Re: Zertifikat für Mailserver

[Joachim Fahrner]

Am 20.10.2016 um 14:28 schrieb Walter H.:
> seit wann gilt eine WLAN-Verbindung als sicher?
> (man benutzt öffentliche WLANs doch grundsätzlich nur mit VPNs)
>
>

Eine SSL/TLS-Verbindung ist End-zu-End verschlüsselt, da spielt es keine
Rolle ob jemand den WLAN-Verkehr abhört.

Und nein, man nutzt öffentliches WLAN nicht grundsätzlich mit VPN. Man
darf lediglich keine personenbezogenen Daten ohne https übertragen, aber
das sollte man ohnehin auch nicht beim heimischen DSL-Anschluss tun. Die
Gefahr, dass dort jemand mitlauscht ist zwar geringer, aber nicht Null
(siehe NSA Datenausleitungen an Internetknoten).

-- 
Mit besten Grüßen
Joachim Fahrner

Re: Zertifikat für Mailserver

[Walter H.]

Hallo Gregor

On Thu, October 20, 2016 10:29, Gregor Hermens wrote:
>> oder anders: ein MITM Angriff auf die Art nur auf EINE ganz bestimmte
>> Person ist ausgeschlossen;
>
> wenn ich es schaffe, mich in die Internet-Verbindung meines Opfers
> einzuklinken, kann ich mich diesem gegenüber sowohl als dessen Resolver
> als auch Mailserver ausgeben.

auf die Art? ;-)
http://web.archive.org/web/20151202203337/http://telecom.kz/en/news/view/18729

> Beispiel: Ich könnte einen WLAN-Access-Point aufsetzen, ...

seit wann gilt eine WLAN-Verbindung als sicher?

(man benutzt öffentliche WLANs doch grundsätzlich nur mit VPNs)

Grüße,
Walter

Re: Zertifikat für Mailserver

[lst_hoe02]

Zitat von Gregor Hermens :


Hallo Walter,

Am Donnerstag, 20. Oktober 2016 schrieb Walter H.:

On Thu, October 20, 2016 07:57, Gregor Hermens wrote:
> In beiden Fällen muß ich nur zusätzlich Einfluß auf den DNS-Resolver des
> Opfers nehmen können,

was ohne entsprechende Kollateralschäden schon mal nicht möglich ist;

> was bei genügend krimineller Energie kein Hexenwerk ist...

doch, weils in der Menge derer, die diesen Resolver verwenden, garantiert
mind. einen gibt, dem es verhext vorkommt und mit dem Besen andere warnt
;-)

oder anders: ein MITM Angriff auf die Art nur auf EINE ganz bestimmte
Person ist ausgeschlossen;


wenn ich es schaffe, mich in die Internet-Verbindung meines Opfers
einzuklinken, kann ich mich diesem gegenüber sowohl als dessen Resolver als
auch Mailserver ausgeben.

Beispiel: Ich könnte einen WLAN-Access-Point aufsetzen, diesem die SSID eines
offenen WLAN geben, daß das Opfer auch benutzt, mich in die Nähe des Opfers
begeben und so dafür sorgen, daß sich dessen Smartphone statt über das
Mobilfunknetz über das ihm bekannte WLAN mit dem Internet verbindet.  
Der echte

Resolver und dessen andere Nutzer bekommen davon nichts mit, ich habe aber
Zugriff auf den gesamten unverschlüsselten Traffic des Opfers und kann
verschlüsselten Traffic terminieren für alle Gegenstellen, deren Zertifikat
ich fälschen konnte. Der Angriff auf eine einzelne Person ist imho also sogar
leichter als der auf eine ganze Gruppe.


hat jemand seine eigene Domain, und betreibt zusätzlich seinen eigenen
Resolver sowie auch die Athoritativen DNS Server der Domain, ist ein
derartiger MITM-Angriff das kleinere Problem ...


Das ist aber nicht der Normalfall. Aber auch hier reicht es, wenn ich mich
zwischen das Opfer und seinen Resolver setzen oder den Resolver z.B.  
per Cache

Poisoning beeinflussen kann. Das Opfer müsste z.B. Certificate Pinning
betreiben, um sich zu schützen.

