Am 1.10.2023 möchten wir bei goneo veralte Versionen des Verschlüsselungsprotokoll entfernen, vor allem aus Sicherheitsgründen. Versionen, die eine Releasenummer kleiner als TLS 1.2 haben, werden von den E-Mail-Servern nicht mehr unterstützt.
TLS 1.0 wurde 1999 eingeführt, weist also ein eher biblisches Alter auf. Die Version 1.1 kam 2006. Inzwischen sind also Jahrzehnte vergangen. Zeit für ein Update.
Was das bedeutet, liest du hier (Spoiler: Höchstwahrscheinlich betrifft es dich nicht).
Was ist TLS?
Für die Verschlüsselung der Netzwerkverbindung zwischen E-Mail-Anwendungen (Clients) und den Mailservern von goneo kommt das Verschlüsselungsprotokoll Transport Layer Security (TLS) zum Einsatz. Für TLS erschienen im Laufe der Zeit regelmäßig neue, verbesserte Versionen. Die zur Zeit mistgenutzte Version ist TLS 1.2.
Warum werden TLS 1.0 und TLS 1.1 deaktiviert?
Die Versionen TLS 1.0 und 1.1 gelten inzwischen als veraltet und unsicher. Zwar konnten diese bei goneo noch verwendet werden. Allerdings endet diese Möglichkeit am 1.10.2023. Danach werden nur noch neuere TLS-Versionen nutzbar sein.
Wie wirkt sich dies auf die E-Mail-Kommunikation bei goneo aus?
Möglicherweise kann nach der Deaktivierung von TLS 1.0 und 1.1 sehr alte Software auf PCs, Notebooks oder Mobiltelefonen keine Mails mehr über goneo senden und empfangen.
Was ist zu tun?
Die meisten E-Mail-Nutzerinnen und Nutzer wird dies nicht betreffen. Nach den uns vorliegenden Daten nutzt nur noch ein kleiner Bruchteil eine Verschlüsselungsvariante von TLS mit einer Version, die kleiner ist als 1.2.
Aktuelle Software – dies gilt auch für Betriebssysteme – verwenden Verschlüsselungsvarianten wie TLS 1.2.
Im Zweifelsfall empfehlen wir ein Update bzw. Upgrade auf eine aktuelle Version der jeweiligen E-Mail-Software. Man sollte einfach die aktuelle Version der jeweiligen Software verwenden.
Woher weiß ich, welche TLS-Version meine E-Mail-Anwendung nutzt?
Als Nutzer bzw. Nutzerin von E-Mail hat man leider in der Regel mit den verschiedenen Anwendungen kaum eine Möglichkeit einzusehen oder einzustellen, welche Variante einer Datenverschlüsselung konkret verwendet wird.
Es gibt schließlich sehr viele Variationen aus Protokoll, Algos und Schlüsseln bei diesen Verfahren. Die Anwendungen (E-Mail-Programme) und die Mailserver handeln die Verschlüsselung automatisch aus, während des Handshakes wenn man Mails empfängt und sendet.
Die Header-Daten (Kopfdaten) einer empfangenen E-Mail können unter Umständen Aufschluss über die genutzte Verschlüsselungsvariante geben, was aber recht umständlich und mühsam nachzuverfolgen ist. Meist ist der absendende Server vermerkt und dazu die sogenannte Cipher-Angabe. Hier findet man beispielsweise Zeilen wie
version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Aus dieser Angabe lässt sich erkennen, dass hier TLS 1.2 genutzt wurde. Leider gibt es eine gewisse Vielfalt wie die Header-Daten einer E-Mail aufgebaut sind und je nach Mailsystem werden die Angaben anders dargestellt.
Bei E-Mails, die man selbst gesendet hat, wird dies in den Header-Daten nicht protokolliert. Es gibt aber Tools, die die TLS-Version erkennen können.
Kein Opportunismus bei Sicherheit und Vertraulichkeit
Übrigens ist bei goneo keine „opportunistische Verschlüsselung“ möglich. Das bedeutet de facto, dass für den E-Mail-Transport eine Verschlüsselung erzwungen wird.
Es gibt durchaus viele, auch prominente Mailanbieter, die beim Scheitern der Aushandlung einer Verschlüsselung die Mails unverschlüsselt senden. Verschlüsselt wird demnach nur, wenn es möglich ist, also, wenn es „opportun“ ist. Damit lassen sich dann Mail auf der Transportstrecke mitlesen, wenn jemand genug kriminelle Energie aufbringt. Technisch besonders anspruchsvoll ist dies dann nicht.
Würde also eine Anwendung beispielsweise nur TLS 1.0 verwenden können, kommt bei der Aushandlung zwischen Anwendung und goneo-Mailserver keine funktionierende Verbindung zustande.
Immer wieder begegnet uns Embedded Software in unterschiedlichster Hardware, die nur alte Kommunikationsprotokolle unterstützt. Oft kann man auch diese Hardware softwaremäßig updaten. Dabei denken wir an „halbsmarte“ Geräte, die man vielleicht dem Bereich Edge Computing zuordnen könnte: Ältere Überwachungskameras, die per Mail Alarm geben können, Haushaltsgeräte, die Service vom Benutzer anfordern und ähnliches.
Mehr Info
Hier findest du weitere Informationen zur der Änderung am 1.10.2023:
https://www.goneo.de/hilfe/email/tls11_abschaltung
Zum Hintergrund: SSL (Secure Socket Layer) ist eine eigentlich veraltete Bezeichnung für Transport Layer Security (TLS).
https://www.goneo.de/glossar/ssl.html
Fazit
Be goneo bemühen wir uns um aktuelle Softwareversionen und setzen diese ein, wenn sie sich im Markt und im Umfeld bewährt haben. Umgekehrt ist es nötig, veraltete Software zu entfernen. Nun ist die Verschlüsselung mit TLS 1.0 und 1.1 betroffen. Doch nur recht alte Software verwendet diese Releases. Damit erhebt sich die Frage – unabhängig von der Funktionalität – ob man derartig alte Software, die aus jedem Supportzyklus herausgefallen ist, noch einsetzen sollte.
die e-mails erreichen den bei Ihnen angemeldeten Server von outlook nicht mehr. Ich habe ein outlok 2007, dort müßte ein TSL 1.2 installiert werden. Wo kann ich so etwas bekommen?
Für die Verschlüsselung der Netzwerkverbindung zu den Mailservern von goneo kommt das Verschlüsselungsprotokoll Transport Layer Security (TLS) zum Einsatz. Die Versionen TLS 1.0 und 1.1 gelten inzwischen als veraltet und unsicher. Aus diesem Grund hat goneo die Version TLS 1.1 am 1.10.2023 deaktiviert.
Outlook 2007 ist nicht für TSL 1.2 vorgesehen (zu alt)
Nachfolgend haben wir einige Programme und Betriebssysteme aufgelistet, die mindestens TLS 1.2 unterstützen.
Microsoft Windows 8, 8.1, 10, 11 (in Windows 7 kann die Unterstützung für TLS 1.2 durch ein Windows-Update aktiviert werden)
Apple macOS Sierra 10.12.6 und neuer
OpenSSL ab Version 1.0.1 (betrifft u. A. Linux, Unix, BSD und ähnliche Betriebssysteme)
Android ab Version 5
Apple iOS/iPhone OS 9
Microsoft Outlook 2016 (benötigt ggf. einige Updates)
Microsoft Outlook 2019 und neuer
Mozilla Thunderbird 52.0
eM Client ab Version 7
Viele unserer User nutzen Thunderbird.