Postfix 3.6.3: SSL/TLS vs. STARTTLS

testit

Well-Known Member
Guten Abend allerseits,

ich habe mir auf einer VM u. a. postfix eingerichtet (mit dovecot, pigeonhole und rspamd).

Das Ganze arbeitet mit virtuellen Usern und virtuelle Domains, bislang noch ohne MySQL und somit bislang noch ohne Postfix.

Bislang läuft der EMPFANG von Mails über POP SSL/TLS Port 995
und
das VERSENDEN von Mails über SMTP/STARTTLS Port 587.

Stelle ich POP auf STARTTLS oder SMTP auf SSL/TLS, funktioniert der Empfang bzw. der Versand nicht mehr!

Ich habe bei Vodafone gelesen, dass man für Versand und Empfang stets die gleichen Verschlüsselungseinstellungen aktvieren soll, was ja bei mir nicht der Fall ist bzw. nicht geht. Ist der Vodafone-Hinweis begründet?

Außerdem finden sich im WWW unterschiedliche Darstellungen zur Frage, was die bevorzugte Einstellung sein sollte: SSL/TLS oder STARTTLS.

Mache ich mir diesbezüglich zuviele Gedanken?
Reichen die o. a. unterschiedlichen Einstellungen für POP und SMTP aus?


Danke und Gruß
testit
 
Bei STARTSSL gibts einige Sicherheitsbedenken, ob die für dich relevant sind muss du entscheiden. Google liefert hier einiges.

Wieso es bei dir nicht will kann man nur spekulieren, vielleicht postest du Configs/Logs? Ich kann nur sagen bei mir funktioniert ein Postfix mit SMTPS + SMTP mit STARTSSL und IMAPS only ssl/tls
 
Stelle ich POP auf STARTTLS oder SMTP auf SSL/TLS, funktioniert der Empfang bzw. der Versand nicht mehr!
Blöde Frage: Es geht hier um die Verbindungen MTA/MUA bzw MDA/MUA. Du stellst schon beide Seiten auf STARTTLS bzw. SSL/TLS um? Und auch die Ports im MTA/MDA/MUA, also POP3 mit STARTTLS auf 110 bzw. POP3 mit SSL/TLS auf 995 und SMTP mit STARTTLS auf 25 oder 587 bzw. SMTP mit SSL/TLS auf 465. Viele MUA sind da störrisch und unflexibel und wenn der MUA woanders anklopft als der MTA/MDA lauschen dann geht's halt nicht. Generell gilt wohl SMTP mit SSL/TLS auf 465 als deprecated (hab' gehört...). Technisch sind SMTP und POP3 (und IMAP) völlig unabhängige Protokolle, es ist also egal welches Protokoll nun STARTTLS oder SSL verwendet.

EDIT: Grundsätzlich kann Dein MTA, also Postfix, ohne weiteres beides anbieten, also SMTP STARTTLS auf 587 und SMTP SSL/TLS auf 465. Ebenso der MDA, also Dovecot, POP3 STARTTLS auf 110 und POP3 SSL/TLS auf 995 (bzw. für IMAP STARTTLS auf 143 und SSL/TLS auf 993). Was benutzt wird kann dann jeweils am MUA vom Anwender eingestellt werden.
 
Zuletzt bearbeitet:
Hallo!
Blöde Frage: Es geht hier um die Verbindungen MTA/MUA bzw MDA/MUA. Du stellst schon beide Seiten auf STARTTLS bzw. SSL/TLS um?
Die Einstellungen im EMailClient betreffen ja erst einmal nur die Kommunikation mit dem Client und nicht jene zwischen den Mailservern untereinander.

Und auch die Ports im MTA/MDA/MUA, also POP3 mit STARTTLS auf 110 bzw. POP3 mit SSL/TLS auf 995 und SMTP mit STARTTLS auf 25 oder 587 bzw. SMTP mit SSL/TLS auf 465.
???
Viele MUA sind da störrisch und unflexibel und wenn der MUA woanders anklopft als der MTA/MDA lauschen dann geht's halt nicht. Generell gilt wohl SMTP mit SSL/TLS auf 465 als deprecated (hab' gehört...).
Da gibt es wohl auch andere Ansichten, da hier VON ANFANG an die Kommunikation mit dem EMail-Client verschlüsselt wird, mit STARTTLS dagegen nicht! STARTTLS gilt daher gemeinhin als etwas unsicherer als SSL/TLS.

Technisch sind SMTP und POP3 (und IMAP) völlig unabhängige Protokolle, es ist also egal welches Protokoll nun STARTTLS oder SSL verwendet.

Ja, aber es ist halt aus o. a. Gründen theoretisch ein gewisser Sicherheitsnachteil, wenn ich hierbei statt SSL/TLS "nur" STARTTLS nutze.

Viele Grüße
testit
 
Die Einstellungen im EMailClient betreffen ja erst einmal nur die Kommunikation mit dem Client und nicht jene zwischen den Mailservern untereinander.
Mailserver (MTAs) kommunizieren untereinander grundsätzlich auf Port 25, und zwar unverschlüsselt (gehört zum Standard und darf nicht unterbunden werden) oder mit STARTTLS (wenn es beide können), und handeln das selbst untereinander aus. Da gibt's kein implizites SSL/TLS.
 
Mailserver (MTAs) kommunizieren untereinander grundsätzlich auf Port 25, und zwar unverschlüsselt (gehört zum Standard und darf nicht unterbunden werden) oder mit STARTTLS (wenn es beide können), und handeln das selbst untereinander aus. Da gibt's kein implizites SSL/TLS.
Doch, Port 25 wird zunehmend mit "Verschlüsselungszwang" - bspw. "encrypted" - anstelle opportunistischer Einstellungen wie bspw. "may" belegt. Ob das eine gute Idee ist, steht auf einem anderen Blatt.

Viele Grüße
testit
 
Zurück
Oben