Gruß,
Gregor


Dafür gibt es DNSSEC und DANE. Zertifikat Pinning skaliert nicht und  
verschiebt die Sicherheits Entscheidung zum Endanwender, der i.d.R.  
mit Zertifikate verifizieren überfordert ist.


Gruß

Andreas





smime.p7s
Description: S/MIME Cryptographic Signature

Re: Zertifikat für Mailserver

[Walter H.]

Hallo Gregor,

On Thu, October 20, 2016 07:57, Gregor Hermens wrote:

> In beiden Fällen muß ich nur zusätzlich Einfluß auf den DNS-Resolver des
> Opfers nehmen können,

was ohne entsprechende Kollateralschäden schon mal nicht möglich ist;

> was bei genügend krimineller Energie kein Hexenwerk ist...

doch, weils in der Menge derer, die diesen Resolver verwenden, garantiert
mind. einen gibt, dem es verhext vorkommt und mit dem Besen andere warnt
;-)

oder anders: ein MITM Angriff auf die Art nur auf EINE ganz bestimmte
Person ist ausgeschlossen;

hat jemand seine eigene Domain, und betreibt zusätzlich seinen eigenen
Resolver sowie auch die Athoritativen DNS Server der Domain, ist ein
derartiger MITM-Angriff das kleinere Problem ...

Grüße,
Walter

Re: Zertifikat für Mailserver

[Gregor Hermens]

Hallo Walter,

Am Donnerstag, 20. Oktober 2016 schrieb Walter H.:
> On Thu, October 20, 2016 07:57, Gregor Hermens wrote:
> > In beiden Fällen muß ich nur zusätzlich Einfluß auf den DNS-Resolver des
> > Opfers nehmen können,
> 
> was ohne entsprechende Kollateralschäden schon mal nicht möglich ist;
> 
> > was bei genügend krimineller Energie kein Hexenwerk ist...
> 
> doch, weils in der Menge derer, die diesen Resolver verwenden, garantiert
> mind. einen gibt, dem es verhext vorkommt und mit dem Besen andere warnt
> ;-)
> 
> oder anders: ein MITM Angriff auf die Art nur auf EINE ganz bestimmte
> Person ist ausgeschlossen;

wenn ich es schaffe, mich in die Internet-Verbindung meines Opfers 
einzuklinken, kann ich mich diesem gegenüber sowohl als dessen Resolver als 
auch Mailserver ausgeben.

Beispiel: Ich könnte einen WLAN-Access-Point aufsetzen, diesem die SSID eines 
offenen WLAN geben, daß das Opfer auch benutzt, mich in die Nähe des Opfers 
begeben und so dafür sorgen, daß sich dessen Smartphone statt über das 
Mobilfunknetz über das ihm bekannte WLAN mit dem Internet verbindet. Der echte 
Resolver und dessen andere Nutzer bekommen davon nichts mit, ich habe aber 
Zugriff auf den gesamten unverschlüsselten Traffic des Opfers und kann 
verschlüsselten Traffic terminieren für alle Gegenstellen, deren Zertifikat 
ich fälschen konnte. Der Angriff auf eine einzelne Person ist imho also sogar 
leichter als der auf eine ganze Gruppe.

> hat jemand seine eigene Domain, und betreibt zusätzlich seinen eigenen
> Resolver sowie auch die Athoritativen DNS Server der Domain, ist ein
> derartiger MITM-Angriff das kleinere Problem ...

Das ist aber nicht der Normalfall. Aber auch hier reicht es, wenn ich mich 
zwischen das Opfer und seinen Resolver setzen oder den Resolver z.B. per Cache 
Poisoning beeinflussen kann. Das Opfer müsste z.B. Certificate Pinning 
betreiben, um sich zu schützen.

Gruß,
Gregor
-- 
 @mazing   fon +49 8142 6528665
  Gregor Hermens   fax +49 8142 6528669
Brucker Strasse 12  gregor.herm...@a-mazing.de
D-82216 Gernlindenhttp://www.a-mazing.de/

Re: Zertifikat für Mailserver

[Gregor Hermens]

Hallo Walter,

Am Mittwoch, 19. Oktober 2016 schrieb Walter H.:
> einzig beim eigentlichen SMTP-Server, welchen man beim Mail-Client
> eingestellt hat, hat man als Benutzer eine Möglichkeit das Zertifikat
> überhaupt zu Gesicht zu bekommen ...

