[postfix-users] TLS von MTA zu MTA

[Robert Schetterer]

Am 09.08.2013 15:40, schrieb Florian Streibelt:
> Am Fr, 09.08.13 um 14:30:38 Uhr 
> schrieb Robert Schetterer <rs at sys4.de>:
> 
>> Am 09.08.2013 14:15, schrieb Jochen:
>>> Hallo,
>>>
>>> seit dem PRISM-Skandal macht man sich natürlich Gedanken, wie man die
>>> staatliche Schnüffelei weitestgehend unterbinden kann. Ist es mit
>>> möglich (und sinnvoll) eine TLS-Verschlüsselung zwischen 2 MTAs zu
>>> erzwingen? Wenn ja, wie müsste man das in seinem Postfix konfigurieren,
>>> sodass niemals unverschlüsselt Mails ausgetauscht werden?
> 
>> das musst du am Ende selbst entscheiden
>> die Frage ist ,ob du noch am allgemeinen unverschluesselten Mailverkehr
>> teilnehmen willst oder nicht, du kannst andere nicht per se zur
>> Verschluesselung zwingen
>>
> 
> Es gibt noch ein weitaus größeres Problem - die passenden Zertifikate.
> 
> Ich hab grade keine Zeit für eine ausführliche Antwort, daher nur grob.
> 
> 
> Es gibt ja gerade diese 'Email made in Germany Aktion' - da versuchen sie genau das.
> 
> http://www.heise.de/newsticker/meldung/E-Mail-Made-in-Germany-SSL-Verschluesselung-fuer-fast-alle-1932962.html
> 
> Das skaliert aber nicht, und spiegelt m.E. eine Sicherheit vor die nicht da ist und sperrt wieder mal kleinere Anbieter aus, deren Mails als nicht sicher angezeigt werden.

Marketing Fasel...., und die "Anzeige" wuerde ja erstmal nur in deren
Webmail zu sehen sein, mal ehrlich wer nutzt das schon, wenn er gerade
nicht muss, es ist eher peinlich fuer diese Firmen ,wenn man es genau
nimmt, dass sie nicht schon immer die Uebertragung
verschluesselten,falls es moeglich war.

Microsoft hat mit Exchange auch so einen Modus , als besonderes neues
Feature angepriesen hat wie immer nur einen einen tollen neuen Namen
dafuer erfunden und die Anzeige geht natuerlich nur mit Outlook und
Exchange....ich befuerchte es gibt sogar Admins die das als neues
Killerfeature ansehen *g

> 
> 
> 
> Zum einen sind da draußen hundertausende Mailserver, die keine 'offiziellen' Zertifikate von einer 'anerkannten' CA haben. Meine auch nicht, ich benutze CaCert Zertifikate und habe auch nicht vor das zu ändern, da es kein mehr an Sicherheit bietet.
> 
> Spätestens seit DigiNotar wissen wir, wie kaputt das CA-System ist. Und das kann man auch nicht reparieren - da jede CA prinzipbedingt für jede Domain ein Zertifikat ausstellen kann.
> Damit ist es dann eben möglich, dass China Telekom oder Türktrust oder eine 'vertrauenswürdige' CA in den USA ein Zertifikat für eine Domain Deiner Wahl ausstellt.
> 
> Wenn Du also den 'anerkannten' CAs traust kann die NSA immer noch ein mitm machen - du müsstest schon manuell die ZErtifikatsprüfsummen pflegen.
> 
> 
> Und selbst wenn das nicht so kaputt wäre, was macht man mit den Leuten die kein TLS anbieten? Auch weil sie sich kein Zertifikat leisten wollen - und wie bekommt man raus wer kein TLS anbietet und bei wem von außen die TLS verhandlung unterbunden wird?
> 
> 
> 
> Grüße,
>   Florian
> 

also ich hab jahrelang selbst produzierte ssl crts verwendet, ich hab
zwar nicht gelogged wer die alles akzeptierte, aber ich kann mich
eigentlich nicht daran erinnern dass sie massenhaft abgelehnt wurden,
ich gehe davon aus dass die meisten es pragmatisch handhaben und eben
nach dem Motto verfahren besser ein selbst gemachtes crt und
verschluesseln als gar nicht, einfach ausprobieren und mitloggen

Am Ende sollte die Email selbst  aber auch verschluesselt sein (
pgp,smime etc ) sonst ist es eh immer eine "Scheinsicherheit"

Wer ganz sicher gehen will sollte ausserdem auf Open Source
Betriebssysteme setzen *g



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein