Forum: PC Hard- und Software TLS Verbindungstest


TLS Verbindungstest
von Krangel (Gast)

Lesenswert? 

Hi,
ich habe mal die TLS Verbindung meines Providers mit 
http://www.checktls.com/index.html getestet, habe aber Probleme das 
Kauderwelsch richtig zu verstehen.

1
Below are the details from your CheckTLS TestSender test

2
from <testmehl@online.de> via [212.227.126.187]

3
run on 2013-07-25 10:51:11 EDT.

4
Original email Subject: cxch2u2gywdkd

5
6
Your email was successfully sent securely using TLS.

7
8
A transcript of the eMail SMTP session is below:

9
--> this would be a line from your email system to our test

10
<-- and this would be a line to your email system from our test

11
12
If TLS was negotiated, a line is added:

13
====tls negotiation successful (cypher: cyphername, client cert: certinfo)

14
15
Everything after that line is secure (encrypted), as indicated by:

16
~~> commands from your system then have wiggly lines

17
<~~ and responses from our system do too

18
19
Any errors that the test noticed are noted in the log by asterisk boxes:

20
***************************************

21
*** ********** Error Note ********* ***

22
***                                 ***

23
*** The error message would be here ***

24
***************************************

25
***************************************

26
27
___TRANSCRIPT BEGINS ON THE NEXT LINE___

28
<-- 220 ts3.checktls.com CheckTLS TestSender Thu, 25 Jul 2013 10:51:09 -0400

29
--> EHLO moutng.kundenserver.de

30
<-- 250-ts3.checktls.com Hello moutng.kundenserver.de [212.227.126.187], pleased to meet you

31
<-- 250-ENHANCEDSTATUSCODES

32
<-- 250-8BITMIME

33
<-- 250-STARTTLS

34
<-- 250 HELP

35
--> STARTTLS

36
<-- 220 Ready to start TLS

37
====tls negotiation successful (cypher: RC4-SHA, client cert: Subject Name: undefined;Issuer  Name: undefined;)

38
~~> EHLO moutng.kundenserver.de

39
<~~ 250-ts3.checktls.com Hello moutng.kundenserver.de [212.227.126.187], pleased to meet you

40
<~~ 250-ENHANCEDSTATUSCODES

41
<~~ 250-8BITMIME

42
<~~ 250 HELP

43
~~> MAIL FROM:<testmehl@online.de>

44
<~~ 250 Ok - mail from testmehl@online.de

45
~~> RCPT TO:<test@TestSender.CheckTLS.com>

46
<~~ 250 Ok - recipient test@TestSender.CheckTLS.com

47
~~> DATA

48
<~~ 354 Send data.  End with CRLF.CRLF

49
~~> Received: from [192.168.178.23] (port-92-206-5-181.dynamic.qsc.de [92.206.5.181])

50
~~>   by mrelayeu.kundenserver.de (node=mreu2) with ESMTP (Nemesis)

51
~~>   id 0M3fOP-1UBVBE1mjZ-00r0b2; Thu, 25 Jul 2013 16:51:09 +0200

52
~~> Message-ID: <51F13B56.8030407@online.de>

53
~~> Date: Thu, 25 Jul 2013 16:51:02 +0200

54
~~> From: XXXXXX XXX <testmehl@online.de>

55
~~> User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20130620 Thunderbird/17.0.7

56
~~> MIME-Version: 1.0

57
~~> To: test@TestSender.CheckTLS.com

58
~~> Subject: cxch2u2gywdkd

59
~~> X-Enigmail-Version: 1.5.2

60
~~> Content-Type: text/plain; charset=ISO-2022-JP

61
~~> Content-Transfer-Encoding: 7bit

62
~~> X-Provags-ID: V02:K0:RLXCQAV0+mb50Gm4rIA94Q26MX6KSh5Kt5MsfJGKuIG

63
~~>  6AZ8AXYZAJ/GokK+LU3fNMzb8SjMezM3fOnVOSVHXR4dHsDPkx

64
~~>  2Wlc33C6QatIKYL/1BFBMYFrLtnZS9G+enpy4J7ZwmsqrVf1k5

65
~~>  wvGQCY2q/Q5sB371o1XBRW8rEINqkBkDxhJbjV3na4VZFkXaLq

66
~~>  FQEjq5wt/+E9NEoXgcUPRu+Ea1/0QFWR8QjrCBCqX6pTUjOfiO

67
~~>  HaEQC+P8J3ah3pYoN1FB9UC7x739nQerpcrCjPBi2h6SKT0zRk

68
~~>  io9ohXCsBAsNhUuW27n/+Cfd1L4HRgKKE6+NRZZyFd1gi18F/Z

69
~~>  n6I3faMjyv8doJ34MEsc=

70
~~> 

71
~~> Thank you for using CheckTLS.com!

72
~~> .

73
<~~ 250 Ok

74
~~> QUIT

75
<~~ 221 ts3.checktls.com closing connection


Es geht um die Zeile "====tls negotiation successful (cypher: RC4-SHA, 
client cert: Subject Name: undefined;Issuer  Name: undefined;)"

Wenn ich das richtig verstehe gab es keine Zertifikation und somit wäre 
die Verbindung durch Man-in-the-middle angeifbar. Oder sehe ich da was 
falsch?
Grüße

  


  




  

    Beitrag melden Bearbeiten Thread verschieben Thread sperren Anmeldepflicht aktivieren Anpinnen Thread löschen Thread mit anderem zusammenführen Markierten Text zitieren Antwort Antwort mit Zitat
  







      

      



  

    Re: TLS Verbindungstest
  


  

    

      von
      
        Udo N.
        (weinbauer73)
        
      
      


      
    


    

      
    

    

    

  
  


  

  Lesenswert?
  