... und lässt sich dort für einen Man-in-the-Middle Angriff auf die Clients 
des Domain-Inhabers verwenden.
 
> beim Zugriff via POP3(S) oder IMAP(S) auf sein beim ISP oder sonst einem
> Hoster gehosteten Postfach, würde einem potentiellen Angreifer einem auf
> die Art "gewonnenem" Zertifikat überhaupt nicht gedient sein, weil Du nie
> damit in Berührung kommst ...

Auch hier ist MitM möglich.

In beiden Fällen muß ich nur zusätzlich Einfluß auf den DNS-Resolver des 
Opfers nehmen können, was bei genügend krimineller Energie kein Hexenwerk 
ist...

Gruß,
Gregor
-- 
 @mazing   fon +49 8142 6528665
  Gregor Hermens   fax +49 8142 6528669
Brucker Strasse 12  gregor.herm...@a-mazing.de
D-82216 Gernlindenhttp://www.a-mazing.de/

Re: Zertifikat für Mailserver

[Walter H.]

On Wed, October 19, 2016 19:58, J. Fahrner wrote:
> Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
>> Was soll das dann bringen? Verschlüsselten Transport zu einer nicht
>> vertrauenswürdigen Endstelle?
>>
>
> Soviel zum Thema "vertrauenswürdig":
> https://www.heise.de/security/meldung/Zertifikats-Klau-Fatale-Sehschwaeche-bei-Comodo-3354229.html
>
>
das ist aber nur bei HTTP(S) kritisch; bei SMTP(S) irrelevant, zumal
niemand die Zertifikate von Mailservern welche als MX eingetragen sind, je
direkt überprüft;
einzig beim eigentlichen SMTP-Server, welchen man beim Mail-Client
eingestellt hat, hat man als Benutzer eine Möglichkeit das Zertifikat
überhaupt zu Gesicht zu bekommen ...

beim Zugriff via POP3(S) oder IMAP(S) auf sein beim ISP oder sonst einem
Hoster gehosteten Postfach, würde einem potentiellen Angreifer einem auf
die Art "gewonnenem" Zertifikat überhaupt nicht gedient sein, weil Du nie
damit in Berührung kommst ...

Re: Zertifikat für Mailserver

[J. Fahrner]

Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
> Was soll das dann bringen? Verschlüsselten Transport zu einer nicht
> vertrauenswürdigen Endstelle?
>

Soviel zum Thema "vertrauenswürdig":
https://www.heise.de/security/meldung/Zertifikats-Klau-Fatale-Sehschwaeche-bei-Comodo-3354229.html

Re: Zertifikat für Mailserver

[Philipp Resch]

Am 11.10.2016 um 13:23 schrieb Jochen Fahrner:
> Am 11.10.2016 um 13:09 schrieb Markus Gonzalez:
>>
>> Ich bin lediglich der Meinung, das Geheimdienste "entschlüsseln" können,
>> wenn diese das wirklich wollen
> 
> Können Sie nicht.
> http://www.heise.de/security/artikel/SSH-SSL-IPsec-alles-kaputt-kann-das-weg-2514013.html
> 
> Und selbst wenn es Ihnen im Einzelfall gelingen würde, kann man damit
> immer noch keine Massenüberwachung realisieren.
> 
> 

Ich fahre hier den Ansatz: Lieber mehr verschlüsseln als weniger. Selbst
wenn irgendeine Instanz es irgendwie mitlesen könnte, würde es im
mindesten Fall Aufwand bedeuten. Und selbst wenn immer von "unbegrenzten
Resourcen" die Rede ist - komplett unbegrenzt sind die auch nicht. Also
ist etwas mehr Aufwand bei vielen Kleinigkeiten auf einmal großer
Aufwand. Die Hoffnung ist "indirekter DDoS" :D
Und das einmalige einrichten von TLS ist auf Postfix ja nun wirklich
kein Hexenwerk, sei es ein Selfsigned oder ein "vertrauenswürdiges"
Zertifikat. Wie vertrauenswürdig die sind haben verschiedene CAs ja die
letzten Monate eindrucksvoll bewiesen...
Tatsächlich vertraue ich Let's Encrypt mittlerweile deutlich mehr als
irgendeinem WoSign/StartCom...

