Welche praktischen(!) Vorteile hat STARTTLS gegenüber implizitem TLS, konkret bei SMTP?

Wenn man in den einschlägigen Texten (z.B. RFC 8314) zwischen den Zeilen liest, kann man leicht das Gefühl bekommen, daß die Frage "STARTTLS oder eigener Port?" nicht nur eine praktische, sondern auch eine philosophisch-politische ist. Das passiert bei eigentlich rein technischen Themen ja gern mal...

Ich sehe vor allem zwei Argumente für STARTTLS:

Erstens, daß man nicht zwei Portnummern für einen Dienst verbrauchen sollte. Grundsätzlich vernünftig, auch wenn uns Ports vermutlich nicht so bald ausgehen werden wie IPv4-Adressen, und gerade bei SMTP TLS da ja nun das kleinste Problem ist. (25? 26?<sic!> 587? 2525?)

Und zweitens, daß Verschlüsselung Standard sein sollte und deshalb ein zweiter Port für verschlüsselte Verbindungen ein falsches Signal ist. Aber das war ja nur der Übergangszeit ein sinnvolles Argument. Oder weiß überhaupt noch jemand die unverschlüsselten Ports für POP3 und IMAP auswendig? 995 und 993 fallen einem doch inzwischen als erstes ein.

Gegen STARTTLS und für implizites TLS sprechen dagegen praktische Gründe:

Zum einen ist es einfacher zu implementieren und einfacher ist in der Regel auch sicherer.

Und zum anderen kann man bei einer Verbindung auf Port 465 sicher sein, daß sie auch wirklich verschlüsselt ist. Hat man dagegen Pech und Client und Server sind schlampig programmiert/konfiguriert, könnte es einem auf Port 25 oder 587 dagegen passieren, daß aus irgendwelchen Gründen nicht auf eine verschlüsselte Verbindung umgeschaltet wird und Paßwort und Mail unverschlüsselt über die Leitung gehen.

So gesehen sollte die Entscheidung für implizites TLS also ein No-Brainer sein, trotzdem scheint es darüber jahrelange Diskussionen gegeben zu haben.

Was übersehe ich?

1 Antwort

KarlRanseierIII

13.02.2025, 15:45

Wirklich verfügbar sind ja eigentlich nur die Ports unter 1024, alle anderen können frei gebunden werden.

Einen weiteren well-known Port für SMTP zu etablieren würde ggf. einfach Zeit benötigen. Ein Transitionsmechanismus war daaher wohl einfach notwendig und naheliegend

587 ist reiner Versandport.

STARTTLS hat halt den Vorteil der Aushandlung (man einigt sich erst daarauf zu Verschlüsseln) was auch die größte Schwäche in Hinblick auf eine MITM ist.

Ich denke das Hauptproblem ist, daß man den Aufwand einer vollständigen Transition zu einem neuen impliziten Port ein Stück weit scheut, weil das halt sehr viele RFCs etc. betrifft. Erst deprecate, dann obsolete - mit entsprechend langen Übergangszeiten.

Du müßtest dann erstmal einen Mechanismus etablieren, mit desssne Hilfe der sendende MTA in Erfahrugn bringt, daß er den verschlüsselten Port nutzen oder bevorzuigen soll.

Ähnliche Beiträge

Scan to E-Mail mit GMX?

Hallo,

habe einen HP Laserjet Color MFP 478fdw Drucker. Möchte Scan to E-Mail einrichten.

Ich komme auf die Weboberfläche und habe mit Gmail und Freenet eien erfolgreiche Verbindung hergestellt, aber mit GMX will es einfach nicht klappen.

Folgende Daten:

Mail-Adresse: ***@gmx.de

Anzeigename: beliebig

SMTP-Server: mail.gmx.net

SMTP Port: 587

SSL/TLS verwenden aktiv

SMTP Authentifizierung aktiv

SMTP Benutzername: ***@gmx.de

SMTP-Kennwort: *****

Port 465 und 25 ohne SSL/TLS auch probiert, ohne Erfolg. In den GMX Einstellungen ist auhc POP3/IMAP aktiv.

...zum Beitrag

Warum wird der SMTP-Port 25 von vielen Internetzugängen geblockt?

Anscheinend soll das ja gegen den Spamversand helfen, aber warum?

Wenn ich das richtig verstehe, wird Port 25 normalerweise für SMTP-Relay genutzt und Port 587 für die Mailübertragung von Client an Mailserver.
Warum wird Port 587 dann nicht geblockt? Hat das damit zu tun, dass der Port SSL/TLS unterstützt?

...zum Beitrag

C#: Wie kann ich die SMTP-Verschlüsselungsmethode integrieren?

Hallo,

ich versuche über mein Programm, eine E-Mail zu versenden. Ich bekomme aber immer folgenden Fehler:

"Verarbeitungsfehler. Die Serverantwort war: 5.7.3 STARTTLS is required to send mail [AS9PR06CA0219.eurprd06.prod.outlook.com]"

Es wird also die SMTP-Verschlüsselungsmethode benötigt.
Leider weiß ich nicht, wie ich die mit übergeben kann. Hat da jemand eine Idee?

Hier der relevante Code:

  MailMessage Email = new MailMessage();
  
  // Absender konfigurieren
  Email.From = new MailAddress(absender);
  
  // Empfänger konfigurieren
  Email.To.Add(EMail);
  
  // Betreff einrichten
  Email.Subject = betreff;
  
  // Hinzufügen der eigentlichen Nachricht
  Email.Body = nachricht;
  
  // Ausgangsserver initialisieren
  SmtpClient MailClient = new SmtpClient(server, port);
  
  if (user.Length > 0 && user != string.Empty)
  {
    // Login konfigurieren
    MailClient.Credentials = new System.Net.NetworkCredential(user, passwort);
  }
  
  // Email absenden
  MailClient.Send(Email);
}

Über eine hilfreiche Antwort, wäre ich sehr dankbar. :)

...zum Beitrag

ich habe die Meldung "keinen Verbindung zu Postausgangsserver SMTP" (Fehler 0x80042109)?

ich arbeite seit Jahren mit OUTLOOCK. Was gerade jetzt geschehen ist, weiss ich nicht. es gab keinen bewusste Manipulation.

allerdings habe ich einen neuen TELKOM_ROUTER installiert. kann das einen Ainfluss haben? IST-Daten soweit relevant

port 587
Häkchen an "der postausgangsserver erfordert Authentifizierung
häckchen "Einstellung wie Posteingang. . ."
INTERNET io (wie man an dieem Kontakt mit "gute-frage" sieht
Eingehende Post erhalte ich problemlos

danke für Tipps

...zum Beitrag

Filezilla fehler Verzeichnisinhalt konnte nicht empfangen werden?

Ich habe ihn vielen Forum gelesen aber keine Lösung gefunden die geklappt hat hier ist der Log freue mich über Hilfe

Status: Verbinde mit 134.255.240.145:21...

Status: Verbindung hergestellt, warte auf Willkommensnachricht...

Status: Unsicherer Server; er unterstützt kein FTP über TLS.

Status: Angemeldet

Status: Empfange Verzeichnisinhalt...

Befehl: PWD

Antwort: 257 "/" is the current directory

Befehl: TYPE I

Antwort: 200 Type set to I

Befehl: PORT 192,168,2,102,204,77

Antwort: 200 PORT command successful

Befehl: MLSD

Fehler: Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität

Fehler: Verzeichnisinhalt konnte nicht empfangen werden

...zum Beitrag

E-Mails werden nicht mehr versendet?

Ich kann von jetzt auf gleich, keine E-Mails mehr versenden. E-Mails bekomme ich aber.

Kann mir jemand helfen?

Das ist die Fehlermeldung, die ich bekomme.

Ein unbekannter Fehler ist aufgetreten.

