Hallo,
seit dem PRISM-Skandal macht man sich natürlich Gedanken, wie man die
staatliche Schnüffelei weitestgehend unterbinden kann. Ist es mit
möglich (und sinnvoll) eine TLS-Verschlüsselung zwischen 2 MTAs zu
erzwingen? Wenn ja, wie müsste man das in seinem Postfix konfigurieren,
sodass niemals u
Am 09.08.2013 14:15, schrieb Jochen:
> Hallo,
>
> seit dem PRISM-Skandal macht man sich natürlich Gedanken, wie man die
> staatliche Schnüffelei weitestgehend unterbinden kann. Ist es mit
> möglich (und sinnvoll) eine TLS-Verschlüsselung zwischen 2 MTAs zu
> erzwingen? Wenn ja, wie müsste man das
Am 09.08.2013 14:30, schrieb Robert Schetterer:
> schau mal evtl
> http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/
> Best Regards MfG Robert Schetterer
Danke, der Artikel hilft mehr sehr!
___
postfix-users mailin
Am Fr, 09.08.13 um 14:30:38 Uhr
schrieb Robert Schetterer :
@ Robert Schetterer - letzte Mail von mir einfach löschen...
> Am 09.08.2013 14:15, schrieb Jochen:
> > Hallo,
> >
> > seit dem PRISM-Skandal macht man sich natürlich Gedanken, wie man die
> > staatliche Schnüffelei weitestgehend unte
Am 09.08.2013 15:40, schrieb Florian Streibelt:
> Am Fr, 09.08.13 um 14:30:38 Uhr
> schrieb Robert Schetterer :
>
>> Am 09.08.2013 14:15, schrieb Jochen:
>>> Hallo,
>>>
>>> seit dem PRISM-Skandal macht man sich natürlich Gedanken, wie man die
>>> staatliche Schnüffelei weitestgehend unterbinden k
Am 09.08.2013 16:34, schrieb Florian Streibelt:
> Zudem liegen die Emails dann wieder unverschlüsselt bei den jeweiligen
> Anbietern. Damit spiegelt es den Anwendern eine Sicherheit vor die nicht da
> ist.
Ich denke das ist das geringere Problem, da heutzutage die Mails direkt,
ohne Beteiligung
Am 2013-08-09 17:31, schrieb Robert Schetterer:
Am 09.08.2013 15:40, schrieb Florian Streibelt:
[..]
Und selbst wenn das nicht so kaputt wäre, was macht man mit den Leuten
die kein TLS anbieten? Auch weil sie sich kein Zertifikat leisten
wollen - und wie bekommt man raus wer kein TLS anbietet
Am Fr, 09.08.13 um 18:32:12 Uhr
schrieb Christian Bricart :
>
> Mails raus an bspw. web.de sehen total super aus:
> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
jop, ist sogar diffie hellman key exchange bei.
>
> Aber rein steht (auch bei *allen* anderen eingehenden ESMTPS
> Serververbindunge
Am 09.08.2013 23:47, schrieb Florian Streibelt:
> ie Verwendung von CAs dafür ist... naja... unpraktisch. Besser wäre da DNSSEC
> und ein fingerprint des keys im DNS - wenn man denn dnssec vertraut. *sigh*
da ist was in Arbeit, ich hab grad nur keine url fuer den Patch parat
Best Regards
MfG Ro
* Robert Schetterer :
> Am 09.08.2013 23:47, schrieb Florian Streibelt:
> > ie Verwendung von CAs dafür ist... naja... unpraktisch. Besser wäre da
> > DNSSEC und ein fingerprint des keys im DNS - wenn man denn dnssec vertraut.
> > *sigh*
>
> da ist was in Arbeit, ich hab grad nur keine url fuer
* Patrick Ben Koetter :
> * Robert Schetterer :
> > Am 09.08.2013 23:47, schrieb Florian Streibelt:
> > > ie Verwendung von CAs dafür ist... naja... unpraktisch. Besser wäre da
> > > DNSSEC und ein fingerprint des keys im DNS - wenn man denn dnssec
> > > vertraut. *sigh*
> >
> > da ist was in Ar
Am 09.08.2013 14:30, schrieb Robert Schetterer:
> schau mal evtl
>
> http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/
Woran erkenne ich denn nun ob auch tatsächlich verschlüsselt übertragen
wird?