>> Für mich keinen erkennbaren Unterschied, sehe sogar eher einen
>> Sicherheitsaspekt in "self-signed", denn ich werde meine Keys zur
>> Entschlüsselung bestimmt nicht an NSA und & Co. verkaufen und auch keine
>> Hintertüren einbauen.
>>
>>
> 
> Auch bei einem, durch eine CA zertifizierten Zertifikat, verlässt dein
> private Key niemals deinen eigenen Rechner. Ein CSR enthält nur den
> public Key. Sicherheitstechnisch bringt ein selbst signieren keinen Vorteil.
> 

Re: Zertifikat für Mailserver

[Jochen Fahrner]

Am 11.10.2016 um 13:09 schrieb Markus Gonzalez:
>
> Ich bin lediglich der Meinung, das Geheimdienste "entschlüsseln" können,
> wenn diese das wirklich wollen

Können Sie nicht.
http://www.heise.de/security/artikel/SSH-SSL-IPsec-alles-kaputt-kann-das-weg-2514013.html

Und selbst wenn es Ihnen im Einzelfall gelingen würde, kann man damit
immer noch keine Massenüberwachung realisieren.


> Für mich keinen erkennbaren Unterschied, sehe sogar eher einen
> Sicherheitsaspekt in "self-signed", denn ich werde meine Keys zur
> Entschlüsselung bestimmt nicht an NSA und & Co. verkaufen und auch keine
> Hintertüren einbauen.
>
>

Auch bei einem, durch eine CA zertifizierten Zertifikat, verlässt dein
private Key niemals deinen eigenen Rechner. Ein CSR enthält nur den
public Key. Sicherheitstechnisch bringt ein selbst signieren keinen Vorteil.

-- 
Mit besten Grüßen
Jochen Fahrner

Re: Zertifikat für Mailserver

[Markus Gonzalez]

Am 11.10.2016 um 12:22 schrieb Jörn Bredereck:
> 
> Am 11.10.2016 um 06:35 schrieb J. Fahrner:
>> Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
>>> Was soll das dann bringen? Verschlüsselten Transport zu einer nicht
>>> vertrauenswürdigen Endstelle?
> Willst du damit sagen, dass dein Postfix TLS-Verbindungen zu/von MTAs
> mit selbstsignierten Zertifikaten ablehnt? Falls nein: Welchen

Nein.
Hatte diesbezüglich auch noch keinerlei Probleme.
Ich bin lediglich der Meinung, das Geheimdienste "entschlüsseln" können,
wenn diese das wirklich wollen

> Unterschied macht es dann, ob die betreffenden MTAs von einer bekannten
> CA zertifiziert wurden?

Für mich keinen erkennbaren Unterschied, sehe sogar eher einen
Sicherheitsaspekt in "self-signed", denn ich werde meine Keys zur
Entschlüsselung bestimmt nicht an NSA und & Co. verkaufen und auch keine
Hintertüren einbauen.


> Viele Grüße, 
> Jörn Bredereck 
> 

Re: Zertifikat für Mailserver

[Robert Schetterer]

Am 11.10.2016 um 11:41 schrieb Markus Gonzalez:
> 
> 
> Am 11.10.2016 um 06:35 schrieb J. Fahrner:
>> Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
>>> Was soll das dann bringen? Verschlüsselten Transport zu einer nicht
>>> vertrauenswürdigen Endstelle?
>>>
>>
>> Na zum Beispiel, dass die NSA nicht mitlesen kann.
>>
> 
> Ich bin davon überzeugt, das Geheimdienste alles mitlesen können, wenn
> sie das wollen - Infrastrukturen und entsprechende Mitarbeiter hierfür
> stehen denen in jedem Fall zur Verfügung - auch wenn dies ein gewisser
> Aufwand bedeutet ...
> Erschweren kann man das höchstens noch durch Mailverschlüsselungen mit
> PGP und co 
> 
> 
> Ich selbst habe ein self-signed Zertifikat für meinen MX im Einsatz.
> 
> Grüsse,
> Markus
> 

Ich bin ueberzeugt davon dass Aliens uns schon immer abhoeren *g

Butter bei die Fische, man richtet und wartet einen Mailserver nach
"Stand der Technik", der Rest ist entweder bekannt oder Spekulation...



