse oder weil sie von irgendwelchen Vorgaben her (z. B. sich an BSI-Richtlinien wie die TR-02102-2 halten müssen) gezwungen sind, nach heutigem Stand sichere und noch dazu technisch einfach anzuwendende Technologien einsetzen wollen und/oder müssen.
Aber klar: Das kann, soll und wird natürlich jeder sehen, wie er mag und ggf. auch muss. ;-)
Viele Grüße Markus