Hieran?
Aug 11 08:01:31 server postfix/smtpd[6048]: setting
Am 11.08.2013 15:58, schrieb Jochen:
> Am 09.08.2013 14:30, schrieb Robert Schetterer:
>> schau mal evtl
>>
>> http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/
>
> Woran erkenne ich denn nun ob auch tatsächlich verschlüsselt übertragen
> wird?
>
> Hieran?
>
Am 11.08.2013 17:14, schrieb Robert Schetterer:
>> Aug 11 08:01:31 server postfix/smtpd[6048]: setting up TLS connection
>> from indium.canonical.com[91.189.90.7]
>> Aug 11 08:01:32 server postfix/smtpd[6048]: Anonymous TLS connection
>> established from indium.canonical.com[91.189.90.7]: TLSv1 wi
Am 11.08.2013 18:12, schrieb Jochen:
> Am 11.08.2013 17:14, schrieb Robert Schetterer:
>
>>> Aug 11 08:01:31 server postfix/smtpd[6048]: setting up TLS connection
>>> from indium.canonical.com[91.189.90.7]
>>> Aug 11 08:01:32 server postfix/smtpd[6048]: Anonymous TLS connection
>>> established fro
Am 11.08.2013 20:01, schrieb Robert Schetterer:
>
> smtp_tls_loglevel = 1
> smtp_tls_note_starttls_offer = yes
Das fehlte. Und auch das smtp_tls_security_level = may
Deshalb ging's nur inbound.
Sieht jetzt so aus:
Aug 11 20:42:46 server postfix/smtp[30881]: setting up TLS connection to
mx-ha03
Am 11.08.2013 20:48, schrieb Jochen Fahrner:
> Jetzt fehlt mir wohl bloss noch ein Root-Zertifikat der Telekom.
Damit hab ich jetzt irgendwie Probleme. Ich hab mir das Root-Zertifikat
bei der Telekom runtergeladen und nach /etc/ssl/certs kopiert.
Dann c_rehash /etc/ssl/certs
In main.cf habe ich:
Am 11.08.2013 20:59, schrieb Jochen Fahrner:
> Aber es bleibt immer noch bei dem "Untrusted" :-(
Fehler gefunden. Der Postfix macht einen chroot nach /var/spool/postfix,
deswegen findet er meine Zertifikate nicht.
Lösung: cat /etc/ssl/certs/*.pem >
/var/spool/postfix/etc/ssl/certs/ca-certificates
* Jochen Fahrner :
> Am 11.08.2013 20:59, schrieb Jochen Fahrner:
> > Aber es bleibt immer noch bei dem "Untrusted" :-(
>
> Fehler gefunden. Der Postfix macht einen chroot nach /var/spool/postfix,
> deswegen findet er meine Zertifikate nicht.
>
> Lösung: cat /etc/ssl/certs/*.pem >
> /var/spool/po
Am 11.08.2013 22:04, schrieb Patrick Ben Koetter:
> Sicherer wäre es, wenn Du die Certs folgendermaßen lädst:
>
> smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
>
> Das geht genauso, denn Postfix liest dieses File in seinen Prozess ein _bevor_
> es ins chroot wechselt. Dort sind sie dann in
* Jochen Fahrner :
> Am 11.08.2013 22:04, schrieb Patrick Ben Koetter:
> > Sicherer wäre es, wenn Du die Certs folgendermaßen lädst:
> >
> > smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
> >
> > Das geht genauso, denn Postfix liest dieses File in seinen Prozess ein
> > _bevor_
> > es ins
Am 11.08.2013 22:40, schrieb Patrick Ben Koetter:
>
> The $smtp_tls_CAfile contains the CA certificates of one or more trusted CAs.
> The file is opened (with root privileges) before Postfix enters the optional
> chroot jail and so need not be accessible from inside the chroot jail.
>
> Probier e
* Jochen Fahrner :
> Am 11.08.2013 22:40, schrieb Patrick Ben Koetter:
> >
> > The $smtp_tls_CAfile contains the CA certificates of one or more trusted
> > CAs.
