Mailtransport über verschlüsselte Verbindungen


1. Versand durch DATEV

Zum Mailversand können die Systeme der DATEV die SMTP-Erweiterung STARTTLS benutzen. Dabei handeln 2 Mailserver vor der Übertragung der eigentlichen Daten einen verschlüsselten Tunnel aus. Normalerweise erfolgt der Aufbau der verschlüsselten Verbindung durch das sendende Mailsystem "bei Bedarf". Man kann das Mailsystem jedoch auch zwingen, Verschlüsselung zu benutzen. Sollte aus irgendwelchen Gründen keine Verschlüsselung möglich sein, wird die Mail nicht versendet.

Wichtig:
Diese Art von Verschlüsselung ersetzt keinesfalls S/MIME oder GnuPG-Verschlüsselung von E-Mails! Sie wahrt lediglich die Integrität und Vertraulichkeit bei einer Übertragung zwischen 2 Mailservern.

Versand an folgende Zieldomains ist den DATEV Mailsystemen nur bei verschlüsselter SMTP-Kommunikation erlaubt:
universa.de dataenter.co.at mlp-ag.com mlp.de extern.mlp-ag.com bavariadirekt.de bf-rueckversicherung.de combirisk.de consal-maklerservice.de feuersozietaet.de mkb-insurance.com ovag-online.de saarland-versicherung.de saarland-versicherungen.de saarlandversicherung.de saarlandversicherungen.de sis-saarland.de tecta-invest.de tectainvest.de ukv-iberica.de ukv.de urv.de versicherungskammer-stiftung.de versicherungsservicegmbh-lbb.de vkb-vertrieb.de vkb.de .vkb.de isv-net.de stiftung-schadenvorsorge.de sparkassenversicherung.de sv-bav.de sv-exklusiv.de sv-informatik.de sv-landwirtschaftswetter.de sv-sachsen.de versit.de vgg-gmbh.de pnw-vi.de provinzial-online.de provinzial-westfalen.de provinzial.de hamburger-feuerkasse.de hamburgerfeuerkasse.de hhfk.de vers-am.de gavi.de daimler.com mercedes-benz.com mercedes-benz-bank.com mbusa.com smart.com freightliner.com detroitdiesel.com lbbw.de bw-bank.de rlp-bank.de sachsenbank.de hsbc.de hsbc.at hsbctrinkaus.de hsbctrinkaus.lu inka-ag.de trinkaus.de cognizant.com bridging-it.de provinzial.com vwfs.com goerg.de goerg.com bwls-goerg.de sueddeutscher-verlag.de zgs.de rossmann.de rossmann-online.de rossmanversand.de pass-consulting.com lohnbach.de lohnbach.com rsu-rating.de bnymellon.com av-test.de avira.com eleven.de kaspersky.com avertlabs.com brauns-international.de juris.de allianz.de allianz.com allianz-assistance.de tgmkanis.com sdz-medien.de ars.de pace.car ages.de axa.de db.com connexity.com mpvorsorge.de martens-prahl-pm.de bavv.de fvv.de ford.com disy.net goldgas.de hvp.ag hansemerkur.de finanzguru.de dwins.de kbz.ekiba.de 3c-d.de gstv.sk ape.de cartv.de cartv.eu lupold.de heidelberg-it.de ksk-koeln.de extern.ksk-koeln.de ksk-fvg.de steuerberater-stade.de stade-pein.de mtu.de ihk-biz.de proevent.net deka.lu dekabank.lu deloitte.de deloitte.com sparkasse-koelnbonn.de skbn.de hoganlovells.com delvis.de kuehnhv.de unicreditgroup.at mazars.de agfeo24.de gebr-markewitsch.de signal-iduna-park.de signal-iduna-direkt.de signal-iduna.com signal-iduna.de signal.de signaliduna.de v-s-w.de hausaerzte-bogen.de dr-waas.de pib-gmbh.de bongardt-gmbh.de k-m.info riedel-gruppe.de haufe-lexware.com fuerst-lehmeyer.de system-geruestbau.de phoenixdesign.com phoenixdesign.de fuerst-recht.de rib-holding.de hva-immo.de pba-immo.de projektbau-alsterufer.de sarava-capital.de tmx-trigger.de kehrbach.de golfclub-abenberg.de schneiderundsohn.de auditlaw.de kasytec.com netcentric.biz crafting-it.de fastahead.com rahmer.de ruv.de ruv.ie ruv.at ruv.com rv24.de carexpert.de kravag.de kravag.com svg-kravag.de compertis.de rmconsult.de ruv-treuhand.de umb.de svl-versorgungswerk.de chemiepensionsfonds.de ruvgpf.de pension-consult.de condor-versicherungsgruppe.de condor-versicherungen.de condor-versicherung.de condor-vers.de cvgr.de cvers.de optima.de optima-pensionskasse.de optima-versicherung.de optima-versicherungen.de adagio-im-Auto.de kinderunfallhilfe.de do-rechner.de a3etron.audi.com aabd.com.sg