On 2016-04-18 15:09, Moritz Bartl wrote:
> Ggf. kneifst du dir dann sogar das TLS.Bitte? Sowas sollte man nun wirklich niemandem raten.
Das ist das was *die* wollen, was du glaubst... ;-)Ich dachte mir ja schon, dass irgendwer Anstoß daran nimmt. Ich halte aber daran fest, denn...
...allgemein: - SSL ist keine Email-Verschlüsselung! - Auch nicht ein ganz kleines bisschen - Auch nicht "besser als gar nichts", die Mailserver in der Kette sind die hauptsächlichen Angriffspunkte, und gerade diese werden nicht abgedeckt - Irgendwo in der Kette irgendwie was mit Verschlüsselung zu haben ist weit entfernt von sicherer Kommunikation ...spezifisch: - das diskutierte Setup soll nicht für Submission verwendet werden - Andere Mailserver stellen nicht authentifiziert zu und machen häufigauch keinen Gebrauch von einem angebotenen TLS Kanal. Tatsächlich wird dein Server sich sehr einsam fühlen, wenn du Mailzustellung ausschließlich
via TLS zulässt - *Falls* du den Server zur Submission verwenden willst, gibt es dennoch Authentifizierungsverfahren die das Auslesen von Passwörtern auf Plaintext-Kanälen verhindern (z.B. CRAM)Das gilt natürlich nicht wenn du z.B. auch IMAP anbietest, wo dann die Mailpostfächer abrufbar sind. Auch wenn du ohnehin schon ein SSL-Zertifikat für einen eventuellen Webserver hast, schmerzt es nicht weiter, das auch für den SMTP Server zu verwenden.
Um nochmal zum Anfang zurückzukommen: SSL wurde entworfen und ist geeignet um Kleinkriminelle davon abzuhalten, deine Kreditkartennummer von der Leitung zu sniffen. In dem Bereich ist es vollkommen richtig platziert. Spätestend mit den Five-Eyes-Leaks sollte sich unser Verständnis von Computersicherheit aber dahingehend gewandelt haben, dass wir eine andere Größenordnung von Gegener annehmen müssen. Ausgerechnet SSL stellt in diesem Fall keinen Gewinn da. "Die Kosten der Überwachung" deckst du dann beim Erwerb deines Zertifikates gleich mit ab. Was steigt sind vor allem deine eigenen Kosten.
SSL ist eine schlechte Ausrede um sich mit PGP nicht auseinandersetzen zu müssen. Admins jetzt dazu zu nötigen irgendwelche Profaninhalte hinter SSL-Seiten zu stellen ist Ressourcenverschwendung. Das trainiert Internetnutzer dazu Warnungen weg zu klicken und steigert obendrein noch die Einstiegshürde für den gefühlt professionellen Betrieb eigener Services. Die Energie lässt sich sinnvoller aufwenden um z.B. überhaupt erst mal dein Hosting selbst in die Hand zu nehmen. *Das* nämlich wäre ein Anfang.
--
Paul Hänsch █▉ Webmaster, System-Hacker
█▉█▉█▉
Jabber: p...@jabber.fsfe.org ▉▉ Free Software Foundation Europe
pgp5nli7i6cjo.pgp
Description: PGP signature
_______________________________________________ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