> > The file is opened (with root privileges) before Postfix enters the optional
> > chroot jail and so need not be accessible from insi
Am 12.08.2013 08:12, schrieb Patrick Ben Koetter:
> Wenn Du es jetzt auf Debian/Ubuntu - falls noch nicht geschehen - noch amtlich
> machen willst, fügst Du Postfix zur Gruppe ssl-cert hinzu:
Ok, hab ich gemacht. Gruppe sasl fehlte auch.
Eins ist aber immer noch merkwürdig: Bei Mails zu web.de is
Am 12.08.2013 08:47, schrieb Jochen Fahrner:
> Am 12.08.2013 08:12, schrieb Patrick Ben Koetter:
>> Wenn Du es jetzt auf Debian/Ubuntu - falls noch nicht geschehen - noch
>> amtlich
>> machen willst, fügst Du Postfix zur Gruppe ssl-cert hinzu:
>
> Ok, hab ich gemacht. Gruppe sasl fehlte auch.
>
* Jochen Fahrner :
> Am 12.08.2013 08:12, schrieb Patrick Ben Koetter:
> > Wenn Du es jetzt auf Debian/Ubuntu - falls noch nicht geschehen - noch
> > amtlich
> > machen willst, fügst Du Postfix zur Gruppe ssl-cert hinzu:
>
> Ok, hab ich gemacht. Gruppe sasl fehlte auch.
>
> Eins ist aber immer n
Am 12.08.2013 09:24, schrieb Robert Schetterer:
> Das Ssl System setzt ja auf "Notare" die sozusagen die Identitaet
> versichern, die Frage heut zu Tage ist "glaubt" man den Notaren
> ist man paranoid wird man dies wohl mittlerweile verneinen
Ja das stimmt leider. Kürzlich ist ja eine dieser Zerti
Am 12.08.2013 09:37, schrieb Jochen Fahrner:
> Am 12.08.2013 09:24, schrieb Robert Schetterer:
>> Das Ssl System setzt ja auf "Notare" die sozusagen die Identitaet
>> versichern, die Frage heut zu Tage ist "glaubt" man den Notaren
>> ist man paranoid wird man dies wohl mittlerweile verneinen
>
> J
Das Problem von Jochen scheint hier eher die Client-Seite zu sein ...
Mozilla-Software hats auch nicht drin, wobei da CaCert immer noch
irgendwie im Audit-Prozess mit denen drin steckt, dass das Root-Cert
mit ausgliefert wird (Bei Mozilla werden m. W. nicht die jwe. Certs
vom Betriebssystem ve
Am 12.08.2013 09:50, schrieb Martin Rabl:
> Mozilla-Software hats auch nicht drin, wobei da CaCert immer noch
> irgendwie im Audit-Prozess mit denen drin steckt, dass das Root-Cert
> mit ausgliefert wird
Mein Wissensstand (von vor einem Jahr) ist, dass Mozilla (wie Microsoft
auch) für die Auditi
Am 12.08.2013 09:50, schrieb Martin Rabl:
> Das Problem von Jochen scheint hier eher die Client-Seite zu sein ...
>
> Mozilla-Software hats auch nicht drin, wobei da CaCert immer noch
> irgendwie im Audit-Prozess mit denen drin steckt, dass das Root-Cert mit
> ausgliefert wird (Bei Mozilla werden
Am Mo, 12.08.13 um 09:33:06 Uhr
schrieb Patrick Ben Koetter :
> Den Meisten reicht es, wenn sie mit einer selbstsignierten,
> verschlüsselten Verbindung "Datenintegrität", "Privatsphäre" und ggf.
> "Zugangskontrolle" herstellen können. Auf "Authentizität" (Identität) legen
> sie scheinbar nicht d
Am 12.08.2013 11:28, schrieb Florian Streibelt:
> Und hier ist halt das Problem, dadurch ist ein man in the middle Angriff
> trivial möglich, einzig der Fingerprint des ZErtifikats ändert sich.
> Und da das regelmässig der Fall ist kann man das leider vergessen.
Um man in the middle zu werden müs
33 matches
Mail list logo