atd.volkswagen.com.cn atj.volkswagen.com.cn ar.vwg.co.uk audi-events.co.uk audi-me.com audi-singapore.com.sg audi-vw.com.tw audi.avme.ae audi.co.jp audi.co.kr audi.co.uk audi.com.au audi.com.cn audi.com.hk audi.com.my audi.com.sg audi.com.tw audi.fr audi.in audi.it audi.ru audicentresydney.com.au audicrm.co.uk audidiagnosticquestionnaire.co.uk audimedia.co.uk autoeuropa.pt autogerma.it autostadt.de autostadt.com autostadt-sales.com autouni.de autovision-gmbh.com autovision-servicios.es autovision-zeitarbeit.com autovision.org autovision.pt avme.ae bentley.avme.ae bentley.co.uk bentley.sg bentleykorea.com bentleymotors.ae bentleymotors.com.au bentleymotorschina.com bugatti-auto.com bugatti-auto.de bugatti-cars.com bugatti-cars.de bugatti-international.com bugatti.com carmeq.com cert.volkswagen.de dasweltauto.fr de.autovision.eu designcenter-europe.com dordon.vwg.co.uk driving-ideas.de drivingideas.de facebook.upzufreunden.de fleetordering.volkswagen.de glaeserne-manufaktur.de glaesernemanufaktur.de globalinn.de gr-vw.fr groupcs.co.uk health-valley.com health-valley.de ipp100.volkswagen.de ipq100.volkswagen.de kunden-club-gmbh.de lamborghini-china.com lamborghini-russia.com lovetheoriginal.com mailing.autostadt.de mmi-akademie.de mobilitaet-und-nachhaltigkeit.de mobility-and-sustainability.com mtls.vw4t.de pl.sitech-automotive.com porsche.com.sa porsche.in rh-automotive.avme.ae seat-italia.it seat.com.cn seat.fr seat.ru seatcars.co.uk seatmarketingportal.co.uk seatpressevents.co.uk seatrus.ru skoda-auto.co.in skoda-auto.com.cn skoda-auto.ru skoda-avto.ru skoda-italia.it skoda.co.uk skoda.com.au skoda.com.tw skoda.fr skoda.ru skodaassist.com.au skodafleetecomms.co.uk skodamediaevents.com test.autostadt.de think-blue.com tntdordon.co.uk tracking-challenge.de transport-network.de tsc-d.de vgj.co.jp vgs.com.sg volkswagen-academy.com volkswagen-academy.de volkswagen-antriebssysteme.com volkswagen-car-net.com volkswagen-coaching.de volkswagen-das-auto.hu volkswagen-driving-experience.de volkswagen-edp.de volkswagen-environment.de volkswagen-etraining.com volkswagen-experience.de volkswagen-gitp.de volkswagen-individual.de volkswagen-infotainment.com volkswagen-inventors-night.de volkswagen-itc.com volkswagen-logistics.de volkswagen-media-services.com volkswagen-motorsport.com volkswagen-nachhaltigkeit.de volkswagen-os.de volkswagen-partner.de volkswagen-ps.de volkswagen-r.de volkswagen-rus.ru volkswagen-soundfoundation.de volkswagen-sustainability.com volkswagen-team2010.de volkswagen-the-car.hu volkswagen-umwelt.de volkswagen-umweltpreis.de volkswagen-utilitaires.fr volkswagen-vans.co.uk volkswagen-vds.de volkswagen-veicolicommerciali.it volkswagen-vsd.de volkswagen.avme.ae volkswagen.co.in volkswagen.co.kr volkswagen.co.uk volkswagen.com.au volkswagen.com.cn volkswagen.com.hk volkswagen.com.my volkswagen.com.tw volkswagen.de volkswagen.fr volkswagen.it volkswagen.pt volkswagen.ru volkswagen.sk volkswagenag.com volkswagenassist.com.au volkswagencv.co.uk volkswagengroup.com.hk volkswagengroup.fr volkswagengroup.it vras.com.sg vw-coaching.de vw-das-auto.hu vw-mobil.de vw-motorsport.de vw-navarra.es vw-partner.de vw-personal.de vw-poznan.pl vw-racing.com vw-servicenet.de vw-the-car.hu vw-zulieferer.de vw.com.sa vw.com.sg vw4t.de vwcv.co.uk vwg.co.uk vwgps.de vwgroup.com.au vwgroup.it vwgroupsupply.com vwgtps.co.uk vwimmobilien.de vwma.de vwmp.pl vwroadsideassistance.com webconf.volkswagen.de wir-bei-volkswagen.de zfm-autovision.com appsincar-seat.com audi.pl audimediacentre.co.uk audipressevents.co.uk audi-services.co.uk autovision.sk avl-lifestyle.it bentleymotors.co.kr der-pdl.com der-personaldienstleister.com gifts.volkswagen.co.uk konnect-vwgroup.com konnect-volkswagen.com look-around-vw.de partner-vwg.com.pl porsche.pl seat-auto.pl seat.co.uk seat.de skoda-auto.de