Mailinglistenalternative zu Googlegroups
Paul Hänsch
paul at fsfe.org
Mo Apr 18 17:07:47 UTC 2016
On 2016-04-18 15:09, Moritz Bartl wrote:
> > Ggf. kneifst du dir dann sogar das TLS.
>
> Bitte? Sowas sollte man nun wirklich niemandem raten.
Das ist das was *die* wollen, was du glaubst... ;-)
Ich dachte mir ja schon, dass irgendwer Anstoß daran nimmt. Ich halte
aber daran fest, denn...
...allgemein:
- SSL ist keine Email-Verschlüsselung!
- Auch nicht ein ganz kleines bisschen
- Auch nicht "besser als gar nichts", die Mailserver in der
Kette sind die hauptsächlichen Angriffspunkte, und gerade
diese werden nicht abgedeckt
- Irgendwo in der Kette irgendwie was mit Verschlüsselung zu haben
ist weit entfernt von sicherer Kommunikation
...spezifisch:
- das diskutierte Setup soll nicht für Submission verwendet werden
- Andere Mailserver stellen nicht authentifiziert zu und machen häufig
auch keinen Gebrauch von einem angebotenen TLS Kanal. Tatsächlich
wird
dein Server sich sehr einsam fühlen, wenn du Mailzustellung
ausschließlich
via TLS zulässt
- *Falls* du den Server zur Submission verwenden willst, gibt es dennoch
Authentifizierungsverfahren die das Auslesen von Passwörtern auf
Plaintext-Kanälen verhindern (z.B. CRAM)
Das gilt natürlich nicht wenn du z.B. auch IMAP anbietest, wo dann die
Mailpostfächer abrufbar sind. Auch wenn du ohnehin schon ein
SSL-Zertifikat für einen eventuellen Webserver hast, schmerzt es nicht
weiter, das auch für den SMTP Server zu verwenden.
Um nochmal zum Anfang zurückzukommen: SSL wurde entworfen und ist
geeignet um Kleinkriminelle davon abzuhalten, deine Kreditkartennummer
von der Leitung zu sniffen. In dem Bereich ist es vollkommen richtig
platziert. Spätestend mit den Five-Eyes-Leaks sollte sich unser
Verständnis von Computersicherheit aber dahingehend gewandelt haben,
dass wir eine andere Größenordnung von Gegener annehmen müssen.
Ausgerechnet SSL stellt in diesem Fall keinen Gewinn da. "Die Kosten
der Überwachung" deckst du dann beim Erwerb deines Zertifikates gleich
mit ab. Was steigt sind vor allem deine eigenen Kosten.
SSL ist eine schlechte Ausrede um sich mit PGP nicht auseinandersetzen
zu müssen. Admins jetzt dazu zu nötigen irgendwelche Profaninhalte
hinter SSL-Seiten zu stellen ist Ressourcenverschwendung. Das trainiert
Internetnutzer dazu Warnungen weg zu klicken und steigert obendrein
noch die Einstiegshürde für den gefühlt professionellen Betrieb eigener
Services.
Die Energie lässt sich sinnvoller aufwenden um z.B. überhaupt erst mal
dein Hosting selbst in die Hand zu nehmen. *Das* nämlich wäre ein
Anfang.
--
Paul Hänsch █▉ Webmaster, System-Hacker
█▉█▉█▉
Jabber: paul at jabber.fsfe.org ▉▉ Free Software Foundation Europe
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 819 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20160418/3d350081/attachment.sig>
Mehr Informationen über die Mailingliste FSFE-de