Apple Mail und Mailserver

Gerald Galster list+postfixbuch at gcore.biz
Sa Sep 14 20:34:30 CEST 2024


> da scheinen paar Sachen nicht zu stimmen, siehe z.B. https://www.hardenize.com/report/schani.com/1726317928

Die Seite bietet eine gute Übersicht. Den Empfehlungen sollte man in Bezug auf Mailserver aber nicht blind folgen.

> Altes TLS 1.0 und 1.1 aktiv, nicht übereinstimmende Cert Matches, DMARC Policy auf andere Domain ohne diese zu erlauben.

Auch wenn viele Mailserver mittlerweile TLS >= 1.2 unterstützen, sollte man TLS 1.0/1.1 im smtpd (noch) nicht abschalten.
In der Regel ist security_level "may" konfiguriert, d.h. es wird Verschlüsslung verwendet wenn verfügbar, andernfalls Plaintext.
Zurrt man den security_level auf TLS >= 1.2 fest, würden Daten älterer Systeme also eher unverschlüsselt über die Leitung gehen.
Da ist irgendwie verschlüsselt besser als gar nicht verschlüsselt (DSGVO). Clientseitig kann man in postfix auch detailliertere
Einstellungen vornehmen. Genauere Informationen, auch bzgl. Sicherheit von TLS 1.0/1.1 in Bezug auf Mailtransport, finden sich
in den Mails von Viktor Dukhovni im Archiv der Postfix-Mailingliste.

Ob das SSL-Zertifikat für Apple-Mail gültig ist kann ich nicht sagen, da der Servername in den Einstellungen nicht genannt wurde.
Für den Betrieb des Mailservers ist es aber ungültig. Der MX für schani.com verweist auf wwl10.leicht.info, Mailserver verbinden
sich also zu wwl10.leicht.info Port 25. Wird dann STARTSSL ausgeführt, wird ein Zertifikat mit leicht.info als Common Name
ausgeliefert, ohne weitere Alternativen. Nur durch security_level=may kommen hier überhaupt verschlüsselte Verbindungen zustande
weil auch ungültige Zertifikate akzeptiert werden. Bei Mailcients wie Apple-Mail sieht es anders aus: sollte da ein Servername
in den Einstellungen verwendet werden, der nicht im Zertifikat gelistet ist, beschweren die sich zu Recht und die Sicherheit
der Kunden ist geschwächt.

Für DMARC-Reports an eine externe Adresse fehlt zwar eine entsprechende Freigabe, in der Praxis kommen Reports z.B. von GMail
trotzdem an. Zumindest behindert das die normale Mailzustellung nicht.

Viele Grüße
Gerald


Mehr Informationen über die Mailingliste Postfixbuch-users