Public Mailserver mit Self-Signed-Zertifikat

[Walter H.]

On Wed, January 23, 2019 20:46, J. Fahrner wrote:
> Am 2019-01-23 20:31, schrieb Stefanie Leisestreichler:
>> Wenn es jedoch unter Punkt 1 darauf herausläuft, dass der sendende MX
>> zu Absicherung der Kommunikation mein Zertifikat importieren muss,
>> dann ist das ein Showstopper, weil dies sicherlich keiner tun wird.
>>
>> Lass mich raten: Genau das hast Du gemeint, korrekt? Und ehrlich
>> gesagt war es dann genau das, was ich nicht hören wollte :-(
>
> Mir ist kein Ernst zu nehmender Mailserver bekannt, der eine Mail
> ablehnt, weil ihm das Zertifikat nicht gefällt.
so kann das auch nicht gehen, weil das Zertifikat hat er ja selber ...

es geht in die andere Richtung, Mailserver x prüft das Zertifikat von
Mailserver y um sicher zu gehen, auch dem richtigen Mailserver die Mail zu
übermitteln; schlägt die Prüfung fehl verwirft er die Mail ...

> Der Grossteil aller
> Mails wird immer noch unverschlüsselt übermittelt.

hier gehts auch nicht um die Mailverschlüsselung an sich sondern um die
Authentizität bzw. Integrität des Mailservers

> Eine Verschlüsselung
> ablehnen, weil das Zertifikat selbst-signiert ist macht überhaupt keinen
> Sinn.

stimmt, aber verwerfen weil man nicht weiß wer er ist; vgl. mit Postboten
in Fake-Uniform, denen wirst auch keine Post übergeben, eher shredderst
sie;

> Wer Wert darauf legt, seinen gegenüber zu verifizieren, der macht das
> mit PGP oder S/MIME Signaturen.

Ja und Nein;

> Das ist nicht die Aufgabe des
> Transportsystems!

Stimmt aber die Aufgabe des Absenders ist es zu entscheiden, welches
Transportunternehmen beauftragt wird ...

> Die Post transportiert auch jeden Brief. Will ich meinen Gegenüber
> identifizieren, dann muss ich eben zum Postident-Verfahren greifen.

das hindert aber niemanden daran die Post via Eulen nach Athen zu schicken
...