Icon Rufen Sie uns an
+49 441.309197-69 +49 441.309197-69
 
DE

Sichere Defaults und Mailclients

Posted by Felix Kronlage on Wednesday, July 23, 2014

Sichere Defaults

Nachdem wir bei Kundengesprächen immer wieder festgestellt haben, dass aus Versehen gerne mal ein Mailkonto so eingerichtet wird, dass Klartextprotokolle zum Abrufen der Mails verwendet werden, waren wir uns einig: guter Stil einer Umgebung ist es, diese Fehlerquelle von vornherein auszuschliessen.

Für unsere Zarafa Hosting Umgebung ist es schon von Anfang an so, dass wir bei den Webkomponenten nur HTTPS Verbindungen zulassen und auch die ein- und ausgehenden SMTP Verbindungen zu anderen SMTP-Servern per Definition via TLS/SSL laufen. Im ersten Schritt wollten wir jetzt sicherstellen, dass auch folgende Dienste nur noch über verschlüsselte Verbindungen erreichbar sind:

  • IMAP
  • POP3
  • ICAL
  • MAPI (wird von Outlook verwendet)

Sperren der Dienste

Wir fahren in unserer Umgebung Konfigurationen, die alle nicht verwendeten Ports schon auf Firewallebene sperren. Zusätzlichgingen wir wie selbstverständlich davon aus, dass für die oben gelisteten Dienste beim Zugriff via SSL/TLS jeweils der dedizierte Port für diese Verbindung verwendet wird:

  • IMAPS (Port: 993)
  • POP3S (Port: 995)
  • ICALS (Port: 8443)
  • MAPIS (Port: 237)

Umstellung und Update auf Zarafa 7.1.10

Damit war klar, dass deren Klarttext-Äquivalente gesperrt und deaktiviert werden. Die Umstellung erfolgte in der Nacht vom 22. auf den 23.07.2014 - wie unseren Kunden entsprechend vorher angekündigt. Alle Änderungen wurden erfolgreich ausgerollt und zeitgleich das entsprechende Update auf Zarafa 7.1.10 gemacht.

Vielfalt der Mailclients

Was wir bei unseren Überlegungen leider nicht berücksichtigt hatten: im IMAP-Protokoll ist vorgesehen, das ein Client eine Verbindung auf Port 143 aufmacht und dort ein STARTTLS absetzt. Bedingt durch die Artenvielfalt der Clients in unserer Hosting-Landschaft ist uns dies (natürlich) auf die Füße gefallen. Einfach so wieder Port 143 aufmachen wäre aber auch schade, weil wir dann wieder Logins im Klartext erlauben würden. Wie wir aus dem Dialog mit Kunden erfahren haben, läßt sich auch nicht jeder Client auf den Port 993 für IMAPS umkonfigurieren.

Danke für: disable_plaintext_auth

Seit neuestem hat zarafa-gateway die Option disable_plaintext_auth - diese Option unterbindet Verbindungen auf den Ports 110 und 143, wenn dort kein STARTTLS verwendet wird. Mittels der Option konnten wir soeben die Ports 110 und 143 wieder verfügbar machen - ohne von den sicheren Defaults abweichen zu müssen. Damit hat Zarafa ein sehr sinnvolles Feature von dovecot adaptiert.

Update vom 15.10.2014: Dies Feature wurde von Robert Scheck als Community-Contribution entwickelt - und stammt nicht von Zarafa selbst.

Für die Clients, die keine sicheren Verbindungen können....

...haben wir von Anfang an bei diesen Überlegungen eine Alternative gehabt. Da es durchaus Multifunktionsgeräte gibt, die Daten per POP3 abholen und eventuell (so traurig es ist), kein SSL können, haben wir für diese Clients einen separaten Knoten abgestellt, der die unsicheren Logins erlaubt - da unser Hauptbestreben darin liegt, das unsere Kunden nicht aus Versehen die Klartextlogins verwenden. Was uns noch nicht gelungen ist: Einen guten Namen für diesen Knoten im DNS zu finden. Wie wäre es mit alle-anderen-lesen-mit.bytemine.net ?

Zu guter Letzt

Um unser Setup wieder vollständig zu bekommen, müssen wir jetzt noch die entsprechenden Monitoring-Prüfungen nachrüsten, welche versuchen sich auf Port 110 und 143 mit Klartext anzumelden und die Alarm schlagen, falls dies möglich ist.