  
  
    
  

    
  		
  

  


  

      
Die zwei Felder des Zertifikates sind einfach nicht ausgefüllt oder 
werden nicht erkannt. Eigentlich sollte da u.a. der Hostname und 
Herausgeber zu finden sein. Mein Mailserver enthält ein dreistufiges 
Zertifikat und wird korrekt beim Test angezeigt. Nur am Hostname stört 
sich der Test, ist aber die gleiche Kiste.

  


  




  

    Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
  







      

      



  

    Re: TLS Verbindungstest
  


  

    

      von
      
        Malte S.
        (maltest)
        
      
      


      
    


    

      
    

    

    

  
  


  

  Lesenswert?
  

  
  
    
  

    
  		
  

  


  

      
Krangel schrieb:
> tls negotiation successful (cypher: RC4-SHA, client cert: Subject Name:
> undefined;Issuer  Name: undefined;)

Das heißt, 1&1 versendet zwar unter Verwendung von TLS, identifiziert 
sich aber nicht mit Client-Zertifikat. Dürfte üblich sein, 
verschlechtert die ohnehin nicht vorhandene Absenderverifizierung auch 
nicht. Der empfangende Server weiß halt dann nicht, ob da wer dazwischen 
sitzt.
Andererseits: je nach dem, wen du als MITM ausschließen 
willst...manchmal haben die ja auch gültig erscheinende Zertifikate...

RC4-SHA ist natürlich auch nicht das Gelbe vom Ei. Mein lokaler 
Eingangsserver handlet beim Receiver Test von checktls.com 
DHE-RSA-AES256-SHA aus. Der Ausgangsserver meines Providers dagegen 
sendet komplett ohne TLS.
Es ist noch ein weiter Weg^^

  


  




  

    Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
  







      

      



  

    Re: TLS Verbindungstest
  


  

    

      von
      
        Malte S.
        (maltest)
        
      
      


      
    


    

      
    

    

    

  
  


  

  Lesenswert?
  

  
  
    
  

    
  		
  

  


  

      
Udo Neist schrieb:
> Die zwei Felder des Zertifikates sind einfach nicht ausgefüllt oder
> werden nicht erkannt. Eigentlich sollte da u.a. der Hostname und
> Herausgeber zu finden sein.

Richtig. Aber mit Subject: undefined wird das schonmal nichts. Es liegt 
einfach gar kein (Client)-Zertifikat vor.

  


  




  

    Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
  







      

      



  

    Re: TLS Verbindungstest
  


  

    

      von
      
        Krangel (Gast)
      
      


      
    


    

      
    

    

    

  
  


  

  Lesenswert?
  

  
  
    
  

    
  		
  

  


  

      
Hi,

Malte S. schrieb:
> Der Ausgangsserver meines Providers dagegen
> sendet komplett ohne TLS.

darf man fragen welchen Provider du hast?

Wir sollten hier eine Liste der Provider mit ihren Verschlüsselungen 
machen.

1. 1&1 : TLS-->Ja      Zertifikat-->Nein


Grüße

  


  




  

    Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
  







      

      



  

    Re: TLS Verbindungstest
  


  

    

      von
      
        Malte S.
        (maltest)
        
      
      


      
    


    

      
    

    

    

  
  


  

  Lesenswert?
  

  
  
    
  

    
  		
  

  


  

      
Krangel schrieb:
> 1. 1&1 : TLS-->Ja      Zertifikat-->Nein
2. Versatel : TLS-->Nein ---

  


  




  

    Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
  







      

      



  

    Re: TLS Verbindungstest
  


  

    

      von
      
        Läubi ..
        (laeubi)
        
      
      Benutzerseite


      
    


    

      
    

    

    

  
  


  

  Lesenswert?
  

  
  
    
  

    
  		
  

  


  

      
Malte S. schrieb:
> 2. Versatel : TLS-->Nein ---
3. domain*go TLS (AES256-SHA), Client-Zertifikat Nein

Ein Clientzertifikat macht in diesem Szenario auch nicht so wahnsinnig 
viel Sinn, es sei denn man möchte nur von bestimmten vertrauten Servern 
Mails empfangen/senden, da idr man aber eher von vielen unbekannten 
Servern Mails ausgetauscht wird würde das den Mailaustausch schon arg 
behindern. Da der Mailserver eh nur "Transportknecht" ist, wäre PGP hier 
zielführender, dann könnte man nur von vertrauten Absendern Mails 
annehmen, über welche Server die ging wäre dann unerheblich.

  


  




  

    Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
  








    

    

       Thread beobachten

      |
         Seitenaufteilung abschalten

    

        


Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.



  Bestehender Account

  


  
  

  
    

      

        
          
        
        
          
        
      

      

        
          
        
        
          
        
      

    


    
    
    





  Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!

  Mit Google-Account einloggen
  





  Noch kein Account? Hier anmelden.