Betreff 'Kündigung Wohnung Roth / Scholz'

Server: 'mail.gmx.net'

Windows Live Mail-Fehlernummer: 0x800CCC0B

Protokoll: SMTP

Port: 587

Secure (SSL): Ja

...zum Beitrag

web.de - Senden über SMTP-Port 587 geht nicht!

Hallo, vielleicht kann mir jemand hierbei helfen. Ich versende meine E-Mails vom Smartphone/web.de-App über den SMTP-Port 25. Das klappt problemlos. Allerdings stellte web.de ja auf SSL-Verschlüsselung um, beim Posteingang kein Problem. Beim Senden geht es nicht, weiss nicht was ich noch machen soll, web.de-Support kann man wie immer vergessen. Wenn ich auf 587 umstelle: Fehleranzeige, egal ob mit ohne Häkchen bei der Verschlüsselung, auch nicht nach mehrmaligem Neustart. Nehme ich Port 25, geht es wie gesagt unverschlüsselt. Ist bestimmt bald nicht mehr möglich, web.de schickt mehrmals täglich Systemwarnungen. Wo liegt der Fehler, was kann ich noch machen? Danke für weiterhelfende Antworten!

...zum Beitrag

Wie finde ich meine ownCloud Serveradresse für den Client heraus?

Ich habe den ownCloud Client installiert. Es wird am Ende nach meiner ownCloud Server URL gefragt. Online habe ich schon herausgefunden, dass die https://[Server]/owncloud lauten muss. Für Server habe ich jetzt schon probiert IPv6-Adresse und meine IPv4-Adresse einzugeben, doch beides funktioniert nicht. Ich bekomme als Fehlermeldung bei der IPv6-Adresse "Host https konnte nicht gefunden werden" und bei der IPv4-Adresse erscheint ein Pop up "Verbindung fehlgeschlagen" und ich kann wählen aus "Andere URL wählen" "Unverschlüsselt über HTTP versuchen" oder "Clientseitiges TLS-Zertifikat konfigurieren."

Bei "Unverschlüsselt über HTTP versuchen" kommt der Fehler "Verbindung verweigert könnte nicht hergestellt werden" und bei "Clientseitiges TLS-Zertifikat konfigurieren." wird nach einem Zertifikat Schlüssel und Kennwort für ein SSL-Client Zertifikat gefragt, was ich alles leider nicht habe..

Kennt sich einer mit der ownCloud Client Installation aus und kann mir weiterhelfen?

...zum Beitrag

Nginx reverse proxy als tls layer?

hallo kurze frage (ja oder nein) wenn ich eine NGINX reverse Proxy laufen lasse die via Certbot TLS nutzt (also NGINX hat https) und die reverse proxys im hintergrund kein https/self signed (nicht alle) ist die verbindung dann über NGINX dann trotzdem verschlüsselt?

Eigentlich ja oder? weil die daten werden zwar unverschlüsselt empfangen aber dann ja wieder von NGINX verschlüsselt und weitergeleitet.

...zum Beitrag

Wie erreiche ich meine myFritz Adresse mit meiner Domain?

Hallo Leute,

ich bin gerade am knobeln, wie ich meine https://xxxxxxxxx.myfritz.de:92834 über meine Domain erreiche.

Bis jetzt habe ich es geschafft, über einen CNAME eine Verbindung aufzubauen, jedoch unverschlüsselt, warum auch immer.

Ich habe dann herausgefunden, dass ich ggf. einen andern Record brauche, wie HTTPS oder URL.

Jedoch weiß ich beim HTTPS Record nicht den Wert (parameter), den ich übgergeben muss und beim Record URL weiß ich nicht, welche Prioriät (0-255) benötigt wird.

https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#alpn-protocol-ids

HTTPS Recrod - Screenshot

URL Record - Screenshot

Ich habe leider in der Schule wenig DNS behandelt, und bin daher hier an einer scheinbar leichten Aufgabe am Straucheln

...zum Beitrag

FTPS Verbindung bricht immer ab?

