Ich weiß ja nicht was für profis bei Ihnen in der Firma arbeiten, aber nur als info SSLv2 ist ganz leich veraltet und komplett nutzlos.
Dass betrift genauso SSLv3.
Ganz nebenbei SSLv3 ist aus dem Jahre (1996) SSLv2 ist noch älter, bei beiden wurden verfahren entwikelt um die Verschlüsselung zu umgehen.
Ciphers bitte auch nur aktulle(High grade encryption) benutzen alles, andere ist komplet sinnlos und gegen den Nutzen von Verschlüsselung.
Mit den momentanen einstellung ist jeder Ihrer Bussness und Private Kunden in gefahr!
Es können E-Mail mitgelesen werden, manipuliert und sogar die Zugangsdaten abgefangen werden!
Mit freundlichen Grüßen
Norbert Summer
PS. FIX YOUR STUFF, IT'S BROCKEN
Probleme von bimap.a1.net:
SSLv2 offered (NOT ok) -- 6 ciphersSSLv3 offered (NOT ok)Low (
Seite 1 / 2
Benutzerebene 7
+8
Willst du damit sagen, du hast ohne ausdrückliches Einverständnis des Servereigners einen Pen-Test durchgeführt, Sicherheitslücken entdeckt, und weisst auch noch in einem User-für-User Forum darauf hin?
Ist jetzt auch nicht grad die elegante vorgehensweise eines EH.
PS: it`s B R O K E N,
Nicht falsch verstehen, bin auch schwer dafür, Systeme entsprechend abzusichern.
Bei Servern dieser Dimension ist es leider manchmal schwer, stichwort Kompabilität...
Nicht so einfach, wenn man bis Outlook Express zurück alles noch unterstützen soll.
Auch hätte ich einen anderen Kanal dafür gewählt, dies A1 mitzuteilen.
Ist jetzt auch nicht grad die elegante vorgehensweise eines EH.
PS: it`s B R O K E N,
Nicht falsch verstehen, bin auch schwer dafür, Systeme entsprechend abzusichern.
Bei Servern dieser Dimension ist es leider manchmal schwer, stichwort Kompabilität...
Nicht so einfach, wenn man bis Outlook Express zurück alles noch unterstützen soll.
Auch hätte ich einen anderen Kanal dafür gewählt, dies A1 mitzuteilen.
Es ist nicht wirklich ein Penntest. Ich wollte nur wissen wie die Chiphers eingestellet sind da ich auf meinen server ein Fetchmail eingestellt habe. War sogar verwundert dass mitlerweile SSL/TLS unterstüzt ist. War damals als die "@aon.at" Addresse angelegt wurde noch nicht der Fall.
Es sind sogar public Informationen die bei jedem Verbindungsaufbau gesendet werden.
Zur kompatibilität: Es nützt nichts wenn ich ein altes Programm unterstütze in dem ich alle Programme unsicher mache. Es ist gegen den Nutzen von Verschlüsselung. Ich verstehe schon dass es sehr schwierig ist mit allem kompatibel zu sein. Aber wer heutzutage noch XP benutz ist meiner Meinung nach selber schuld, wenn dort etwas nicht mehr geht.
Wenn Sie mir eine E-Mail-Adresse für sicherheitsrelevante Informationen geben, werde ich diese in Zukunft verwenden, ich konnte aber keine finden. Da ich dass Kontakt Formular nicht austehen kann habe ich den public Weg gewählt, besonders darum, dass dieses Problem behoben wird.
Ich werde aber nächstes mal einen anderen Weg wählen.
Danke auf die schnelle Antwort.
Es sind sogar public Informationen die bei jedem Verbindungsaufbau gesendet werden.
Zur kompatibilität: Es nützt nichts wenn ich ein altes Programm unterstütze in dem ich alle Programme unsicher mache. Es ist gegen den Nutzen von Verschlüsselung. Ich verstehe schon dass es sehr schwierig ist mit allem kompatibel zu sein. Aber wer heutzutage noch XP benutz ist meiner Meinung nach selber schuld, wenn dort etwas nicht mehr geht.
Wenn Sie mir eine E-Mail-Adresse für sicherheitsrelevante Informationen geben, werde ich diese in Zukunft verwenden, ich konnte aber keine finden. Da ich dass Kontakt Formular nicht austehen kann habe ich den public Weg gewählt, besonders darum, dass dieses Problem behoben wird.
Ich werde aber nächstes mal einen anderen Weg wählen.
Danke auf die schnelle Antwort.
tuxcoder schrieb: Zur kompatibilität: Es nützt nichts wenn ich ein altes Programm unterstütze in dem ich alle Programme unsicher mache. Es ist gegen den Nutzen von Verschlüsselung. Ich verstehe schon dass es sehr schwierig ist mit allem kompatibel zu sein. Aber wer heutzutage noch XP benutz ist meiner Meinung nach selber schuld, wenn dort etwas nicht mehr geht.Ich bin zwar deiner Meinung, aber verhindern kann man das nicht. Es gibt auch noch genügend Leute die IE 6 verwenden und Mail Programme aus dem Jahre Schnee.
Leider kann man die nicht sperren, den der Aufschrei der unwissenden Menge wäre zu groß, meistens sitzt der Unsicherheitsfaktor zwischen Lehne und Tastatur ;)
Dann halt log-files parsen und allen die noch alte Krypto verwenden E-Mail schreiben, dass die mal updaten sollen (am besten mit Beschreibung auf irgendwas Kostenpflichtiges wo Sie Support haben) und so 2-3 Monate später abdrehen. Problem Solved.
Geht bei apache, dovecot,....
Geht bei apache, dovecot,....
Benutzerebene 7
+8
Beitrag mit den Nutzungsbedingungen in Einklang gebracht.
Nur ist die Linux Gemeinde eher Updatewillig, weil Technisch affin... diese erkennen den Bedarf dafür.
>>Zur kompatibilität: Es nützt nichts wenn ich ein altes Programm unterstütze in dem ich alle Programme >>unsicher mache.
Nützen tut´s nicht, aber wenn man es nicht tut, schadet es... so oder so, nennt sich halt risk-management.
Aber Heinz Hinterstoder will seine Mails abrufen, .. dem ist das egal ob das nun sicher und verschlüsselt ist, und der sieht auch nicht ein, warum er jetzt ein neues Gerät dafür anschaffen soll.
Die, die heute noch Win XP zu Hause haben, mit IE6 surfen, und mails mit Outlook Express abholen... die werden das auch in 10 Jahren noch machen, weil "bevor des Kastl ned vom Blitz daschlogn wird, kummt ka neichs"
Heinz Hinterstoder gehört zwar zu einer Minderheit, aber einer Minderheit mit nicht zu verachtender Größe.
Der schmale Grat zwischen Sicherheit und Bequemlichkeit in der IT dürfte dir bekannt sein.
Und auch wenn gutes Personal rar ist, denke ich, sind die A1 Mailserveradmins nicht hinterm Mond auf Dauerurlaub, und sich der Tatsache schon bewusst...
PS: Das abklopfen von Sicherheitsmechanismen wäre äquivalent zu einem Portscan, der rein rechtlich betrachtet Ärger bringt. Im wesentlichen, geht es sogar tiefer. klar, Mailclients wie Thunderbird machen nichts anderes, von daher geht das im Rauschen der Logfiles unter, ... aber rein rechtlich....
Nur ist die Linux Gemeinde eher Updatewillig, weil Technisch affin... diese erkennen den Bedarf dafür.
>>Zur kompatibilität: Es nützt nichts wenn ich ein altes Programm unterstütze in dem ich alle Programme >>unsicher mache.
Nützen tut´s nicht, aber wenn man es nicht tut, schadet es... so oder so, nennt sich halt risk-management.
Aber Heinz Hinterstoder will seine Mails abrufen, .. dem ist das egal ob das nun sicher und verschlüsselt ist, und der sieht auch nicht ein, warum er jetzt ein neues Gerät dafür anschaffen soll.
Die, die heute noch Win XP zu Hause haben, mit IE6 surfen, und mails mit Outlook Express abholen... die werden das auch in 10 Jahren noch machen, weil "bevor des Kastl ned vom Blitz daschlogn wird, kummt ka neichs"
Heinz Hinterstoder gehört zwar zu einer Minderheit, aber einer Minderheit mit nicht zu verachtender Größe.
Der schmale Grat zwischen Sicherheit und Bequemlichkeit in der IT dürfte dir bekannt sein.
Und auch wenn gutes Personal rar ist, denke ich, sind die A1 Mailserveradmins nicht hinterm Mond auf Dauerurlaub, und sich der Tatsache schon bewusst...
PS: Das abklopfen von Sicherheitsmechanismen wäre äquivalent zu einem Portscan, der rein rechtlich betrachtet Ärger bringt. Im wesentlichen, geht es sogar tiefer. klar, Mailclients wie Thunderbird machen nichts anderes, von daher geht das im Rauschen der Logfiles unter, ... aber rein rechtlich....
Ich bin bei diesem Thread gelandet, weil ich auch die Vorgangsweise von A1 bzgl. Email-Server sehr problematisch finde.
Beim "alten" Email-Server email.aon.at hat es noch STARTTLS als Verschlüsselung gegeben. Beim neuen smpt.a1.net gibt es das nicht mehr (laut Auskunft des Call-Center). Ich versteh's nicht wirklich!
Warum soll ich mein Passwort im Klartext über's Internet schicken?
Damit es jede Hacker_in ohne Probleme abgreifen kann?!
Zum Thema Unterstützung von Uralt-Windows-Kisten ein Lösungsvorschlag:
* Ein Email-Server uralt.a1.net, ohne Verschlüsselung
* Ein zweiter Server sicher.a1.net, mit moderner Verschlüsselung.
Beim "alten" Email-Server email.aon.at hat es noch STARTTLS als Verschlüsselung gegeben. Beim neuen smpt.a1.net gibt es das nicht mehr (laut Auskunft des Call-Center). Ich versteh's nicht wirklich!
Warum soll ich mein Passwort im Klartext über's Internet schicken?
Damit es jede Hacker_in ohne Probleme abgreifen kann?!
Zum Thema Unterstützung von Uralt-Windows-Kisten ein Lösungsvorschlag:
* Ein Email-Server uralt.a1.net, ohne Verschlüsselung
* Ein zweiter Server sicher.a1.net, mit moderner Verschlüsselung.
Benutzerebene 7
+7
- Stein der Weisen
- 6973 Antworten
-
14 October 2015
alfred_spalt schrieb: Beim "alten" Email-Server email.aon.at hat es noch STARTTLS als Verschlüsselung gegeben.
Gibts auch bei A1. Nehme als Postein- & -ausgangsserver: securemail.a1.net eingehend mit Port 995 und ausgehend mit Port 587. :)
edit: funktioniert auch bei aon-Adressen.
Floridsdorfer77. schrieb:Richtig :Dalfred_spalt schrieb: Beim "alten" Email-Server email.aon.at hat es noch STARTTLS als Verschlüsselung gegeben.
Gibts auch bei A1. Nehme als Postein- & -ausgangsserver: securemail.a1.net eingehend mit Port 995 und ausgehend mit Port 587. :)
edit: funktioniert auch bei aon-Adressen.
und beim Kollegen w1-net warst wieder streng 😉 aber egal passt auch besser als sein verschleierter Vulgärausdruck
Hallo austriandf,
DANKE vümois für diesen Tipp!!
Habe sofort auf securemail.a1.net umgestellt - klappt super!
Das heißt eigentlich, dass mein Vorschlag von A1 schon umgesetzt ist - aber offenbar geheim gehalten wird?!
Bei der (kostenpflichtigen) technischen A1-Hotline zumindest habe ich das nicht erfahren.
Auf meine Frage nach sicherem Email, habe ich keine Antwort erhalten.
Also nochmals Danke!!
DANKE vümois für diesen Tipp!!
Habe sofort auf securemail.a1.net umgestellt - klappt super!
Das heißt eigentlich, dass mein Vorschlag von A1 schon umgesetzt ist - aber offenbar geheim gehalten wird?!
Bei der (kostenpflichtigen) technischen A1-Hotline zumindest habe ich das nicht erfahren.
Auf meine Frage nach sicherem Email, habe ich keine Antwort erhalten.
Also nochmals Danke!!
Benutzerebene 7
+7
- Stein der Weisen
- 6973 Antworten
-
14 October 2015
Geheim ist das mit der sichereren Übermittlung nun wirklich nicht, denn im Hilfebereich steht´s deutlich:
http://www.a1.net/hilfe-kontakt/article/Internet/A1-E-Mail/Was-muss-ich-%C3%BCber-A1-E-Mail-wissen-/500000000001166/500000000005858
[h5]Protokoll[/h5][h5]Servername[/h5]
POP3 (Standard)Posteingangsserver: securemail.a1.net (Port 995 - Verbindungstyp SSL) Postausgangsserver: securemail.a1.net (Port 25 - Verbindungstyp STARTTLS)
IMAPPosteingangsserver: securemail.a1.net (Port 993 - Verbindungstyp SSL) Postausgangsserver: securemail.a1.net (Port 25 - Verbindungstyp STARTTLS)
:)
Bin mir sicher, daß die hier zusätzlich tätigen A1-Mitarbeiter es weiterfunken, daß bei diesbezüglichen Anfragen auch die SSL-Variante mitgeteilt werden soll. 🙂
http://www.a1.net/hilfe-kontakt/article/Internet/A1-E-Mail/Was-muss-ich-%C3%BCber-A1-E-Mail-wissen-/500000000001166/500000000005858
E-Mails über SSL (sichere, verschlüsselte Verbindung) abrufen
Serverinformationen für SSL:[h5]Protokoll[/h5][h5]Servername[/h5]
POP3 (Standard)Posteingangsserver: securemail.a1.net (Port 995 - Verbindungstyp SSL) Postausgangsserver: securemail.a1.net (Port 25 - Verbindungstyp STARTTLS)
IMAPPosteingangsserver: securemail.a1.net (Port 993 - Verbindungstyp SSL) Postausgangsserver: securemail.a1.net (Port 25 - Verbindungstyp STARTTLS)
:)
Bin mir sicher, daß die hier zusätzlich tätigen A1-Mitarbeiter es weiterfunken, daß bei diesbezüglichen Anfragen auch die SSL-Variante mitgeteilt werden soll. 🙂
throw new InvalidArgumentException();
1. Sogar XP unterstützt SSLv3 also warum wird noch SSLv2 unterstützt?!
2. XP unterstützt kein SHA256 Cert-Signatur, wobei diese hier verwendet wird und ab nächstem Jahr nur noch von CAs ausgestellt wird
-> XP ist nicht mehr unterstützt zumindest die standard M$ Software, (https://support.microsoft.com/de-de/kb/968730)
3. Es kann immer noch eine unverschlüsselte version bereitgestellt werden oder ein alternativer Mail-Server
4. XP ist TOT aus jeder hinsicht: update, sicherheits, kompatibilität,....
(Die XP-Minderheit wird heutzutage bei den meisten Services vernachlässigt weil es nicht mehr rentabel ist, bzw. gar nicht mehr möglich.)
Brauchst noch mehr Argumente?
Genau die erwähnete neue domain "securemail.a1.net" wäre eine Möglichkeit altlasten abzulegen ohne die alten User zu verärgern.
Wurde aber nicht gemacht -.-
Ich habe immer noch keine E-Mail Adresse bekommen um meine zukünfitgen Probleme zu melden! Oder welche Kontaktart sollte ich nächstes mal benutzen?
Auch von mir aus danke für die Info konte diese Seite weder über duckduckgo google oder manueles durchsuchen Ihrer Hilfe nicht finden. Sollte vielleicht besser verlinkt werden. Es ist allgemein meiner meinung schwierig einfach nur die Mail-Server-Daten zu finden ohne ewig lange Anleitung für ein Gerät/Software durch zu lesen.
z.B. wird auf dieser Seite nichts davon erwähnt http://www.a1.net/hilfe-kontakt/article/Internet/A1-E-Mail/Wie-kann-ich-E-Mail-am-PC-einrichten-/500000000001166/500000000005859
1. Sogar XP unterstützt SSLv3 also warum wird noch SSLv2 unterstützt?!
2. XP unterstützt kein SHA256 Cert-Signatur, wobei diese hier verwendet wird und ab nächstem Jahr nur noch von CAs ausgestellt wird
-> XP ist nicht mehr unterstützt zumindest die standard M$ Software, (https://support.microsoft.com/de-de/kb/968730)
3. Es kann immer noch eine unverschlüsselte version bereitgestellt werden oder ein alternativer Mail-Server
4. XP ist TOT aus jeder hinsicht: update, sicherheits, kompatibilität,....
(Die XP-Minderheit wird heutzutage bei den meisten Services vernachlässigt weil es nicht mehr rentabel ist, bzw. gar nicht mehr möglich.)
Brauchst noch mehr Argumente?
Genau die erwähnete neue domain "securemail.a1.net" wäre eine Möglichkeit altlasten abzulegen ohne die alten User zu verärgern.
Wurde aber nicht gemacht -.-
Ich habe immer noch keine E-Mail Adresse bekommen um meine zukünfitgen Probleme zu melden! Oder welche Kontaktart sollte ich nächstes mal benutzen?
Auch von mir aus danke für die Info konte diese Seite weder über duckduckgo google oder manueles durchsuchen Ihrer Hilfe nicht finden. Sollte vielleicht besser verlinkt werden. Es ist allgemein meiner meinung schwierig einfach nur die Mail-Server-Daten zu finden ohne ewig lange Anleitung für ein Gerät/Software durch zu lesen.
z.B. wird auf dieser Seite nichts davon erwähnt http://www.a1.net/hilfe-kontakt/article/Internet/A1-E-Mail/Wie-kann-ich-E-Mail-am-PC-einrichten-/500000000001166/500000000005859
Benutzerebene 7
+9
- Stein der Weisen
- 8163 Antworten
-
15 October 2015
tuxcoder schrieb:throw new InvalidArgumentException(); bitte halte dich mit solchen Äußerungen zurück, hier ist eine Diskussionsplattform, wo wir höflich miteinander umgehen, deine Code-Sprache könnte jemand anders interpretieren, wie du sie vielleicht gemeint haben könntest. Siehe Nutzungsbedingungen 2.3.
Danke!
Benutzerebene 7
+8
Nene cos, er hat schon recht, ... wie konnte ich mich nur so täuschen...
scheinbar arbeiten da wirklich "vollprofis"...
http://www.a1.net/ueber-uns/karriere
Das Mailserverteam freut sich über kompetente Verstärkung.
scheinbar arbeiten da wirklich "vollprofis"...
http://www.a1.net/ueber-uns/karriere
Das Mailserverteam freut sich über kompetente Verstärkung.
Benutzerebene 7
+7
- Stein der Weisen
- 6973 Antworten
-
15 October 2015
tuxcoder schrieb: ...konte diese Seite weder über duckduckgo google oder manueles durchsuchen Ihrer Hilfe nicht finden.Letzteres kann ich nicht nachvollziehen, denn wenn ich auf Hilfe & Kontakt, bei "Internet" auf A1 E-Mail und danach bei "Was muss ich über A1 E-Mail wissen?" auf Mehr Info klicke, komme ich genau bei den Serverdaten raus.
Bei der Beschreibung unter "Was muss ich über A1 E-Mail wissen?" steht schon die längste Zeit:
"So können Sie E-Mail manuell und über SSL einrichten, erhalten Anmeldeinformationen und Infos über das E-Mail-Service von A1."
Benutzerebene 7
+6
hallo,
die info lässt sich auch leicht googeln "a1 e-mail"
trotzdem währe es gut wenn man diese einstellungen auch auf der a1 installations-cd vermerkt
bei den installationsanleitungen ist leider keine rede von verschlüsselung
es wird übrigens auch aes128-sha unterstützt
hängt ja auch vom client ab (handshake)
z.b. thunderbird unter windows 7
by smarthub76.res.a1.net (qmail-ldap-1.03) with AES128-SHA encrypted SMTP for ; 15 Oct 2015 11:05:47 -0000bei aktuellen outlook versionen ist es halt aes256-sha (sofern vom os unterstützt)
lässt sich ja alles schön über den mailheader auslesen
suche keinen job 😉
die info lässt sich auch leicht googeln "a1 e-mail"
trotzdem währe es gut wenn man diese einstellungen auch auf der a1 installations-cd vermerkt
bei den installationsanleitungen ist leider keine rede von verschlüsselung
es wird übrigens auch aes128-sha unterstützt
hängt ja auch vom client ab (handshake)
z.b. thunderbird unter windows 7
by smarthub76.res.a1.net (qmail-ldap-1.03) with AES128-SHA encrypted SMTP for ; 15 Oct 2015 11:05:47 -0000bei aktuellen outlook versionen ist es halt aes256-sha (sofern vom os unterstützt)
lässt sich ja alles schön über den mailheader auslesen
suche keinen job 😉
tuxcoder:
sorry, wenn ich das nicht dazu gesagt habe, am besten www.a1.net/kontaktformular . Direkte Support E-Mail Adresse haben wir keine. Von dort wird das ggf. an die Server Admins weiter geleitet.
lg
Hermann
sorry, wenn ich das nicht dazu gesagt habe, am besten www.a1.net/kontaktformular . Direkte Support E-Mail Adresse haben wir keine. Von dort wird das ggf. an die Server Admins weiter geleitet.
lg
Hermann
http://derstandard.at/2000032114375/DROWN-Neuer-SSL-Angriff-betrifft-Drittel-aller-Webserver
so viel zu securemail.a1.net.....
Könntet Ihr bitte diese Lücke mal schliesen?
so viel zu securemail.a1.net.....
Könntet Ihr bitte diese Lücke mal schliesen?
tuxcoder,
habe das noch einmal weiter gegeben - das Thema DROWN ist aber quasi in Bearbeitung, wenn man das in so einem Fall so sagen kann.
lg
Hermann
habe das noch einmal weiter gegeben - das Thema DROWN ist aber quasi in Bearbeitung, wenn man das in so einem Fall so sagen kann.
lg
Hermann
Wow ging dass jetzt aber schnell.
SSLv2 wurde deaktiviert ! O/
Koenntet Ihr jetzt bitte auch noch SSLv3 deaktivieren. Begruendunge siehe diesen Thread.
Oder muss da auch zuerst noch ein POC(https://de.wikipedia.org/wiki/Proof_of_Concept) veröffentlicht werden damit dies geschieht?
Ps. (http://www.heise.de/security/meldung/Poodle-Experten-warnen-vor-Angriff-auf-Internet-Verschluesselung-2424122.html)
Bzw. die ganzen anderen Fehleinstellungen bei der Verschlüsselung behoben werden? (wie zb. export ciphers: http://www.heise.de/security/meldung/Freak-Attack-SSL-Verschluesselung-von-Millionen-Webseiten-angreifbar-2566444.html )
Zum testen empfehle ich diese tool https://github.com/drwetter/testssl.sh
lg
Norbert
SSLv2 wurde deaktiviert ! O/
Koenntet Ihr jetzt bitte auch noch SSLv3 deaktivieren. Begruendunge siehe diesen Thread.
