Mailinglistenalternative zu Googlegroups

Paul Hänsch paul at fsfe.org
Mo Apr 18 17:07:47 UTC 2016 

On 2016-04-18 15:09, Moritz Bartl wrote:
> > Ggf. kneifst du dir dann sogar das TLS.
> 
> Bitte? Sowas sollte man nun wirklich niemandem raten.

Das ist das was *die* wollen, was du glaubst... ;-)

Ich dachte mir ja schon, dass irgendwer Anstoß daran nimmt. Ich halte  
aber daran fest, denn...

...allgemein:
- SSL ist keine Email-Verschlüsselung!
- Auch nicht ein ganz kleines bisschen
- Auch nicht "besser als gar nichts", die Mailserver in der
   Kette sind die hauptsächlichen Angriffspunkte, und gerade
   diese werden nicht abgedeckt
- Irgendwo in der Kette irgendwie was mit Verschlüsselung zu haben
   ist weit entfernt von sicherer Kommunikation

...spezifisch:
- das diskutierte Setup soll nicht für Submission verwendet werden
- Andere Mailserver stellen nicht authentifiziert zu und machen häufig
   auch keinen Gebrauch von einem angebotenen TLS Kanal. Tatsächlich  
wird
   dein Server sich sehr einsam fühlen, wenn du Mailzustellung  
ausschließlich
   via TLS zulässt
- *Falls* du den Server zur Submission verwenden willst, gibt es dennoch
   Authentifizierungsverfahren die das Auslesen von Passwörtern auf
   Plaintext-Kanälen verhindern (z.B. CRAM)

Das gilt natürlich nicht wenn du z.B. auch IMAP anbietest, wo dann die  
Mailpostfächer abrufbar sind. Auch wenn du ohnehin schon ein  
SSL-Zertifikat für einen eventuellen Webserver hast, schmerzt es nicht  
weiter, das auch für den SMTP Server zu verwenden.

Um nochmal zum Anfang zurückzukommen: SSL wurde entworfen und ist  
geeignet um Kleinkriminelle davon abzuhalten, deine Kreditkartennummer  
von der Leitung zu sniffen. In dem Bereich ist es vollkommen richtig  
platziert. Spätestend mit den Five-Eyes-Leaks sollte sich unser  
Verständnis von Computersicherheit aber dahingehend gewandelt haben,  
dass wir eine andere Größenordnung von Gegener annehmen müssen.  
Ausgerechnet SSL stellt in diesem Fall keinen Gewinn da. "Die Kosten  
der Überwachung" deckst du dann beim Erwerb deines Zertifikates gleich  
mit ab. Was steigt sind vor allem deine eigenen Kosten.

SSL ist eine schlechte Ausrede um sich mit PGP nicht auseinandersetzen  
zu müssen. Admins jetzt dazu zu nötigen irgendwelche Profaninhalte  
hinter SSL-Seiten zu stellen ist Ressourcenverschwendung. Das trainiert  
Internetnutzer dazu Warnungen weg zu klicken und steigert obendrein  
noch die Einstiegshürde für den gefühlt professionellen Betrieb eigener  
Services.
Die Energie lässt sich sinnvoller aufwenden um z.B. überhaupt erst mal  
dein Hosting selbst in die Hand zu nehmen. *Das* nämlich wäre ein  
Anfang.

-- 
Paul Hänsch                     █▉            Webmaster, System-Hacker
                               █▉█▉█▉
Jabber: paul at jabber.fsfe.org    ▉▉     Free Software Foundation Europe
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20160418/3d350081/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de