Aktuelle Umsetzung von SMTP over TLS
Ein Realitätscheck
Thomas Maier1
Thomas Schreck2
1 Hochschule
Hans-Joachim Hof1,3
München
2 FIRST.org
3 Munich
IT Security Research Group
23. DFN-Konferenz ”Sicherheit in vernetzten Systemen”
Thomas Maier
Aktuelle Umsetzung von SMTP over TLS
10.02.2016
1 / 11
Motivation
Sicherheit von SMTP-Servern beruht darauf, dass TLS richtig
konfiguriert ist
Wie wird TLS von SMTP-Betreibern in Deutschland umgesetzt?
Thomas Maier
Aktuelle Umsetzung von SMTP over TLS
10.02.2016
2 / 11
Datenerhebung
50.000 IP-Port-Kombinationen in 24 Std. (Auswahl randomisiert)
IP-Ranges
1.2.3.0/24
2.3.4.5/24
...
Hostscanner
Gefundene
SMTP-Server
1.2.3.4:25
1.2.3.4:587
2.3.4.5:465
...
Internet
TLS-Scan
ScanErgebnisse
Datenbank
Thomas Maier
Aktuelle Umsetzung von SMTP over TLS
10.02.2016
3 / 11
Evaluierung
TLS-Unterstützung
Heartbleed: 3,72% anfällig
Thomas Maier
Aktuelle Umsetzung von SMTP over TLS
10.02.2016
4 / 11
Evaluierung
X.509-Validierung
DANE: 3/35.535 validierbar
Thomas Maier
Aktuelle Umsetzung von SMTP over TLS
10.02.2016
5 / 11
Evaluierung
X.509-Schlüssellängen
NIST-Empfehlung: 2048 Bit
Thomas Maier
Aktuelle Umsetzung von SMTP over TLS
10.02.2016
6 / 11
Evaluierung
X.509-Gültigkeit
Thomas Maier
Aktuelle Umsetzung von SMTP over TLS
10.02.2016
7 / 11
Evaluierung
TLS-Versionen
Thomas Maier
Aktuelle Umsetzung von SMTP over TLS
10.02.2016
8 / 11
Evaluierung
Cipher Suites nach BSI
BSI empfiehlt Liste von Cipher Suites (CS)
Nur BSI-CS: 0,34%
Nur Nicht-BSI-CS: 90,73%
Sowohl BSI-CS, als auch Nicht-BSI-CS: 8,93%
99,66% halten sich nicht komplett an BSI
Thomas Maier
Aktuelle Umsetzung von SMTP over TLS
10.02.2016
9 / 11
Zusammenfassung
Schlechterer Stand als bei HTTP (siehe SSL Pulse)
Häufiger Einsatz schwacher Cipher Suites/gebrochener TLS-Versionen
Häufiger Einsatz von zu lange gültigen selbstsignierten Zertifikaten
Spätere Arbeiten bestätigen Ergebnisse
Wilfried Mayer et al., ”No Need for Black Chambers: Testing TLS in
the E-mail Ecosystem at Large”(Oct 2015)
Ralph Holz et al., ”TLS in the wild: an Internet-wide analysis of
TLS-based protocols for electronic communication”(Nov 2015)
Empfehlungen: BetterCrypto.org
Thomas Maier
Aktuelle Umsetzung von SMTP over TLS
10.02.2016
10 / 11
Kontakt
Fragen?
Bachelorarbeit: PDF
Kontakt
Mail: [email protected]
Jabber: [email protected]
GnuPG key ID: 0x57824B8B
Thomas Maier
Aktuelle Umsetzung von SMTP over TLS
10.02.2016
11 / 11

TLS Profi-Service TLS – mit gutem Grund TLS Service mit Erfahrung

E-Mail-ProvidEr-ChECk Wildkameras

Anleitung - Bundesfinanzministerium

Einige E-Mail Anbieter verwenden eine SSL Verschlüsselung für

Kurzanleitung: Wie leite ich meine E-Mail weiter

Keine Antwort ohne Frage

Dr. med. Franz Maier

Mit diesen Angaben richten Sie Ihren Mailclient korrekt ein

Hütten und Getränkedienst

Client Information - SIX Financial Information Login

THUNDERBIRD HANDBUCH Download: http://flatbooster.com/support

ÄNDERUNGSVERWALTUNG PLaNT 135.221.10 TLS over IP

Dokaflex

sicherheitsempfehlungen für behörden teil 2: ssl/tls - A-SIT