Re: starttls, woher weiß ich, ob verschlüsselt wird?

Max Grobecker max.grobecker at ml.grobecker.info
So Mai 14 22:05:11 CEST 2017 

Olá!


Am 14.05.2017 um 21:33 schrieb Winfried Neessen:

>> dennoch die Empfehlung dazu, vom MUA aus *immer* explizit über den Submission-Port einzuliefern.
>> [...]
> 
> Das kann ich genauso gut forcieren, indem ich SMTP AUTH nur via sicheren Verbindungen zulasse. Kein TLS, kein Auth, kein Versand.

Das streite ich ja garnicht ab. Es macht aber auch meine Aussage nicht unrichtig, dass für genau den Zweck der Submission-Port erfunden wurde ;-)



>> Natürlich sollte der Client gezwungen werden können immer verschlüsseln zu wollen und nötigenfalls die Verbindung abzubrechen,
>> aber bei der Vielzahl an Clients ist es schlicht zu unübersichtlich dies auch für möglicherweise unbedarfte Nutzer sicherzustellen.
>>
> Wenn der Benutzer nicht faehig ist, STARTTLS richtig zu konfigurieren, welches in den meisten Clients der Standard fuer sichere
> Verbindungen ist, dann ist er genauso nicht faehig, den Client so zu konfigurieren, dass er die "Secure"-Ports eingestellt bekommt.
> 
> [...]

Das "entmündigen" habe ich auch nicht vor.
Für mich persönlich ist es aber ein besseres Gefühl zu wissen, dass es serverseitig sichergestellt ist, dass zu keinem Zeitpunkt
ein Bug im Client oder ein übersehenes Häkchen dazu führen könnten dass ich versehentlich mein Kennwort oder E-Mails unverschlüsselt übertrage.
Und das kann eben nur eine implizite TLS-Verbindung über SMTPS oder IMAPS.
Bei IMAP bspw. habe ich das Problem, dass der Client auch ohne STARTTLS sein Kennwort unverschlüsselt übermitteln kann.
Selbst wenn der Server es daraufhin ablehnt, ist das Kind schon im Brunnen.

Vielleicht bin ich da zu sehr paranoider Netzwerker, aber STARTTLS hat mich bisher bei keinem Protokoll wo es eingebaut wurde begeistern können.
Ich meine: Bei HTTP/HTTPS, SIP/SIPS u.s.w. halten wir die strikte Trennung ja genauso, wieso nicht bei allen anderen Protokollen auch?


Max

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20170514/3b2fe887/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users