Oder muss da auch zuerst noch ein POC(https://de.wikipedia.org/wiki/Proof_of_Concept) veröffentlicht werden damit dies geschieht?
Ps. (http://www.heise.de/security/meldung/Poodle-Experten-warnen-vor-Angriff-auf-Internet-Verschluesselung-2424122.html)
Bzw. die ganzen anderen Fehleinstellungen bei der Verschlüsselung behoben werden? (wie zb. export ciphers: http://www.heise.de/security/meldung/Freak-Attack-SSL-Verschluesselung-von-Millionen-Webseiten-angreifbar-2566444.html )
Zum testen empfehle ich diese tool https://github.com/drwetter/testssl.sh
lg
Norbert
Hallo Norbert,
hab dein Feedback an unsere Experten weiter geleitet.
lg
Hermann
hab dein Feedback an unsere Experten weiter geleitet.
lg
Hermann
SSLv3 ist immer noch aktiv, ich weis schon warum ich nicht dieses crapy Kundenformular ausgefüllt habe und den publik weg genommen habe. (leider wurde meine Vermutung bestätigt)
Da würde wenn überhaupt eine Antwort kommen wie die letze passieren tut nix.
Wenn ich eine öffentliche platform verwende kann ich und andere wenigstens die schande sehen und hoffentlich bemerken wie wichtig das Thema Sicherheit bei A1 ist.
Hauptsache eine Domain verwenden die "securemail.a1.net" heist und einen cname auf "smtp.a1.net" macht um den Kunden ein gutes Gefühl zu geben.
Leider ist Sicherheit nicht so einfach, dass man einfach den Namen ändert mit neue Design nimmt.
Sicherheit ist sehr viel Konzept bedingt und sollte auf lange Sicht geplant sein.
Ich habe davon noch nie was bei A1 (Telekom) bemerkt und wurde leider immer wieder negativ bestätigt.
Da würde wenn überhaupt eine Antwort kommen wie die letze passieren tut nix.
Wenn ich eine öffentliche platform verwende kann ich und andere wenigstens die schande sehen und hoffentlich bemerken wie wichtig das Thema Sicherheit bei A1 ist.
Hauptsache eine Domain verwenden die "securemail.a1.net" heist und einen cname auf "smtp.a1.net" macht um den Kunden ein gutes Gefühl zu geben.
Leider ist Sicherheit nicht so einfach, dass man einfach den Namen ändert mit neue Design nimmt.
Sicherheit ist sehr viel Konzept bedingt und sollte auf lange Sicht geplant sein.
Ich habe davon noch nie was bei A1 (Telekom) bemerkt und wurde leider immer wieder negativ bestätigt.
Ihr empfehlt noch unverschlüsselte Verbindungen in euren Beschreibungen!!!!1!
Sogar bei Thunderbird wo eine großer roter Warnhinweis kommt!
https://www.a1.net/hilfe-kontakt/article/Vertrag-Services/E-Mail/E-Mail-einrichten/Wie-kann-ich-meine-E-Mail-Adresse-am-PC-einrichten-/500000000007404/500000000027525
Meine Verbesserungsvorschläge für die E-Mail settings:
Nicht den SMTP Port 25 nehmen. Es sollte immer der Submission Port 587 benutzt werden, erspart Probleme in externen Netzen.
Gerade in Firmen und im Public W-LAN ist normalerweise Port 25 geblockt. (sollte geblockt sein)
https://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol
Und klar TLS / STARTTLS als default.
E-Mail Server Tip:
Werdet "qmail" los und ersetzt es durch irgendwas zeitgemäßes.
Ich mag den Daniel Bernstein auch, vermutlich hat er qmail sehr gut programmiert (hab mir den Code nicht angeschaut).
Das einzige Problem ist, dass dieses Programm den letzen stable release 1998 hatte und den letzten preview release 2007.
