mailbox.
iai.uni-bonn.de
Institut für Angewandte Informatik
Rheinische Friedrich-Wilhelms-Universität Bonn
Systemgruppe Angewandte Informatik

SMTP Authentication and Encryption

Die folgenden beiden Erweiterungen unseres SMTP servers postfix.iai.uni-bonn.de dienen zum einen der gesicherten Datenverbindung zwischen Ihrem mailclient und dem SMTP server und zum anderen der notwendigen Autorisierung nach Authentifizierung. Unter den unten stehenden Voraussetzungen ist es u.a. nun laptops möglich, innerhalb und ausserhalb des Instituts die gleiche Konfiguration bzgl. Mail zu verwenden.
Adressen der Informatik und B-IT sind auch von extern nur über unserer server und diese Methode zu versenden. (Sender Policy Frameworks)

Die beiden Erweiterungen:

RFC2554 mit SASL:

Dieser schon von unserem IMAP / POP server bekannte Authentifizierungsstandard erlaubt es Ihnen, sich mit Ihrer zentralen UNIX Kennung dem SMTP server gegenüber zu identifizieren.

SASL bietet mehrere Methoden zur Authentifizierung, die für Sie transparent in Abhängigkeit Ihres mailclients zur Anwendung gelangen.

Da diese ungesicherte Passwortübertragung durch das Netzsicherheitskonzept des Instituts nicht gestattet wäre, sind die nachfolgend beschriebenen TLS/SSL Verschlüsselungen hierfür eine Voraussetzung. Die SASL Authentifizierung wird somit nur im Zusammenhang mit TLS / SSL angeboten!

TLS/SSL:

Hierbei handelt es sich eigentlich um zwei sich ausschliessende Methoden, die beide SSL zur Verschlüsselung einer Verbindung verwenden. Die Daten werden dabei zwischen Ihrem mailclient und dem SMTP server vor fremden Augen und Manipulationen durch Dritte geschützt. Es gilt zu beachten, dass dieser Schutz erst einmal lediglich zwischen Ihrem client und dem server besteht. An Mailserver, die nicht durch die Systemgruppe Angewandte Informatik betreut werden, können und werden die Daten in aller Regel ungeschützt weitergeleitet! Zu bedenken ist, dass jede Mail unser Institut ohne Ihr Wissen (als Sender) verlassen kann! Wenn Sie bislang zum Schutz Ihrer Nachrichten z.B. PGP eingesetzt haben, so ist dies auch in Zukunft angeraten, zumal dies einen bedingt höheren Schutz herstellt als die reine Sicherung der Übertragung.
  • TLSSTART
    Durch Senden von TLSSTART aktiviert der Klient die SSL Verschlüsselung
  • SSLWRAP
    Bereits zum Verbindungsaufbau ist die Verbindung mit SSL verschlüsselt

Konfiguration:

Leider ist der Standard in diesem Bereich nicht durchgängig und alleine schon historisch bedingt in zwei Bahnen gelenkt worden. Netscape und Outlook gehen verschiedene Wege bzgl. Verschlüsselung. Während sich das aktuelle Netscape und Outlook 2002 in diesem Punkte auch an dem aktuell vorgesehenen Verfahren TLSSTART orientieren, setzen die bisherigen Outlook Versionen auf allen ports ungleich 25 auf den veralteten SSL(WRAPPER) Mechanismus.

Um Ihren Bedürfnissen in diesem Punkte weitestgehend entgegen zu kommen, bieten wir Ihnen zwei Möglichkeiten per ESMTP zum Mailversand an:

  • port 587 (submission) mit Verschlüsselung über TLSSTART sowie AUTH mit SASL (Netscape, > Outlook 2002)
  • port 465 (ehemals smtps) mit Verschlüsselung über SSLWRAPPER sowie AUTH mit SASL (ältere Outlook)
Die Einzelschritte sind in den Konfigurationshinweisen der email clients aufgeführt.

Alternativen:

Per webmail.iai.uni-bonn.de versendete Mails, sind über die TLS Verschlüsselung der HTTPS Verbindung gleichsam geschützt.

Sofern notwendig, ist die Einrichtung eines Versandes von einem lokalen System mittels Zertifikat möglich.


 zurück