Hoste im local ein FTP Server mit TLS, ich schaff es aber leider nicht auf diesen zu zugreifen. Ich habe Port 21 sowohl im Router als auch in der Firewall freigegeben.

...zum Beitrag

Visual Basic | Problem mit smtpserver.Send(email)

Hallo, ich hätte da eine Frage bezüglich Visual Basic 2010.

Ich habe ein Programm erstellt, welches mir eine Email zusenden sollte. Als Fehlercode kommt jedoch: Für den SMTP-Server ist eine sichere Verbindung erforderlich, oder der Client wurde nicht authentifiziert. Die Serverantwort war: Must issue a STARTTLS command first

Unten im Anhang findet ihr ein Bild mit meiner Codierung und dem Fehlercode. Ich hoffe jemand kann mir helfen, ich bekomme einfach keine Email.

Das Bild: http://fs1.directupload.net/images/150322/6oje4rvz.png

Würde mich über einen Ratschlag freuen. Viele Grüße.

...zum Beitrag

SSL auf Raspberry Pi für Nextcloud in Docker Container?

Ich habe auf meinem Raspberry Pi 4 Casa OS installiert. Darin läuft unter anderem eine NextCloud-Instanz.

Von Aussen (aka Internet) kann ich über domain.de:5011 zugreifen. Der Router leitet den Port zu meinem Raspberry Pi auf den Port von der NextCloud weiter. Das Problem ist, dass die Verbindung noch unverschlüsselt ist.

Ich habe bereits auf x verschiedene Wege versucht SSL über den Nginx Proxy Manager einzurichten. Das einzige, das mir (irgendwie) gelungen ist, ist ein Zertifikat zu erstellen. Aber das höchste aller Gefühle war dann immer eine Bad-Gateway-Fehlermeldung.

Weiss jemand, wie ich eine verschlüsselte Verbindung entsprechend einrichten kann bei meinem Setup:

"domain.de:5011". Von Aussen habe ich diesen Port im Router zur Verfügung.
Nextcloud ist in einem Docker Container installiert (Port 10081)
Nginx Proxy Manager in einem Docker Container hört auf dem Port 80 und 443 zu (Admin Panel auf Port 81)

Vielleicht noch als Nebeninformation. Im gleichen Netzwerk laufen auch Synology-Services, die jedoch verschlüsselt arbeiten und ebenfalls über 5000-er Ports von aussen erreichbar sind. (In den Tutorials, die ich gefunden habe, wurde die SSL-Einrichtung im Nginx Proxy Manager nie über Ports ermöglicht. Erschweren diese Ports das Ganze?)

Ich verstehe wirklich nicht, wie ich das am besten einrichten soll. Kann man den Raspberry Pi "allgemein" verschlüsselt kommunizieren lassen (soll heissen, dass auch der Traffic im lokalen Netz bereits verschlüsselt ist. Das ist bei den Synology-Services so.) oder geht es einfacher, wenn nur der Traffic nach aussen verschlüsselt ist?

Vielen Dank im Voraus :) Ich bin wirklich langsam überfragt...

...zum Beitrag

HTTPS / SSL Verbindung mit angehängter Portangabe?

Hallo,

Ich habe einen Server aufgesetzt und einen dienst darauf laufen. Der dienst wird über einen port aufgerufen. Da der server sich im Internet befindet, habe ich fur die domain ein SSL Zertifikat erstellt. Wenn die domain aufgerufen wird, bestehtauch eine verschlüsselte Verbindung (HTTPS). Wenn ich nun den port an die adresse anhänge, kann die seite nicht aufgerufen werden. Als ungesicherte Seite (HTTP) funktioniert alles.

Wie bekomme ich eine verschlüsselte Verbindung in kombination mit der Portangabe?

https://beispiel@domain.de (funktioniert komme aber nur auf die Apache Seite)

https://beispiel@domain.de:1234 (funktioniert nicht)

http://beispiel@domain.de:1234 (funktioniert)

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen