ANZEIGE
Ausweislich der Mailheader Deiner Mails an mich verschickt Dein Mailserver leider gar nichts verschlüsselt weiter
Ausweislich der Mailheader Deiner Mails an mich verschickt Dein Mailserver leider gar nichts verschlüsselt weiter
Ich hol schon einmal Popcorn...
Ein Proxy fuer SSL? Das grenzt ja an einen "man in the middle attack"
Klar, schau Dir Tommy, Bluecoat oder Webwasher an!
Ausweislich der Mailheader Deiner Mails an mich verschickt Dein Mailserver leider gar nichts verschlüsselt weiter
Vielleicht ist die Strecke bis zum Mailserver verschlüsselt, und der schickt es danach unverschlüsselt weiter
Vielleicht ist die Strecke bis zum Mailserver verschlüsselt, und der schickt es danach unverschlüsselt weiter
Wenn der Mailserver SSL/TLS kann, wäre das ein extrem ungewöhnliches (und schlechtes) Setup - denn das verwendete Protokoll ist ja das selbe (SMTP vom Mailclient zum Mailserver, und auch von Mailserver zu Mailserver)...
Ich habe gestern extra nochmal nachgeguckt, bei beiden kommerziellen SMTPs ist hier SSL angeklickt. Ich schicke dir nachher einfach ein paar Testmails von den diversen Servern, dann kannst du vielleicht mal nachsehen, welcher davon nicht wirklich verschlüsselt oder wo das Problem liegt.
Ich hol schon einmal Popcorn...
Ist doch hochinteressant, so kommt man wenigstens mal auf ein neues Phänomen.
In der Tat nicht sinnvoll. Und wahrscheinlich auch nicht der Fall. Ich suchte nur nach einer Lösung, wo beide Recht haben. Nennt mich Salomon
In der Tat nicht sinnvoll. Und wahrscheinlich auch nicht der Fall. Ich suchte nur nach einer Lösung, wo beide Recht haben. Nennt mich Salomon
Ist aber offenbar der Fall, sogar bei drei verschiedenen kommerziellen Providern, die getestet wurden. Zwei verschlüsseln überhaupt nicht, einer hört nach der ersten Station damit auf.
Vollkommen normaler Alltag beim Mailverkehr. Es wird fein SSL/TLS für die Kommunikation mit dem Client genommen, aber die Server untereinander schnacken Plain. Das ist leider historisch bedingt, am Anfang von SSL/TLS hat das damals weitverbreitete Sendmail arge Probleme bei der Serverkommunikation gehabt (beliebte Fehlermeldung: Bad Response from Host). Nun Kompatibilität ist immer der kleinste gemeinsame Nenner und deshalb Plain. Um diese Probleme zu umgehen empfiehlt es sich einen Mailproxy einzurichten der Mails, für den Benutzer transparent, verschlüsselt. Dazu bedarf es zwar einiges an Aufwand (Empfänger pflegen, Keys der Empfänger hinterlegen, Routing einstellen) aber das ist die einzige Möglichkeit der sicheren Kommunikation über E-Mail ohne das der Endbenutzer Empfängerkeys pflegen muss. Und vor allem auf jedem Rechner denselben Stand haben muss (Büropc, Laptop, iPhone, Netbook).
Immerhin! Wenn die Client-Server-Kommunikation nicht verschlüsselt ist, wird das Passwort im Klartext übertragen. Da dieses im Normalfall das gleiche Passwort ist wie für das zugehörigen POP3-Konto, ist das eigentlich eine Einladung, seine Emails mitlesen zu lassen.
Und ich hoffe doch sehr, dass sich jeder hier bewusst ist, das Emails eigentlich immer unverschlüsselt transportiert werden, und die enthaltenen Informationen jedem, der Zugang zur Infrastruktur zwischen den Mailservern hat, zugängig sind. Also nie vertrauliche Sachen über normale Email schicken. Das muss jetzt nur noch jemand den Rechtsanwälten beibringen, die in allen anderen Fällen Vertraulichkeit über alles setzen...
Kommt darauf an wie es konfiguriert ist, es gibt auch die Möglichkeit den Mailversand nach erfolgter POP3/IMAP-Anmeldung zu erlauben (IP-basiert) dann braucht es keine Passwörter.
Ausweislich der Mailheader Deiner Mails an mich verschickt Dein Mailserver leider gar nichts verschlüsselt weiter
Ich bin da jetzt nicht so der Megaexperte, aber ist es nicht der Regelfall, dass selbst wenn ich nun beispielsweise zwischen meinem Outlook und GMX auf SSL/ TLS-Verschlüsselung umschalte, dies aber nur den Versand bis zu meinem Mail-Provider, in diesem Fall GMX betrifft? Ob die Mails ab dort verschlüsselt oder unverschlüsselt verschickt werden, darauf kann ich doch bei mir in den Client-Einstellungen im Regelfall gar keinen Einfluss nehmen, oder? Außer natürlich ich habe entsprechende Recht bzw. Einflussmöglichkeiten am Mailserver..
Insofern hatte ich das auch immer so verstanden, wie SmilingBoy schreibt, dass die SSL/TLS-Verschlüsselung in erster Linie verhindern soll, dass mein Passwort mitgeschnitten wird (zum Beispiel in suspekten öffentlichen WLANs aber auch generell), eine verschlüsselte Übertragung der Mails zum Empfänger ist dadurch noch lange nicht gewährleistet.
Das stimmt. Du hast keinen Einfluss mehr auf die Verschlüsselung nachdem dein SMTP Server erreicht ist. Wie aber schon angedeutet sollten gute Provider auch von dort aus einen verschlüsselten Versand ermöglichen.
Ich bin da aber nur pingelig zwischen meiner Maschine und meinem Server - ich machte meinem Server keine Auflagen, wie er die Dinge dann weiterreichen soll. Bekommt er nen secure channel, dann gut, ansonsten auch gut.
Fuer sensitive Daten gibt's ja PGP, und wenn ich zu strikt bin, gibt's zuviele failed deliveries oder solche, die ewig queuen.
Ja aber es gibt einen sehr guten Grund dafuer: ich kann als Mailserver ohnehin nicht feststellen ob die Maschine, die ich kontaktiere authentisch st. Ein man-in-the-middle hat also ohnehin Erfolg:
zwischen meinen Rechner verwende ich Zertifikate. Zwischen zwei Mailservern koennen die sehr wohl eine sichere Verbindung herstellen, aber sie koennen nicht wissen, ob sie wirklich mit der andern Maschine 'reden', denn niemand (privates) kauft ein kommerzielles Zertifikat fuer ne Mailbuechse.
Die meisten Rechner, die meine Maschine kontaktieren weigern sich also, meine selbstgebackenen Zertifikate zu verwenden.
Stoert mich aber nicht wirklich.
Imap ist ganz gut ... hat aber nun mit der haerte des Kanals sehr wenig zu tun.
Zwischen Mailservern hatte ich selten Probleme mit selbstsignierten Certs.
Benutzt die Gegenseite denn Deinen Kanal?
Ich biete ja immer beides an und die Server waehlen so ziemlich immer den unverrschluesselten. Denn ohne die Signatur pruefen zu koennen, bietet der verschluesselte Kanal ja keinen wirklichen Schutz.
Die Routen sind aber so minimal, dass ich da kein Problem erkenne.