TLS (SSL) krav på mail

Ja, datatilsynet har udtalt at de vil have al mail er TLS krypteret pr. 1 januar 2019

Ja, 16 november 2018: https://status.larsendata.dk/2018/11/tls-bliver-et-krav-pa-alt-mailkommunikation/

Nej, desværre ikke.

Det gør datatilsynet: https://www.datatilsynet.dk/emner/persondatasikkerhed/transmission-af-personoplysninger-via-e-mail/

Du må enten opdatere til en nyere version som er supporteret af producenten (alt under exchange 2010 er feks ikke supporteret software, andre versioner kræver nyeste patchlevels eller registry ændringer)

Microsoft om TLS:

• https://blogs.technet.microsoft.com/exchange/2018/01/26/exchange-server-tls-guidance-part-1-getting-ready-for-tls-1-2/
• https://blogs.technet.microsoft.com/exchange/2018/04/02/exchange-server-tls-guidance-part-2-enabling-tls-1-2-and-identifying-clients-not-using-it/

Exchange 2010:

• https://jaapwesselius.com/2018/10/05/exchange-2010-and-tls-1-2/

Exchange 2007 (nu 14+ år gammel software)

• https://networkmedics.com/blog/exchange-server-2007-security/

Exchange 2003 eller før:

• opdater tak.

Postfix, exim, sendmail osv, supportere alle TLS 1.2

Hvis din mailserver ikke er nævnt, så kan du søge på google med disse keywords „TLS 1.2 enable“ og så dit software navn

For at have en successful installation af TLS, så skal denne checkliste være fulgt

• Softwaren, mailserveren du bruger skal understøtte TLS 1.2. Spørg din software leverandør, evt opdatér til nyere version af software der gør. Alle kommercielle mailservere og opensource mailservere understøtter TLS.

• Dit operativsystem skal understøtte TLS

openssl ciphers -v kan du se om du har TLS 1.2

• Du skal bruge et gyldigt certifikat, der skal opdateres nÃ¥r nødvendigt sÃ¥ det ikke udløber.

Du kan købe et certifikat på feks https://billigssl.dk/ som opfylder kravene for et gyldigt certifikat.

• Certifikat skal installeres med intermediate certifikat, sÃ¥ chain of trust opnÃ¥es.

Du kan teste det med følgende komando på en BSD eller linux maskine hvor mail.server.gdns er dit hostnavn og 25 er den port du har for smtp: openssl s_client -starttls smtp -connect mail.server.gdns:25

Det der IKKE må stå er „Verify return code: 21 (unable to verify the first certificate)“ eller lignende fejl

• OvenstÃ¥ende test skal ogsÃ¥ vise „Protocol : TLSv1.2“, eller evt højere (1.3)

• Test at du har det til at virke her: https://www.checktls.com/TestReceiver

Der skal stå at TLS virker

• Mailservers banner skal vise samme navn som i certifikatet, dvs mail.server.gdns som i vores eksempel

Du tester det ved at connecte til serveren, telnet er nemt på en shell/commandline til dette:

# telnet mail.server.gdns 25
Trying x.x.x.x...
Connected to mail.server.gdns.
Escape character is '^]'.
220 **mail.server.gdns** Microsoft ESMTP MAIL Service ready 

• Hostnavn du har inskrevet i spamfilter interfacet skal matche certifikatet, dvs mail.server.gdns i dette eksempel

Hvis hostnavnet (mail.server.gdns) er et CNAME, så skal du ændre DNS så det er en A eller AAAA record.