Kurzer Hinweis für Kunden des Internet-Anbieters IONOS, die deren Mail-Server und Systeme verwenden. Der Anbieter deaktiviert zwischen dem 25.04.2023 und dem 16.05.2023 dauerhaft den unverschlüsselten Zugriff auf die E-Mail-Server. Ab der Umstellung ist die Verschlüsselung mittels TLS 1.2 für den Zugriff auf Postfächer mittels IMAP, POP3 und SMTP zwingend erforderlich.
Mir sind die Informationen gleich mehrfach unter die Augen gekommen. Blog-Leser Carsten W. hat mich vorige Woche per E-Mail mit dem Betreff IONOS SMTP Error auf diesen Umstand hingewiesen und schrieb (danke dafür).
Guten Morgen Günter,
ich bin mehrere Jahre IT-Admin im Systemhaus und greife öfters auf deinen Blog als Informationsquelle zu. Ein Kollege von mir meldet Dir auch ab und zu mal das eine oder andere Thema.
Der Leser ist gerade darauf aufmerksam geworden, dass in seinem Monitoring viele Meldungen ausbleiben. Das hat ihn etwas stutzig gemacht und er ist darauf gestoßen, dass IONOS wohl gerade die unverschlüsselten SMTP Verbindungen abschaltet.
Ist vielleicht für Admins nicht ganz uninteressant, die noch z.B. auf Port 25 verbinden um Monitoring Nachrichten zu versenden.
Beim Leser gibt es „da eine Hand voll Systeme“ und ohne das Monitoring wäre das Ausbleiben dieser Mails vermutlich gar nicht aufgefallen.
Bei Veeam muss z.B. auch dem Zertifikat entsprechend vertraut werden, nach dem die Umstellung erfolgt ist. Sonst bleiben diese Meldungen eben auch aus.
Zusätzlich gibt es bestimmt etliche Kundensysteme, die sich probieren unverschlüsselt am SMTP von IONOS anzumelden.
Auch auf administrator.de gibt es den Beitrag IONOS deaktiviert unverschlüsselten E-Mail-Versand, der die auftauchenden Probleme skizziert. Der Betroffene skizziert folgendes Problem. Er benutzt eine App, die bisher automatisiert über den IONOS-Server (unverschlüsselt) über ein dafür speziell eingerichtetes Postfach E-Mails versendet hat.
Da IONOS seit gestern [25.4.2024] den unverschlüsselten Versand deaktiviert hat, und nur noch TLS 1.2 zulässt, und die App des Betroffenen diese Verschlüsselung nicht unterstützt sucht er nun nach einer Alternative.
IONOS informiert seit dem 20. April 2023 auf seiner Statusseite Deaktivierung des unverschlüsselten E-Mail-Zugangs und TLS 1.0/1.1 für POP3, IMAP und SMTP (bzw. hier) über die Abschaltung:
Deaktivierung des unverschlüsselten E-Mail-Zugangs und TLS 1.0/1.1 für POP3, IMAP und SMTP
Wir aktualisieren die Statusseite mit neuen Informationen, sobald uns diese vorliegen.
Posted 10 days ago. Apr 21, 2023 – 14:42 CEST
In Bearbeitung
Die geplante Wartung ist aktuell in Bearbeitung. Wir werden Sie hier über Änderungen auf dem Laufenden halten, falls nötig.
Posted 11 days ago. Apr 20, 2023 – 16:00 CEST
Geplant
Wenn Sie Probleme beim Senden oder Empfangen von E-Mails über ein externes E-Mail-Programm (z. B. Outlook, Thunderbird usw.) haben, könnte das daran liegen, dass Sie auf Ihr E-Mail-Konto ohne Verschlüsselung oder über die veralteten Verschlüsselungsprotokolle TLS 1.0 oder TLS 1.1 zugreifen. Aus Sicherheitsgründen deaktivieren wir den unverschlüsselten E-Mail-Zugang und TLS 1.0/1.1. Damit E-Mails zwischen Ihren E-Mail-Programmen und unseren E-Mail-Servern weiter übertragen werden können, müssen diese TLS 1.2 oder höher unterstützen. Ebenso muss die Verschlüsselung (SSL/TLS) aktiviert sein.
