Anzeige:

Postfix (o.Ä.) nur mit TLS

d4f

Kaffee? Wo?
Das RFC-7435 ist "informational". Damit ist es doch nur eine Empfehlung, oder?
Jein. Es ist eine Klarstellung der Intentionen der Taskforce zu einem bereits dokumentierten aber nicht hinreichend klaren Thema. Zumal zu SMTP gibt es eine ganze Reihe dieser Zusatz-RFC welche nicht zwingend bindend sind aber erklären wie das Protokoll aus deren Sicht zu verwenden ist.

selbst wenn man gegen diese Standards verstößt, könnte das doch dem Eigentümer des MTA egal sein.
Naja, ein Verstoss kann dir in gewisser Hinsicht immer egal sein, es ist ja nicht so als ob sie gesetzlich erzwungen seien. Die "Original"-RFC zum Thema STARTTLS sind sehr unklar dahingehend wie weit Verschlüsselung zu erzwingen ist. RFC3207 beschreibt zwar wie man vorgehen kann, aber nicht wie man soll. Konsensus ist bei SMTP generell aber "Fallback bis es klappt", das wäre also hier Klartext. RFC7435 korrigiert das und sagt, nein man solle lieber ein ungültiges Zertifikat nutzen als Klartext.

Wichtig: Bei SMTP ist generell der Absender am kürzeren Hebel, DU willst ja dass "ER" deine Email annimmt. Also musst du dich an seine "Hausregeln" halten oder halt Nicht-Zustellung in Kauf nehmen was dann wieder DEIN Kunde/Nutzer bei dir beschweren wird.
 

danton

Debian User
Wichtig: Bei SMTP ist generell der Absender am kürzeren Hebel, DU willst ja dass "ER" deine Email annimmt. Also musst du dich an seine "Hausregeln" halten oder halt Nicht-Zustellung in Kauf nehmen was dann wieder DEIN Kunde/Nutzer bei dir beschweren wird.
Mein Reden. Und was MITM betrifft. Es dürfte immer noch genug Mailserver geben, die keine Verschlüsselung per STARTTLS anbieten, also komplett unverschlüsselt sind. Damit ist das Erzwingen einer Mailverschlüsselung in der Praxis untauglich. Und wenn der MITM dann einfach einen Mailserver dazwischen klemmt, der gar kein TLS macht, gibt es auch kein Zertifikat zu verifizieren. DANE könnte dagegen schützen, ist aber meiner Meinung nach nicht weit genug verbreitet.
 

d4f

Kaffee? Wo?
"Email made in Germany" war und ist nur eine Werbekampagne. Es wurde weder etwas neues eingeführt noch eine Sicherheitsstufe garantiert welche über Marktverfügbarkeit hinausging.
Es wurde imho lediglich gelogen (Email ohne De-Mail ist immer unsicher!) um ein Pseudo-Kartell aus den üblichen Verdächtigen (hauptsächlich Magenta-Markenschutz und United-Internet) zu versuchen. Hat gott sei dank nicht funktioniert und ist genau wie das noch seltsamere DE-Mail kläglich gescheitert in der Werbung.
EMails sind halt im Gegensatz zu Briefen generell international. Eine Marktabschottung des Binnenmarktes funktioniert im Internet nur mit etwas Aufwand.
 

Whistler

Blog Benutzer
Sicherlich war es Bullshit und Marketing und ist zurecht gescheitert (spätestens als man Geld aka "Briefmarken" wollte).
Ich wollte nur auf den zugrundeliegenden technischen Aspekt hinaus: Mails werden dort grundsätzlich per TLS übertragen und nur akzeptiert, wenn das Zertifikat von einer der beteiligten Parteien stammt und vertrauenswürdig ist: https://www.e-mail-made-in-germany.de/
 
Top