[Postfixbuch-users] To TLS or not to StartTLS?

[Patrick Ben Koetter]

* Mathieu Simon <postfixbuch-users at listen.jpberlin.de>:
> Auch wenn ich gerade keinen Postfix vor mir haben kann, eine Menge
> mehr über Mailserver und Mails allgemein habe ich schon nur durch das
> Postfixbuch dazugelernt. :-)
> 
> Wenn ich so in den Logs meines MTAs auf der Arbeit (... k. Postfix) die Logs
> einsehe, realisiere ich, dass besonders die Gratismailer gar kein
> StartTLS anbieten.
> Da kann ich das noch irgendwie aus Kostengründen (mehr CPU-Last?) verstehen.

Die TLS-CPU-Last wird bei heute verfügbarer Hardware überschätzt. In der Regel
kann man davon ausgehen, dass ein MTA eine grosse Anzahl seiner Verbindungen
mit den immerselben Kommunikationspartnern absolviert. Das und die Tatsache,
dass Postfix einen Cache für TLS Sessionkeys führen kann und sich so für
häufig wiederkehrende TLS-Partner einiges an Rechenarbeit spart, macht TLS zu
einer vertretbaren Angelegenheit.

Bei den Riesen-ServiceProvidern findest Du ausserdem Lastverteilung durch
Servercluster und Load Balancer. Vermeidung von CPU-Last wird es IMO eher
nicht sein.

> Aber gibt es sonst (gute) Gründe kein StartTLS anzubieten, oder ausgehende
> Mails wenn immer verfügbar per TLS zu versenden?

Im Amateur und Semi-Professionellen Bereich findest Du TLS "aus Prinzip". Im
Profi-Bereich, weil man dort mehr als nur Verschlüsselung sicherstellen muss -
nämlich Unversehrtheit der Datenübertragung und vor allem Identität. Gerade
die Industrie, die in ständiger, berechtigter Angst vor Spionage lebt, findest
Du TLS als MUSS-Bedingung für den Datenaustausch mit Zulieferern.


> Bei kleinen Server/Domains würde ich das auch verstehen, da Zertifikate
> vielleicht für den einen oder anderen etwas beunruhigendes haben, oder aus
> schlichter Unkenntnis.

Geld. Es kostet ein Schw***e-Geld Zertifikate für eine ganze Serverfarm zu
kaufen, auszurollen, aktuell zu halten und die Policies (Datenbeziehungen) zu
den TLS-Partnern dazu zu pflegen.

Und dann versuch mal dem Management zu erklären, dass der _extrem kompetente
Firewall-Fuzzi_ von der anderen Dienstleisterfirma TLS ruiniert, weil seine FW
"ICMP need to fragment" dropped und die Partner sich deswegen nicht auf eine
MTU einigen können und deshalb die Nutzlast der TCP-Pakete so gering ist, das
Attachments nicht mehr übertragen werden ...

Da erlebst Du dann schnell, dass das Netz für "an sich sicher" erklärt wird
und TLS per Definition dann nicht mehr notwendig ist.

Es ist ein langer Weg. Und solange CAs noch € 500 für brauchbare Zertifikate
verlangen können, denkt auch keiner im Management daran dafür jährlich Geld
auszugeben. Da ist es leichter eine Tape-Library zu bekommen. ;)

p at rick


-- 
state of mind
Digitale Kommunikation

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 316 bytes
Beschreibung: Digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20100623/00643c5a/attachment.asc>