TLS (SSL) krav på mail
Skal der være TLS aktivt?
Ja, datatilsynet har udtalt at de vil have al mail er TLS krypteret pr. 1 januar 2019
Har i varselt det?
Ja, 16 november 2018: https://status.larsendata.dk/2018/11/tls-bliver-et-krav-pa-alt-mailkommunikation/
Vi er ikke klar, kan i slå det fra?
Nej, desværre ikke.
Hvem kræver det her vandvid? Hvor kan jeg klage?
Det gør datatilsynet: https://www.datatilsynet.dk/emner/persondatasikkerhed/transmission-af-personoplysninger-via-e-mail/
Min software supportere ikke TLS 1.2
Du må enten opdatere til en nyere version som er supporteret af producenten (alt under exchange 2010 er feks ikke supporteret software, andre versioner kræver nyeste patchlevels eller registry ændringer)
Microsoft om TLS:
Exchange 2010:
Exchange 2007 (nu 14+ år gammel software)
Exchange 2003 eller før:
- opdater tak.
Postfix, exim, sendmail osv, supportere alle TLS 1.2
Hvis din mailserver ikke er nævnt, så kan du søge på google med disse keywords „TLS 1.2 enable“ og så dit software navn
Installering af TLS på mailserver, checkliste
For at have en successful installation af TLS, så skal denne checkliste være fulgt
- Softwaren, mailserveren du bruger skal understøtte TLS 1.2. Spørg din software leverandør, evt opdatér til nyere version af software der gør. Alle kommercielle mailservere og opensource mailservere understøtter TLS.
- Dit operativsystem skal understøtte TLS
openssl ciphers -v kan du se om du har TLS 1.2
- Du skal bruge et gyldigt certifikat, der skal opdateres når nødvendigt så det ikke udløber.
Du kan købe et certifikat på feks https://billigssl.dk/ som opfylder kravene for et gyldigt certifikat.
- Certifikat skal installeres med intermediate certifikat, så chain of trust opnåes.
Du kan teste det med følgende komando på en BSD eller linux maskine hvor mail.server.gdns er dit hostnavn og 25 er den port du har for smtp: openssl s_client -starttls smtp -connect mail.server.gdns:25
Det der IKKE må stå er „Verify return code: 21 (unable to verify the first certificate)“ eller lignende fejl
- Ovenstående test skal også vise „Protocol : TLSv1.2“, eller evt højere (1.3)
- Test at du har det til at virke her: https://www.checktls.com/TestReceiver
Der skal stå at TLS virker
- Mailservers banner skal vise samme navn som i certifikatet, dvs mail.server.gdns som i vores eksempel
Du tester det ved at connecte til serveren, telnet er nemt på en shell/commandline til dette:
# telnet mail.server.gdns 25 Trying x.x.x.x... Connected to mail.server.gdns. Escape character is '^]'. 220 **mail.server.gdns** Microsoft ESMTP MAIL Service ready
- Hostnavn du har inskrevet i spamfilter interfacet skal matche certifikatet, dvs mail.server.gdns i dette eksempel
Hvis hostnavnet (mail.server.gdns) er et CNAME, så skal du ændre DNS så det er en A eller AAAA record.