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Re: Zertifikat für Mailserver

[Jörn Bredereck]

Am 11.10.2016 um 06:35 schrieb J. Fahrner:
> Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
>> Was soll das dann bringen? Verschlüsselten Transport zu einer nicht
>> vertrauenswürdigen Endstelle?
Willst du damit sagen, dass dein Postfix TLS-Verbindungen zu/von MTAs mit 
selbstsignierten Zertifikaten ablehnt? Falls nein: Welchen Unterschied macht es 
dann, ob die betreffenden MTAs von einer bekannten CA zertifiziert wurden?
Viele Grüße,
Jörn Bredereck

Re: Zertifikat für Mailserver

[Markus Gonzalez]

Am 11.10.2016 um 06:35 schrieb J. Fahrner:
> Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
>> Was soll das dann bringen? Verschlüsselten Transport zu einer nicht
>> vertrauenswürdigen Endstelle?
>>
> 
> Na zum Beispiel, dass die NSA nicht mitlesen kann.
> 

Ich bin davon überzeugt, das Geheimdienste alles mitlesen können, wenn
sie das wollen - Infrastrukturen und entsprechende Mitarbeiter hierfür
stehen denen in jedem Fall zur Verfügung - auch wenn dies ein gewisser
Aufwand bedeutet ...
Erschweren kann man das höchstens noch durch Mailverschlüsselungen mit
PGP und co 


Ich selbst habe ein self-signed Zertifikat für meinen MX im Einsatz.

Grüsse,
Markus

Re: Zertifikat für Mailserver

[Alex JOST]

Am 10.10.2016 um 21:46 schrieb Johannes Kastl:

On 06.10.16 19:40 Joachim Fahrner wrote:

Für Mailserver aber egal, da reicht im Prinzip auch ein
self-signed Zertifikat.


Was soll das dann bringen? Verschlüsselten Transport zu einer nicht
vertrauenswürdigen Endstelle?

Oder stehe ich auf dem Schlauch.


Ist für Dich jemand vertrauenswürdig weil er sich irgendwo ein 
Zertifikat für € 10,- gekauft hat?


--
Alex JOST

Re: Zertifikat für Mailserver

[J. Fahrner]

Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
> Was soll das dann bringen? Verschlüsselten Transport zu einer nicht
> vertrauenswürdigen Endstelle?
>

Na zum Beispiel, dass die NSA nicht mitlesen kann.

Re: Zertifikat für Mailserver

[Johannes Kastl]

On 06.10.16 19:40 Joachim Fahrner wrote:
> Für Mailserver aber egal, da reicht im Prinzip auch ein
> self-signed Zertifikat.

Was soll das dann bringen? Verschlüsselten Transport zu einer nicht
vertrauenswürdigen Endstelle?

Oder stehe ich auf dem Schlauch.

Johannes



signature.asc
Description: OpenPGP digital signature

Re: Zertifikat für Mailserver

[J. Fahrner]

Am 10.10.2016 um 14:09 schrieb Walter H.:
> ich habe eine Quelle erschlossen, welche den genannten Nachteil nicht
> haben;
> siehe hier:
>
> https://www.lowendtalk.com/discussion/81026/free-alphassl-wildcard-and-regular-ssls
>
> bin durch Zufall dorthin "gestolpert"

Das sieht aber sehr dubios aus.
>
> das reicht im Prinzip grundsätzlich; das Zertifikat hat keinen Einfluß auf
> die Verschlüsselung; einzig auf die Vertrauensstellung;

Ist aber lästig, wenn der Aufrufer einer Webseite erstmal eine fette
Warnung bekommt, dass die Seite nicht vertauenswürdig sei.

Re: Zertifikat für Mailserver

[Walter H.]

On Thu, October 6, 2016 19:40, Joachim Fahrner wrote:

>> Bei Let's Encrypt: nix
>>>
>>> 4.)Welchen Anbieter könnt ihr empfehlen?
>>>
>
> Ich verwende seit Jahren auf meinem Server ein Zertifikat von
> cacert.org. So weit mir bekannt der einzige Anbieter von kostenlosen
> Wildcard-Zertifikaten.

ich habe eine Quelle erschlossen, welche den genannten Nachteil nicht haben;
siehe hier:

https://www.lowendtalk.com/discussion/81026/free-alphassl-wildcard-and-regular-ssls

bin durch Zufall dorthin "gestolpert"

> Für Mailserver aber egal, da reicht im Prinzip auch ein
> self-signed Zertifikat.

das reicht im Prinzip grundsätzlich; das Zertifikat hat keinen Einfluß auf
die Verschlüsselung; einzig auf die Vertrauensstellung;

> Das mit den Zertifizierungsstellen halte ich ohnehin für Schwachsinn,
> warum sollte ich ausgerechnet z.B. einer "Türktrust" trauen?