skoda-auto.pl skoda.com.sg skoda-auto.co.kr toolsinfoweb.co.uk tpsfinance.co.uk volkswagen.pl volkswagenassetlibrary.co.uk volkswagenfleetems.co.uk volkswagen-groupservices.com volkswagen-gs.com volkswagen-ish.de volkswagenits.com volkswagen-newsroom.com volkswagen-service.com volkswagen-zubehoer.de volkswagen-zubehoer-shop.de vw.pl vw-fc.com vw-group.pl vwif.com vwgarage.io vwgis.de vwgroup.com vwgspecialofferparts.co.uk vwpc-services.co.uk vw-if.com vwtb.com we-vw.com we-vw.de hdi-direkt.biz acq-fonds.de ampegagerling-immobilien.de aspecta-hdi.com aspecta.at aspecta.com aspecta.de aspecta.es aspecta.it aspecta.li aspecta.lu civ-versicherung.de creditlife-versicherung.de deutscheprivatvorsorge.de dpmg.de eire.lu general-accident.de gerditex.de gerling-el.de gerling-fvm.de gerling-ga.de gerling.be gerling.ch gerling.co.jp gerling.com gerling.comgerling-el.de gerling.de gerling.pl hdi-direkt.de hdi-gerling.at hdi-gerling.be hdi-gerling.bh hdi-gerling.ca hdi-gerling.ch hdi-gerling.co.uk hdi-gerling.co.za hdi-gerling.com hdi-gerling.com.au hdi-gerling.com.mx hdi-gerling.com.pl hdi-gerling.cz hdi-gerling.de hdi-gerling.es hdi-gerling.eu hdi-gerling.fr hdi-gerling.gr hdi-gerling.hk hdi-gerling.ie hdi-gerling.it hdi-gerling.jp hdi-gerling.li hdi-gerling.net hdi-gerling.no hdi-gerling.org hdi-gerling.sg hdi-international.com hdi-leben.de hdi-pensionskasse.de hdi-pensionsmanagement.com hdi-pensionsmanagement.de hdi-pk.com hdi-pk.de hdi-pm.com hdi-pm.de hdi-psm.com hdi-psm.de hdi.de hdi.ie hdi24.de hdifrance.fr hdigerling.jp hdipm.com hdipm.de htptest.hdi.de ivec.de kcontrol.de mplkfz.de nassau-assekuranz.de neue-leben.com neue-leben.de neueleb.com neueleb.de neueleben.com neueleben.de p-cc.de pas-servicegesellschaft.de pb-pensionsfonds.de pb-pensionskasse.de pb-versicherung.de pbv-lebensversicherung.de pbv-versicherung.de pbv-versicherungen.de pbvl-versicherungen.de pdi-psm.de proactiv.de samopomoc-zycie.pl shamrock-marine.de smail.hdires.zz talanx-events.com talanx-events.de talanx-finanz.com talanx.com talanx.de targoversicherung.de hdi.global 1city.unicredit.it abas.unicredit.eu agclarima.unicredit.it agenti.unicreditleasing.eu apr.unicreditgroup.eu ba-camil.unicreditgroup.eu bamil.unicreditgroup.eu brokercredit.unicredit.it carimonte.unicredit.it champions.unicredit.eu clarima.unicredit.it cordusio.unicredit.it cordusioimm.unicredit.it crc.unicredit.it dialog.unicreditgroup.de digital.unicredit.it dsf.unicreditgroup.hu esssc.unicredit.eu frt.unicredit.it it.unicreditgroup.eu kundenwerbung.unicreditgroup.de locat.unicredit.it mobilbankar.unicreditgroup.hu realestate.unicredit.it romafides.unicredit.it sgss.socgen.it ubcasa.unicredit.it ubm.unicredit.it ubmsecurities.unicredit.it ucf.unicredit.it ucin.unicredit.it ugcbanca.unicredit.it ugis.unicredit.it unicredit-brain.eu unicredit-corporate.co.hu unicredit-corporate.hu unicredit-corporatebanking.co.hu unicredit-corporatebanking.hu unicredit.com unicredit.de unicredit.eu unicredit.fr unicredit.it unicreditassicura.it unicreditaudit.it unicreditbanca.it unicreditbank.de unicreditbank.hu unicreditbrain.com unicreditcard.de unicreditclarima.it unicreditcorporate.co.hu unicreditcorporate.hu unicreditcorporatebanking.co.hu unicreditcorporatebanking.hu unicreditfactoring.hu unicreditfactoring.it unicreditfondi.it unicreditfoundation.org unicreditgroup.ch unicreditgroup.co.uk unicreditgroup.cz unicreditgroup.de unicreditgroup.es unicreditgroup.eu unicreditgroup.fr unicreditgroup.gr unicreditgroup.hu unicreditgroup.in unicreditgroup.it unicreditgroup.sk unicreditimpresa.it unicreditleasing.eu unicreditmib.fr unicreditmib.it unicredito.it unicreditprivate.it unicreditrealestate.it unicreditsubitocasa.it uniit.unicredit.it upa.unicredit.it us.unicreditgroup.eu v-tservices.unicredit.at v-tservices.unicredit.de v-tservices.unicredit.eu

