[Postfixbuch-users] To TLS or not to StartTLS?

[Mathias Jeschke]

Mathieu Simon schrieb:

> Wer kein Geld ausgeben will, kann auch ein selbstsigniertes (oder einen
> freien CA) nehmen. - Besser als keines (?).
> So lange man keine Ansprüche an die Verifizierung der Zertifikats stellt
> geht das problemlos.

Nur mal so als Denkanstoß: Verschlüsselung ist ohne Authentifizierung der
Kommunikationspartner in den meisten Fällen ziemlich sinnfrei.

Beispiel: Wenn der Wirtschaftsspion es schafft, die Daten abzuhören
(in dem er z.B. Zugriff auf einen Router hat), wird es ihm i.d.R.
auch gelingen einen Man-in-the-Middle-Angriff zu starten.

Also bringt es wohl, außer für das Gewissen wenig, wenn die Mailserver
X.509-Zertifikate benutzen zu denen der Mailserver am anderen Ende keinen
"Vertrauensanker" hat (Root-CA-Zertifikat, Public-Key).

> Bei mir wäre jedenfalls noch keine Mail ein- oder ausgehend gebounced
> worden, weil ich (privat zumindest) hierfür ein CAcert.org-Zertifikat dazu
> verwende.

Also im Paket "ca-certificates" meiner Linux-Distri ist das nicht enthalten.

Gruß,
Mathias