'SSL Everywhere' läßt grüßen ...

> Viel sinnvoller wäre es, wenn
> Anbieter, bei denen es auf Sicherheit ankommt (z.B. Banken) ihren Kunden
> den Fingerprint auf sicherem Wege zukommen lassen (z.B. mit den
> Zugangsdaten für das Online-Banking).

nicht wirklich; aber hier gehen die Meinungen konträr auseinander;

Grüße,
Walter

Re: Zertifikat für Mailserver

[Joachim Fahrner]

> Bei Let's Encrypt: nix
>>
>> 4.)Welchen Anbieter könnt ihr empfehlen?
>>

Ich verwende seit Jahren auf meinem Server ein Zertifikat von
cacert.org. So weit mir bekannt der einzige Anbieter von kostenlosen
Wildcard-Zertifikaten. Einziger Nachteil: Deren Root-Zertifikat ist in
den seltensten Fällen vorinstalliert, Debian hat es auch kürzlich
rausgeworfen. Für Mailserver aber egal, da reicht im Prinzip auch ein
self-signed Zertifikat.

Das mit den Zertifizierungsstellen halte ich ohnehin für Schwachsinn,
warum sollte ich ausgerechnet z.B. einer "Türktrust" trauen? Selbst
Google-Zertifikate wurden schon gefälscht. Viel sinnvoller wäre es, wenn
Anbieter, bei denen es auf Sicherheit ankommt (z.B. Banken) ihren Kunden
den Fingerprint auf sicherem Wege zukommen lassen (z.B. mit den
Zugangsdaten für das Online-Banking).

-- 
Mit besten Grüßen
Joachim Fahrner

PGP-Key: http://www.fahrner.name/JoachimFahrner.asc
---
Es gibt keine Cloud. Es ist nur der Computer eines Anderen.

Re: Zertifikat für Mailserver

[Andreas Wass - Glas Gasperlmair]

Am 06.10.2016 um 14:27 schrieb Matthias Schmidt:

Am 06.10.2016 um 20:58 schrieb Ralf Hildebrandt :

* Andreas Wass - Glas Gasperlmair :

Kann ich davon ausgehen, dass diesen Zertifikaten von Let's Encrypt auch
vertraut wird,

Ja


oder bekommt man eine Warnmeldung in den gängigen
Browsern,

Nein.


wenn man auf eine Seite geht, welche so ein Zertifikat verwendet?

Du machst SMTP im Browser?

Webmail Interface würd sich doch anbieten u.U. ;-)
Gruss
Matthias



So ihr IT-Profis da draußen,
vielen Dank für eure Antworten, ihr habt mir wie immer sehr geholfen mit 
euren Antworten :-)


vg, Andi

Re: Zertifikat für Mailserver

[Matthias Schmidt]

> Am 06.10.2016 um 20:58 schrieb Ralf Hildebrandt :
> 
> * Andreas Wass - Glas Gasperlmair :
>> Kann ich davon ausgehen, dass diesen Zertifikaten von Let's Encrypt auch
>> vertraut wird,
> 
> Ja
> 
>> oder bekommt man eine Warnmeldung in den gängigen
>> Browsern,
> 
> Nein.
> 
>> wenn man auf eine Seite geht, welche so ein Zertifikat verwendet?
> 
> Du machst SMTP im Browser?

Webmail Interface würd sich doch anbieten u.U. ;-)
Gruss
Matthias




signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: Zertifikat für Mailserver

[Marco Dickert]

On 2016-10-06 13:38:53, Andreas Wass - Glas Gasperlmair wrote:
> Kann ich davon ausgehen, dass diesen Zertifikaten von Let's Encrypt auch
> vertraut wird, oder bekommt man eine Warnmeldung in den gängigen Browsern,
> wenn man auf eine Seite geht, welche so ein Zertifikat verwendet?