Auf dieser IONOS-Seite gibt es noch einige zusätzliche Informationen – ich ziehe den Text mal heraus, bevor dieser wieder gelöscht wird.
Umstellung auf TLS 1.2 für IMAP, POP3 und SMTP
Sowohl der unverschlüsselte Zugriff als auch der Zugriff über die veralteten Verschlüsselungsprotokolle TLS 1.0 und TLS 1.1 entsprechen nicht mehr den aktuellen Sicherheitsstandards. Zum Schutz Ihrer E-Mail-Kommunikation werden wir diese Zugriffe auf unsere E-Mail-Server zwischen dem 25.04.2023 und dem 16.05.2023 dauerhaft deaktivieren.
Bitte stellen Sie bis zum 25.04.2023 sicher, dass die Verschlüsselung (SSL/TLS) in Ihren Geräten und/oder E-Mail-Programmen aktiviert ist. Im Folgenden haben wir für Sie zusammengefasst, wie Sie die Einstellungen für einige der gängigsten E-Mail-Programme vornehmen können.
Damit die Übertragung von E-Mails zwischen Ihren Geräten oder Programmen und unseren E-Mail-Servern nach der Deaktivierung weiterhin funktioniert, muss dieses außerdem TLS 1.2 oder höher unterstützen.
Programme und Betriebssysteme, die TLS 1.2 unterstützen
- Microsoft Outlook 2016 (nur wenn alle Windows- und Office-Updates installiert sind)
- Microsoft Outlook 2019 und neuer
- Mozilla Thunderbird 52.0 und neuere Versionen
- Microsoft Windows 7 (Service Pack 1)
- Microsoft Windows 8
- Microsoft Windows 8.1
- Microsoft Windows 10
- Microsoft Windows 11
- Apple macOS Sierra 10.12.6 und neuere Versionen
- Apple iOS 9 und neuer
- Android 5.0 und neuer
Auf der betreffenden Seite finden sich Hinweise, wie man vorgehen soll, um die Verschlüsselung zu aktivieren. Besitzer älterer Software oder Geräte haben dann aber ggf. Probleme, weil diese TLS 1.2 nicht unterstützen.
Da kommen schon seit Monaten Mails von IONOS zu. Sogar bei welchem Postfach das auftritt…
Schön, schön, aber TLS1.2 ist der Schnee von gestern. Heute ist TLS1.3 Standard, auch wenn das „Standard“System Windows das nur eingeschränkt unterstützt. Das zeigt mal wider deutlich, was Microsoft vom Thema Sicherheit hält, wenn es seine Kunden betrifft. Gottseidank nutzt Seamonkey keine Krypto vom Betriebssystem.
Sofern bei TLS 1.2 starke Cipher zum Einsatz kommen, ist die Kommunikation auf dem Transportweg hinreichend geschützt. Fraglich ist ehr, welchen zusätzlichen Nutzen eine Transportverschlüsselung mit TLS 1.3 bietet, wenn die eigentlichen Nachrichten nicht E2E verschlüsselt sind und damit auf allen beteiligten Mail-Servern im Klartext vorbeikommen. Hier ist maßgeblich wie sensibel die Daten sind. Das Schutzniveau sollte dann entsprechend dem Risiko gewählt werden.
Wenn TLS 1.2 als Transportverschlüsselung im Rahmen der Sicherheit als „nicht ausreichend“ definiert werden muss, so habe ich in der Folge noch ganz andere Baustellen. Das schließt auch ganz grundsätzlich mit ein, ob E-Mail das richtige Medium ist, um diese Daten zu übertragen.
ggf ist auch nur mindestens TLS 1.2 gemeint!
Standard Default Stand heute ist TLS 1.2, wir sind noch lang nicht so weit, dass TLS 1.3 Default ist.
Also IONOS hat das früh genug angekündigt!
Alle meine Kunden wo das noch der Fall war – waren nicht viele – haben eine eindeutige Mail an die Adresse die als Kontakt-Adresse bei IONOS hinterlegt ist erhalten.
