TLS Test E-Mail Provider

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

TLS Test E-Mail Provider

Post by totentanz » Mon Aug 12, 2013 19:09

habe einige Mail Provider mit TLSCheck getestet.Siehe Anhang
Attachments
Riseup.PNG
Riseup.PNG (7.25 KiB) Viewed 4598 times
aikq.de.PNG
aikq.de.PNG (7.49 KiB) Viewed 4598 times
Posteo.PNG
Posteo.PNG (6.84 KiB) Viewed 4598 times

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: TLS Test E-Mail Provider

Post by totentanz » Mon Aug 12, 2013 19:16

Secure-Mail.PNG
Safe-mail.PNG
Und weitere Testscreenshot. Im folgenden Testlog habe ich einige Wert gext. Werde noch einige weitere testen, dann hat man über Sicherheit der Konfigurationen einen Überblick.

Der ausführliche Test sieht zum Beipiel so aus:
looking up MX hosts on domain "posteo.de"
posteo.de (preference:10)
Trying TLS on posteo.de[89.146.XXX.XXX] (10):
seconds test stage and result
[000.116] Connected to server
[000.364] <-- 220 mail.posteo.de ESMTP Postfix
[000.365] We are allowed to connect
[000.365] --> EHLO checktls.com
[000.480] <-- 250-mail.posteo.de
250-PIPELINING
250-SIZE 76800000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.480] We can use this server
[000.480] TLS is an option on this server
[000.481] --> STARTTLS
[000.595] <-- 220 2.0.0 Ready to start TLS
[000.595] STARTTLS command works on this server
[001.021] Cipher in use: DHE-RSA-AES256-SHA
[001.021] Connection converted to SSL
[001.062]
Certificate 1 of 3 in chain:
subject= /description=3WM3OXXXXXX/C=DE/ST=Berlin/L=Berlin/postalCode=10967/street=B\xF6ckXXXXX\xDFe 26/O=Posteo e.K./CN=www.posteo.de/emailAddress=xxxxxx@posteo.de/serialNumber=HRA 47XXX/businessCategory=Private Organization/1.3.6.1.4.1.311.60.2.1.1=Charlottenburg/1.3.6.1.4.1.311.60.2.1.2=Berlin/1.3.6.1.4.1.311.60.2.1.3=DE
issuer= /C=IL/O=StartCom Ltd./OU=StartCom Certification Authority/CN=StartCom Extended Validation Server CA
[001.101]
Certificate 2 of 3 in chain:
subject= /C=IL/O=StartCom Ltd./OU=StartCom Certification Authority/CN=StartCom Extended Validation Server CA
issuer= /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
[001.139]
Certificate 3 of 3 in chain:
subject= /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
issuer= /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
[001.140] Cert VALIDATED: ok
[001.140] Cert Hostname VERIFIED (posteo.de = http://www.posteo.de)
[001.140] ~~> EHLO checktls.com
[001.260] <~~ 250-mail.posteo.de
250-PIPELINING
250-SIZE 76800000
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[001.261] TLS successfully started on this server
[001.261] ~~> MAIL FROM: <>
[001.382] <~~ 250 2.1.0 Ok
[001.382] Sender is OK
[001.382] ~~> RCPT TO: <e>
[002.954] <~~ 250 2.1.5 Ok
[002.954] Recipient OK, E-mail address proofed
[002.954] ~~> QUIT
[003.072] <~~ 221 2.0.0 Bye
Scroll to top to see the important stuff.

Al3ph
Posts: 140
Joined: Sun Aug 11, 2013 20:41

Re: TLS Test E-Mail Provider

Post by Al3ph » Mon Aug 12, 2013 22:18

Danke!

Ich habe diese Provider vor einiger Zeit mit einem SSL-ServerTest untersucht, ich finde die Ergebnisse sind recht anschaulich.
https://www.ssllabs.com/

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: TLS Test E-Mail Provider

Post by totentanz » Mon Aug 12, 2013 22:26

Korrektur aikq Mail
aikq.PNG
aikq.PNG (8.1 KiB) Viewed 4575 times
GMX
GMX.PNG
WEB.de
We.de.PNG
We.de.PNG (9.52 KiB) Viewed 4575 times
Hier findet ihr die Testmöglichkeit:

https://www.checktls.com/

Ist bestimmt interessant weitere Provider zu testen.

asozialer
Posts: 4
Joined: Sun Aug 11, 2013 18:53

Re: TLS Test E-Mail Provider

Post by asozialer » Mon Aug 12, 2013 22:56

Die wechselnden Ergebnisse für aikq.de kann ich bestätigen.