Die gängigen Zertifikats-Stores vertrauen LetsEncrypt. Du musst nur beachten,
dass du ein sogenanntes Intermediate-Zertifikat brauchst. Im Postfix müsstest
du das dann so konfigurieren:

$ cat server.crt chain.crt > server_with_chain.crt
$ sed -i "/smtpd_tls_cert_file/c 
smtpd_tls_cert_file=/path/to/server_with_chain.crt" /etc/postfix/main.cf

-- 
Marco Dickert
ma...@misterunknown.de
https://misterunknown.de


signature.asc
Description: Digital signature

Re: Zertifikat für Mailserver

[Ralf Hildebrandt]

* Andreas Wass - Glas Gasperlmair :
> Kann ich davon ausgehen, dass diesen Zertifikaten von Let's Encrypt auch 
> vertraut wird,

Ja

> oder bekommt man eine Warnmeldung in den gängigen 
> Browsern, 

Nein.

> wenn man auf eine Seite geht, welche so ein Zertifikat verwendet?

Du machst SMTP im Browser?
--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München
   
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Re: Zertifikat für Mailserver

[Ralf Hildebrandt]

* Andreas Wass - Glas Gasperlmair :
> Hallo Postfix Profis!
> 
> Wir sind gerade dabei, einen neuen Mailserver nur für unsere Domain 
> einzurichten und fragen uns, ob wir ein offizielles Zertifikat 
> ausstellen lassen sollen, welches unseren Mailserver gegen über anderen 
> als legitim ausweist und mit dem wir verschlüsselte Verbindungen 
> aufbauen können.
> 
> 1.)Verwendet ihr offizielle Zertifikate und sollte man das machen?

Wir verwenden eines, und wenn man das machen kann, warum sollte man
nicht?
 
> 2.)Muss das ein bestimmter Zertifikat-Typ sein?
>
> 3.)Was kostet so ein Zertifikat ungefähr?

Bei letsencrypt.org nix.

> 4.)Welchen Anbieter könnt ihr empfehlen?

letsencrypt.org

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München
   
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Re: Zertifikat für Mailserver

[Andreas Wass - Glas Gasperlmair]

Kann ich davon ausgehen, dass diesen Zertifikaten von Let's Encrypt auch 
vertraut wird, oder bekommt man eine Warnmeldung in den gängigen 
Browsern, wenn man auf eine Seite geht, welche so ein Zertifikat verwendet?


vg, Andi

Am 06.10.2016 um 13:04 schrieb Philipp Resch:
Am .10.2016, 10:47 Uhr, schrieb Andreas Wass - Glas Gasperlmair 
:



1.)Verwendet ihr offizielle Zertifikate und sollte man das machen?


Ich verwende zur Zeit kostenlose Zertifikate von Let's Encrypt


2.)Muss das ein bestimmter Zertifikat-Typ sein?


Domainzertifikat sollte schon sein ;)


3.)Was kostet so ein Zertifikat ungefähr?


Bei Let's Encrypt: nix


4.)Welchen Anbieter könnt ihr empfehlen?

Re: Zertifikat für Mailserver

[Philipp Resch]

Am .10.2016, 10:47 Uhr, schrieb Andreas Wass - Glas Gasperlmair  
:



1.)Verwendet ihr offizielle Zertifikate und sollte man das machen?


Ich verwende zur Zeit kostenlose Zertifikate von Let's Encrypt


2.)Muss das ein bestimmter Zertifikat-Typ sein?


Domainzertifikat sollte schon sein ;)


3.)Was kostet so ein Zertifikat ungefähr?


Bei Let's Encrypt: nix


4.)Welchen Anbieter könnt ihr empfehlen?

Re: Zertifikat für Mailserver

[Gregor Hermens]

Hallo zusammen,

Am Donnerstag, 6. Oktober 2016 schrieb Jörn Bredereck:
> 3.) von kostenlos (startssl.com,
> letsencrypt.org)  bis unverschämt teuer gibt der
> CA-Markt einiges her. :-)

von StartCom (und WoSign) sollte man aktuell die Finger lassen:

https://heise.de/-3341294

Gruß,
Gregor
-- 
 @mazing   fon +49 8142 6528665
  Gregor Hermens   fax +49 8142 6528669
Brucker Strasse 12  gregor.herm...@a-mazing.de
D-82216 Gernlindenhttp://www.a-mazing.de/

RE: Zertifikat für Mailserver

[Magnus Wagner]

>> 3. je nach Anbieter nix bis 100.000?
> ]a 100 Risen? WTF?!?