Wenn Sie eine Domain kennen, die Sie gern in dieser Liste sehen würden, senden Sie uns bitte Ihren Antrag per Fax zu. Bei Fragen erreichen Sie uns unter +49 911 319-34999. Wir werden die Möglichkeit einer verschlüsselten Kommunikation prüfen und gegebenenfalls einrichten. Wenn Sie erzingen wollen, das DATEV E-Mails an Sie ausschließlich über eine verschlüsselte Verbindung ausliefert, implementieren Sie DNSSEC und DANE für ihre Zieldomain und alle beteiligten MX-Server.

STARTTLS ist eine opportunistische Verschlüsselung und bietet Schutz vor passiven Angreifern. Daher werden die Versandsysteme der DATEV mit hoher Wahrscheinlichkeit auch ohne Sonderkonfiguration schon Verschlüsselung aushandeln, wenn die Zieldomain dies anbietet. Voraussetzung für den zusätzlichen Konfigurationsaufwand der Zwangsverschlüsselung ist daher die die Nutzung validierbarer Zertifikate und sauberer Zertifikatsketten auf allen MX-Servern der Zieldomain.

Neben diesen administrativ konfigurierten Zieldomains werden die DATEV Mailserver ausgehende Nachrichten ausschließlich via TLS versenden, wenn die Zieldomain DNSSEC gesichert ist und für alle MX-Server ein TLSA-Record hinterlegt ist.

Für eine erzwungene TLS-Verschlüsselung müssen die MX-Server der Emfängerdomain TLS in den Protokollversionen TLS1.2 oder TLS1.3 unterstützen.