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: TLS Test E-Mail Provider

Post by totentanz » Sun Aug 25, 2013 21:18

Beim GMX Webinterface ist mir aufgefallen das die Verbindungen zu
service.gmx.net
keine SSL Secure Renegotiation unterstützt. Das ist natürlich nicht gut. https://www.ssllabs.com/ssltest/analyze ... ce.gmx.net

User avatar
Ochnö
Posts: 1738
Joined: Sat Nov 06, 2010 16:03

Re: TLS Test E-Mail Provider

Post by Ochnö » Sun Aug 25, 2013 22:46

web.de unterscheidet sich interessanterweise von gmx,obwohl beide zur gleichen Gruppe gehoeren

https://www.ssllabs.com/ssltestanalyze. ... ail.web.de

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: TLS Test E-Mail Provider

Post by totentanz » Mon Aug 26, 2013 1:23

Darum sollten die lieber den Ball flach halten mit ihrem Sicherheits Gebrubbel. Das fängt nämlich bei einer sauberen Server-Config an.
Normalerweise sollten ja beide gleich konfiguriert sein. Scheint aber eher ein heilloses durcheinander.

https://www.ssllabs.com/ssltest/analyze ... tor.web.de

Ich habe jetzt Blut geleckt, werde mich mal ausgiebig mit gmx und web.de befassen. Sollte mir dann etwas auffallen sende ich das ans Security Team dort.

Die sollten sich ein Beispiel an der Server Konfiguration wie die bei anonymous-proxy-servers.net, posteo.de........... nehmen. Ist wirklich so, je größer desto mehr nimmt die Nachlässigkeit zu.

Al3ph
Posts: 140
Joined: Sun Aug 11, 2013 20:41

Re: TLS Test E-Mail Provider

Post by Al3ph » Mon Aug 26, 2013 2:31

Ich denke das kann man so pauschal nicht sagen. Große Unternehmen wägen in erster Linie beinhart Kosten/Nutzen von Sicherheitsfeatures ab. Da besteht kein Anreiz mehr als unbedingt notwendig zu implementieren. Das ist wohl auch der Grund warum FS und TLS1.2 so wenig verbreitet sind, keine Verschwörung der Geheimdienste deren Abhörmethoden dadurch behindert würden sondern Knausrigkeit und Faulheit der großen Unternehmen.

Zu kleine Unternehmen haben dagegen meist weder das Fachwissen noch die Ressourcen für eine effiziente Sicherheitsinfrastruktur. Das Optimum liegt wohl normalverteilt irgendwo in der Mitte.
Posteo scheint momentan wirklich am Besten abzuschneiden aber so viel schlechter sind die meisten anderen Mailprovider auch nicht. Ich bin gespannt auf StartMail.

Wie real die Gefahren einer BEAST-Attack, gegen die übrigens auch diese Website laut SSL-Test nicht gefeit ist, wirklich sind kann ich nicht beurteilen, ich denke man sollte das auch nicht überbewerten. Email ist nunmal ein low-security Kommunikationsmedium für Allerweltsdinge und nicht unbedingt zur Verbreitung geheimdienstrelevanter Informationen geeignet. Spätestens beim Kommunikationspartner hört sich die Datensicherheit meist auf, mit wem kann man schon per verschlüsselter Mail kommunizieren? Den meisten Leuten sind selbst grundlegende Sicherheitskonzepte zu mühsam bzw. schlichtweg egal.

Ich finde GMX übrigens nicht so schlecht, ist eines der wenigen mir bekannten Webmail-Interfaces die noch ohne JS und Cookies auskommen.

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: TLS Test E-Mail Provider

Post by totentanz » Mon Aug 26, 2013 4:05

Web.de/GMX
js.ui-portal.de
https://www.ssllabs.com/ssltest/analyze ... -portal.de

Web.de Mobile
mm.web.de
https://www.ssllabs.com/ssltest/analyze ... =mm.web.de

GMX Mobile
mm.gmx.net
https://www.ssllabs.com/ssltest/analyze ... mm.gmx.net
Posteo scheint momentan wirklich am Besten abzuschneiden aber so viel schlechter sind die meisten anderen Mailprovider auch nicht. Ich bin gespannt auf StartMail.
In StartMail setze ich auch hohe Erwartungen, ich lass mich überraschen.:-)

Post Reply