Laut E-Mail Header von euch "qmail-ldap-1.03" benutzt ihr noch die Version von 1998.
https://en.wikipedia.org/wiki/Qmail
Nach der Erfahrung was ich bisher mit Software gemacht habe, gibt es keine 100% sichere Software. Sondern man sollte eine update Strategie haben. Was in dem fall ein bisschen Problematisch ist.
Dadurch sollten auch STARTTLS bei POP3 und IMAP unterstützt sein.
Sogar bei Thunderbird wo eine großer roter Warnhinweis kommt!
https://www.a1.net/hilfe-kontakt/article/Vertrag-Services/E-Mail/E-Mail-einrichten/Wie-kann-ich-meine-E-Mail-Adresse-am-PC-einrichten-/500000000007404/500000000027525
Meine Verbesserungsvorschläge für die E-Mail settings:
Nicht den SMTP Port 25 nehmen. Es sollte immer der Submission Port 587 benutzt werden, erspart Probleme in externen Netzen.
Gerade in Firmen und im Public W-LAN ist normalerweise Port 25 geblockt. (sollte geblockt sein)
https://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol
Und klar TLS / STARTTLS als default.
E-Mail Server Tip:
Werdet "qmail" los und ersetzt es durch irgendwas zeitgemäßes.
Ich mag den Daniel Bernstein auch, vermutlich hat er qmail sehr gut programmiert (hab mir den Code nicht angeschaut).
Das einzige Problem ist, dass dieses Programm den letzen stable release 1998 hatte und den letzten preview release 2007.
Laut E-Mail Header von euch "qmail-ldap-1.03" benutzt ihr noch die Version von 1998.
https://en.wikipedia.org/wiki/Qmail
Nach der Erfahrung was ich bisher mit Software gemacht habe, gibt es keine 100% sichere Software. Sondern man sollte eine update Strategie haben. Was in dem fall ein bisschen Problematisch ist.
Dadurch sollten auch STARTTLS bei POP3 und IMAP unterstützt sein.
Benutzerebene 7
+8
wer ist bei euch für IT Sicherheit zuständig?
Lg
Jo
P.S. wenn man beim Editieren auf Abbrechen Klick sieht man die alte Nachricht nicht. Jedoch ist es nach einem Reload ist wieder da.
Liebe Community!
@tuxcoder : Wir sind gerade dabei deine Anfrage beantworten zu lassen. Wir möchten die Informationen einholen, warum der derzeitige Status so ist wie er ist und welche SSL-Verschlüsselungen, wie genutzt werden und wie es um diese steht.
@jo93 : Wie im Anfang des Posts geschrieben, erkundige ich mich gerade bei unseren Verantwortlichen für den Betrieb der Online Services und bemühe mich um eine Rückmeldung zu dem Thema.
P.S. wenn man beim Editieren auf Abbrechen Klick sieht man die alte Nachricht nicht. Jedoch ist es nach einem Reload ist wieder da.
Hierzu kann ich dir auch ein Feedback geben: Du hast recht, der Zwischenstand ist dann ohne Text. Ich habe diesbezüglich bei unserem Software-Lieferanten nachgefragt und melde mich wieder wenn es etwas Neues gibt.
Liebe Grüße,
Esther
P.S. wenn man beim Editieren auf Abbrechen Klick sieht man die alte Nachricht nicht. Jedoch ist es nach einem Reload ist wieder da.
Hierzu kann ich dir auch ein Feedback geben: Du hast recht, der Zwischenstand ist dann ohne Text. Ich habe diesbezüglich bei unserem Software-Lieferanten nachgefragt und melde mich wieder wenn es etwas Neues gibt.
Liebe Grüße,
Esther
Seite 1 / 2
Antworten
Nicht gefunden, wonach du suchst?
Nicht den Mut verlieren! Eröffne einfach ein neues Thema mit deiner Frage und hol dir die Antworten!
Neues Thema eröffnen
Enter your username or e-mail address. We'll send you an e-mail with instructions to reset your password.