2. Empfang durch DATEV

Wenn Sie beim Mailversand aus dem Internet an DATEV und den bei uns gehosteten Domains TLS-Verschlüsselung erzwingen wollen, haben wir hier für Sie die Aussteller, Gültigkeit und Fingerprints der Zertifikate aufgelistet. Es liegt einzig bei Ihnen, Ihr Mailsystem so zu konfigureren, dass E-Mail nur noch verschlüsselt versendet werden sollen. Dafür nutzen wir die Protokolle DNSSEC und DANE sowie MTA-STS. Beide Protokolle erlauben es Ihrem Mailausgangsserver, automatisch zu ermitteln, dass E-Mail ohne verschlüsselte SMTP-Kommunikation übertragen werden müssen. Wenn Sie verschlüsseln wollen/müssen, aktivieren Sie dieise Funktion auf Ihrem Mailsystem. Der Austausch von Dokumenten ist dafür jedenfalls nicht nötig. Automatisierung ist das Schlüsselwort. Aber Automatisierung ist unmöglich, wenn irgendwer irgendwelche Doakumente manuell ausfüllen soll.
Zwischenzertifikate werden bei der TLS-Aushandlung mitgeliefert. Alle Zertifikate sind auf den DNS-Namen ausgestellt. Die Prüfsummen der Zertifikate sind im DNS hinterlegt. Die DNS Daten sind mittels DNSSEC signiert und daher von Ihnen prüfbar.
Empfängergruppe DNS-Name IPv4 Adresse IPv6 Adresse Zertifikatsaussteller Seriennummer gültig bis Fingerprint
DATEV idvmailin03.datev.de 193.27.49.131 2a00:e50:f155:7:9505:1205:9657:7d3f Let's Encrypt wechselt regelmäßig bald :-) TLSA-Record im DNS: _25._tcp.idvmailin03.datev.de.
idvmailin04.datev.com 193.27.49.132 2a00:e50:f155:7:b8ac:5fab:d66b:4d9c Let's Encrypt wechselt regelmäßig bald :-) TLSA-Record im DNS: _25._tcp.idvmailin04.datev.com.
DATEVnet idsmailin11.datevnet.com /
maildomain.datevnet.com
193.27.50.123 2a00:e50:f155:800::123 Let's Encrypt wechselt regelmäßig bald :-) TLSA-Record im DNS: _25._tcp.idsmailin11.datevnet.com.
TLSA-Record im DNS: _25._tcp.maildomain.datevnet.com.
idsmailin12.datevnet.de /
maildomain.datevnet.de
193.27.50.118 2a00:e50:f155:800::118 Let's Encrypt wechselt regelmäßig bald :-) TLSA-Record im DNS: _25._tcp.idsmailin12.datevnet.de.
TLSA-Record im DNS: _25._tcp.maildomain.datevnet.de.
idsmailin13.datevnet.com /
maildomain.datevnet.com
193.27.50.98 2a00:e50:f155:800::98 Let's Encrypt wechselt regelmäßig bald :-) TLSA-Record im DNS: _25._tcp.idsmailin13.datevnet.com.
TLSA-Record im DNS: _25._tcp.maildomain.datevnet.com.
idsmailin14.datevnet.de /
maildomain.datevnet.de
193.27.50.112 2a00:e50:f155:800::112 Let's Encrypt wechselt regelmäßig bald :-) TLSA-Record im DNS: _25._tcp.idsmailin14.datevnet.de.
TLSA-Record im DNS: _25._tcp.maildomain.datevnet.de.

Wir unterstützen Sie bei der Automatisierung! Die Information, dass Ihr Mailserver an *@datev.de nur senden soll, wenn Transportverschlüsselung aktiv ist, wird über DNSSEC/DANE und MTA-STS propagiert.

3. DATEVnet Maildomain

Nutzen Sie Ihre Domain als virtuelle E-Mail-Domain über den abgesicherten Internetzugang DATEVnet, dann tragen Sie bitte als MX-Server die DNS-Namen maildomain.datevnet.de (mit Priorität 10) und maildomain.datevnet.com (mit Priorität 20) ein.

Dabei handelt es sich um Aliasnamen für die tatsächlich genutzten Servernamen idvmailin11.datevnet.com bis idvmailin14.datevnet.de. Die Verwendung der Aliase soll eine stabile Konfiguration der MX-Einträge ermöglichen, unabhängig von möglichen Anpassungen an der Mail-Infrastruktur von DATEV.

UPDATE:
Ende 2015 wurden alle 4 MX-Server ausgetauscht und erhielten neue Zertifikate. Diese sind nun für jeweils alle benutzten DNS-Namen eines Servers gültig.

Impressum