Cleanmail unterstützt seit Juli 2017 „Mandatory TLS“, die zwingende Verschlüsselung auf Netzwerkebene für E-Mail.
Was bedeutet „Mandatory TLS“, was sind die Auswirkungen und wie können Cleanmail Kunden dies nutzen?
Im Hinblick auf die Europäische Datenschutz-Grundverordnung (und die daran angelehnte Überarbeitung des Schweizer Datenschutzgesetzes) sind solche Massnahmen zum Schutz persönlicher Daten (worunter E-Mails typischerweise fallen) erforderlich, sofern sie verhältnismässig und zweckdienlich sind.
Mit „Mandatory TLS“ ermöglicht Cleanmail den Kunden ein höheres Datenschutzniveau und leistet damit einen Beitrag zur Compliance mit den aktuellen und kommenden Anforderungen.
Was ist „Mandatory TLS“?
Der Verkehr zwischen zwei Mailservern kann über TLS verschlüsselt werden – das ist im Kern die gleiche Technologie, die Webbrowser für „https://“ verwenden. Mit TLS kann der Schutz gegen „Mithörer“ im Netzwerk verbessert werden.
Seit Jahren unterstützt Cleanmail im Domain Gateway daher „Opportunistic TLS“ — dabei wird eine Verbindung verschlüsselt, wenn die Gegenseite das wünscht.
Neu können Cleanmail-Kunden Verschlüsselung für eingehende Mails auch erzwingen, das sogenannte „Mandatory TLS“. Dabei wird eine Verbindung abgelehnt, wenn der sendende Mailserver keine Verschlüsselung unterstützt.
Bestellung von Mandatory TLS
Bestehende Kunden können über den Domänenadministrator bei Cleanmail (unter https://quar.cleanmail.ch/) die entsprechende Einstellung vornehmen („TLS-Verbindung für alle eingehenden Mails erzwingen“).
Für Neubestellungen kann die entsprechende Option im Bestellformular angewählt werden. Ein späteres Aufschalten über den Domänenadministrator ist jederzeit möglich.
Kosten für Mandatory TLS
Den Kunden entstehen keine zusätzlichen Kosten für Mandatory TLS.
Kann im Verkehr zwischen Cleanmail und den Zielservern Mandatory TLS auch eingeschaltet werden?
Der Zielserver muss beim Empfang TLS zwingend anfordern; die Cleanmail-Server werden dann die Verbindung entsprechend verschlüsseln.
Einschränkungen bei Mandatory TLS
Wenn die Verschlüsselung erzwungen wird, werden Mails von nicht verschlüsselnden Servern durch Cleanmail abgewiesen. Der Absender wird dann von seinem Mailserver eine Fehlermeldung erhalten.
Technische Hinweise zu Mandatory TLS
Cleanmail wird TLS-Verbindungen ablehnen, die mit bekannt schwachen oder unsicheren Methoden verschlüsselt werden. Dazu zählen die SSL2- und SSL3-Protokolle, ebenso wird der RC4-Cipher nicht mehr unterstützt. Alle diese Elemente sind kryptographisch unsicher oder enthalten konzeptionelle Schwächen und bieten keinen wirklichen Schutz mehr.
Nicht-verschlüsselte Verbindungen werden mit einem 450-Fehler temporär zurückgewiesen. Wir empfehlen, nach dem Aufsetzen von Mandatory TLS zu prüfen, dass alle relevanten Gegenstellen korrekte Einstellungen zu Verschlüsselung und TLS haben.