Erste Info kam Mitte Februar: Dort wurde klar benannt, welche Postfächer komplett unverschlüsselt senden und welche nur mit SSL oder TLS 1.0/1.1 senden.
Zweite Info kam Ende März, falls man nichts unternommen hat. Hier wurden dann aber keine Details mehr genannt.
Im Prinzip betraf das alte Multifunktionsdrucker, die sich gar nicht mehr auf TLS1.2 updaten lassen. Also im Prinzip wieder voll funktionsfähige Geräte die zu Schrott werden wenn man keine anderen Möglichkeiten hat die Funktion ausfrecht zu erhalten.
Das sind wir wieder bei der Forderung Hardware und Software mindestens 30 Jahre lang mit allen nötigen Updates zu versorgen, so von wegen Nachhaltigkeit, Umweltschutz, Klimaschutz usw.
MPFs, die TLS fürs Drucken benötigen?
Die TLS-Fähigkeit betrifft bei solchen Geräten doch i.d.R. nur deren Webinterface und wann braucht man das schon einmal?
Oder nutzt ihr auch die Mailbenachrichtigung z.B. bei niedrigem Tonerstand, Fehlern o.Ä.?
alle anderen Großen haben das schon lange verpflichtend und man muss seine Logindaten ja nicht überall herumposaunen und ja, ich bin mit meinem alten Mailserver auch betroffen…
für die Fälle in denen der Absender kein TLS spricht oder nicht in der benötigten Version, kann man einen Mailproxy einsetzen. Einer der bisher zuverlässig funktioniert ist z.B. sTunnel, aber es sollte mehr geben
Oh, jetzt schon?
Da ist IONOS ja früh dran.
Bei z.B. Strato, GMX, t-online, etc wurde der unverschlüsselte Zugriff schon vor einigen Jahren deaktiviert!
Es gibt da nur noch TLS 1.2 und 1.3.
Es erschreckt mich schon, das IONOS erst jetzt den unverschlüsselten Zugang und TLS 1.0/1.1 deaktiviert.
Im Übrigen:
Auch Outlook 2010 und 2013 unterstützen TLS 1.2, wenn das Betriebssystem es kann. Bei Windows 7/8/8.1 muß man TLS 1.2 allerdings per Registryeintrag aktivieren.
Und was machen all die IOT devices die nicht die Rechenleistung hätten? und keine Update Möglichkeit, wegen dieses Marketing-Gags?
Ich benutze allerdings einen
Lokalen SMTP Server was aber sicher nicht überall geht. Soll man da Jetzt einen Forwarder hinstellen damit die sinnvollere E2E- Verschlüsselte Nachricht noch Mal verschlüsselt werden kann?
Aber INOS wird froh sein solchen Traffic los zu sein.
und das Marketing froh sein es mal wieder in die Presse gebracht zu haben…
Kleiner Softwaretipp, welcher mir schon bei älteren Windows/Outlook-Versionen in Verbindung mit web.de/GMX-Postfächern geholfen hat: https://www.nartac.com/Products/IISCrypto/Download. Damit können die vom Betriebssystem verwendeten Crypto-Algorithmen per 1-Klick-Lösung auf einen vom Softwareanbieter definierten Standard gebracht werden, wer will kann auch von Hand Änderungen vornehmen.
–> damit werden nur Algorithmen aktiviert/deaktiviert/in der Reihenfolge geändert, die eh im Betriebssystem vorhanden sind – wenn das OS vorher z. B. kein TLS 1.3 konnte, kann es das hinterher immer noch nicht
–> das mag nicht die „beste“ Konfiguration sein, was hier mancher Mitleser vielleicht von Hand konfigurieren würde, funktionierte in der Vergangenheit aber ausreichend gut.
Das jetzt (erst) TLS 1.0/1.1 abgeschaltet wir ok.
Aber wurde bis dato wirklich erlaubt unverschlüsselt die email login Daten an den Mailserver zu übermitteln? Das ist aus heutiger Sicht doch unverantwortliches Internet-Mittelalter. Accounthacking lässt Grüßen….