Das ist ein unverbindliches Angebot.
Keine Ahnung ob ich es schaffe dafür ne CA aufzuziehen um ihm dann ein 
Zertifikat zu verkaufen :-)

>> 4. kann ich nix zu sagen, wir sind sozusagen unser eigener Anbieter.
>Let's encrypt ist IMHO the way to go. 
Ok, wie gesagt, nie mit beschäftigt. Wir sind selber Registrierungsstelle...

Magnus

Re: Zertifikat für Mailserver

[Jörn Bredereck]

Hallo Andreas,

1.) Wir verwenden ein offizielles Wildcard-Zertifikat für unsere Domain. 
Allerdings haben wir in anderen Projekten auch selbstsignierte Zertifikate für 
Postfix im Einsatz. Bei SMTP zwischen Mailservern ist das in der Regel 
vollkommen ausreichend.

2.) nein

3.) von kostenlos (startssl.com, 
letsencrypt.org)  bis unverschämt teuer gibt der 
CA-Markt einiges her. :-)

4.) Mit PSW haben wir ganz gute Erfahrungen gemacht: 
https://www.psw.net/ssl-zertifikate.cfm



Viele Grüße,
Jörn Bredereck

--

**
B GmbH & Co. KG
Landstr. 67a
76547 Sinzheim
Fon: 07221 996388-8
Fax: 07221 996388-1
http://www.bw-networx.net
i...@bw-networx.net
-
AG Mannheim HRA 521208
Pers. haf. Ges.:
B Verwaltungs-GmbH
Sitz: 76532 Baden-Baden
AG Mannheim HRB Nr.: 202122
Geschäftsführer:
Jörn Bredereck
Dipl. Ing. Holger Wunsch
**

Von: Andreas Wass - Glas Gasperlmair 

Datum: 6. Oktober 2016 at 10:55:11
An: postfix-users@de.postfix.org 

Betreff:  Zertifikat für Mailserver

Hallo Postfix Profis!

Wir sind gerade dabei, einen neuen Mailserver nur für unsere Domain
einzurichten und fragen uns, ob wir ein offizielles Zertifikat
ausstellen lassen sollen, welches unseren Mailserver gegen über anderen
als legitim ausweist und mit dem wir verschlüsselte Verbindungen
aufbauen können.

1.) Verwendet ihr offizielle Zertifikate und sollte man das machen?

2.) Muss das ein bestimmter Zertifikat-Typ sein?

3.) Was kostet so ein Zertifikat ungefähr?

4.) Welchen Anbieter könnt ihr empfehlen?


--
vg, Andi

Re: Zertifikat für Mailserver

[Matthias Schmidt]

> Am 06.10.2016 um 17:47 schrieb Andreas Wass - Glas Gasperlmair 
> :
> 
> Hallo Postfix Profis!
> 
> Wir sind gerade dabei, einen neuen Mailserver nur für unsere Domain 
> einzurichten und fragen uns, ob wir ein offizielles Zertifikat ausstellen 
> lassen sollen, welches unseren Mailserver gegen über anderen als legitim 
> ausweist und mit dem wir verschlüsselte Verbindungen aufbauen können.
> 
> 1.)Verwendet ihr offizielle Zertifikate und sollte man das machen?

ja

> 
> 2.)Muss das ein bestimmter Zertifikat-Typ sein?

Du hast 2 Dokumente, den private und den public key zum Zertifikat

Der Typ hängt u.U. auch vom verwendeten System ab.

> 
> 3.)Was kostet so ein Zertifikat ungefähr?

auf dem Server läuft:
1 domain (wie z.Bsp. mail.beispiel.net), da reicht ein einfaches Zertifikat und 
das kriegst oft kostenlos
mehrere subdomains, dann brauchst Du ein Wildcard Certificat (ca. 120Euro/Jahr)
ansonsten brauchst Du ein Multidomain Zertifikat ab ca. 40Euro/Jahr

die Preise hängen vom Anbieter ab.

> 
> 4.)Welchen Anbieter könnt ihr empfehlen?

ich hab zwischenzeitlich alles bei gandi.net


Gruss
Matthias




signature.asc
Description: Message signed with OpenPGP using GPGMail