Patrick Ben Koetter wrote: > * Florian Streibelt <[email protected]>: >> On Sa, 28 Feb 2015 at 18:11:07 +0100, Robert Schetterer wrote: >> >>> Hi @ll, weil es grade durch die Medien getrieben wird >>> >>> https://sys4.de/de/blog/2015/02/26/pgp-schluessel-einfach-und-sicher-verteilen/ >> >> was ich an dem System ein bischen schade finde ist, dass man wieder wunderbar >> proben kann ob es eine mailadresse gibt, für spammer sogar mit effizientem >> caching ohne eigene Kosten. >> >> Die hashes kann ich vorberechnen, weil nur der localpart eingeht und ohne >> aufwand einfach domains durchprobieren, wenn ich dann für gängige namen einen >> hit habe, sende ich die spam zielgenau. Durch den Record weiss ich auch, dass >> die Emailadresse wichtig genug für den Anwendeer war, um einen Key zu >> hinterlegen. > > Aber das bedeutet auch, dass Du die hashes vorberechnen musst und das ist auch > teuer und ggf. nicht lohnenswert für Spammer.
??? Spammer probieren auf meinem kleinen Mail-Server alle möglichen local-parts durch. Dagegen ist die Hash-Berechnung doch superbillig! Ausserdem kann man an den DNS-Abfragen bereits erkennen, auf welcher E-Mail-Adresse jemand sich einen Schlüssel besorgt. Und ich befürchte, dass Implementierungen sich später nur noch auf DNSSEC (Root unter reiner US-Kontrolle) verlassen so wie's ja jetzt auch schon bei DANE-SMTP passiert. Ich persönlich kann der ganzen DNSSEC/DANE-Euphorie nicht so recht was abgewinnen. Ciao, Michael.
smime.p7s
Description: S/MIME Cryptographic Signature
