DSGVO und TLSv1.0/TLSv1.1 beim Emailversand

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
bumer
Beiträge: 238
Registriert: 02.07.2014 12:29:15

DSGVO und TLSv1.0/TLSv1.1 beim Emailversand

Beitrag von bumer » 26.01.2021 14:11:28

Hallo,

nutzt ihr noch TLSv1.0 und TLSv1.1 für den Email-Versand auf Euren Mail-Servern? Konkret geht es darum, dass wir einen MTA (Postfix) betreiben, der bei der Kommunikation mit dem Empfangsservern TLSv1.0 und TLSv1.1 akzeptiert. Jetzt kam mein Chef auf mich zu und wollte wissen, ob das DSGVO-konform ist. Da ich ITler und kein Datenschutz-Profi bin, konnte ich keine klare Antwort geben. Wir handhabt ihr das auf euren MTAs? Lässt ihr TLSv1.0 und TLSv1.1 Verbindungen (ausgehend) noch zu?

Viele Grüße!

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: DSGVO und TLSv1.0/TLSv1.1 beim Emailversand

Beitrag von wanne » 26.01.2021 16:51:26

Lässt ihr TLSv1.0 und TLSv1.1 Verbindungen (ausgehend) noch zu?
Enforst du TLS beim Ausgang? Nachdem das eh niemand macht finde ich die Debatte um TLSv1.0 dämlich. Alle mal besser als Klartext, was dann der passende Fallback wäre, wenn du TLSv1.0 abschaltest. Es wird ja garantiert keiner plötzlich TLS 1.2 lernen nur weil du jetzt TLS 1.0 abgeschaltet hast.
rot: Moderator wanne spricht, default: User wanne spricht.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: DSGVO und TLSv1.0/TLSv1.1 beim Emailversand

Beitrag von schwedenmann » 26.01.2021 18:36:59

Hallo

Enforst du TLS beim Ausgang? Nachdem das eh niemand macht finde ich die Debatte um TLSv1.0 dämlich. Alle mal besser als Klartext, was dann der passende Fallback wäre, wenn du TLSv1.0 abschaltest. Es wird ja garantiert keiner plötzlich TLS 1.2 lernen nur weil du jetzt TLS 1.0 abgeschaltet hast.
das ist dann aber nciht DSGVO konform.

Dort steht ganz kalr: Standf der technik und das ist mindestensd 1.2 besser 1.3.

mfg
schwedenmann

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: DSGVO und TLSv1.0/TLSv1.1 beim Emailversand

Beitrag von hec_tech » 27.01.2021 13:37:55

Stand der Technik ist ja schön und gut nur leider halten sich sehr viele Betreiber einfach nicht dran.

Es gibt noch genug Mailserver die überhaupt keine Verschlüsselung akzeptieren. Sicherlich TLS 1.3 anbieten aber enforcen kannst das einfach nicht weil dann diverse Mails nicht ankommen.
Eventuell für diverse Domains enforcen also meist Kunden wo man die Server kennt und weiß die können auch TLS (hoffentlich 1.3).

Mehr Sorge machen mir eigentlich unverschlüsselte Mails.

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: DSGVO und TLSv1.0/TLSv1.1 beim Emailversand

Beitrag von TRex » 27.01.2021 20:48:37

hec_tech hat geschrieben: ↑ zum Beitrag ↑
27.01.2021 13:37:55
Sicherlich TLS 1.3 anbieten aber enforcen kannst das einfach nicht weil dann diverse Mails nicht ankommen.
Könnte man das nicht entsprechend intern bouncen? Dann kannst du eben keine Mails an den Bananenserver schicken (wäre mal interessant zu sehen, wie sich das auswirkt).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: DSGVO und TLSv1.0/TLSv1.1 beim Emailversand

Beitrag von hec_tech » 27.01.2021 21:58:45

Können schon nur der Admin wird dann zum Opfer diverser Anfragen der User.

Aber man kann ja mal die Logs auswerten - dann siehst man eh was TLS redet und was nicht.

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: DSGVO und TLSv1.0/TLSv1.1 beim Emailversand

Beitrag von TRex » 27.01.2021 22:02:06

Und dann stellt sich raus, ists der wichtigste Zulieferer und der wichtigste Kunde... oder so. Und plötzlich ist das mit der DSGVO gar nicht mehr so wichtig. :roll:
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Antworten