* Michael Ströder michael@stroeder.com:
Patrick Ben Koetter wrote:
- Florian Streibelt postfix-users@de.postfix.org:
On Sa, 28 Feb 2015 at 18:11:07 +0100, Robert Schetterer wrote:
Hi @ll, weil es grade durch die Medien getrieben wird
https://sys4.de/de/blog/2015/02/26/pgp-schluessel-einfach-und-sicher-verteil...
was ich an dem System ein bischen schade finde ist, dass man wieder wunderbar proben kann ob es eine mailadresse gibt, für spammer sogar mit effizientem caching ohne eigene Kosten.
Die hashes kann ich vorberechnen, weil nur der localpart eingeht und ohne aufwand einfach domains durchprobieren, wenn ich dann für gängige namen einen hit habe, sende ich die spam zielgenau. Durch den Record weiss ich auch, dass die Emailadresse wichtig genug für den Anwendeer war, um einen Key zu hinterlegen.
Aber das bedeutet auch, dass Du die hashes vorberechnen musst und das ist auch teuer und ggf. nicht lohnenswert für Spammer.
???
Spammer probieren auf meinem kleinen Mail-Server alle möglichen local-parts durch. Dagegen ist die Hash-Berechnung doch superbillig!
Stimmt. Da kann er aber auch einen HKS-Server 'harvesten' und dann an die Adressen senden. Ich denke, dass das so oder so keinen grossen Einfluss haben werden wird.
Ausserdem kann man an den DNS-Abfragen bereits erkennen, auf welcher E-Mail-Adresse jemand sich einen Schlüssel besorgt. Und ich befürchte, dass Implementierungen sich später nur noch auf DNSSEC (Root unter reiner US-Kontrolle) verlassen so wie's ja jetzt auch schon bei DANE-SMTP passiert.
Ich persönlich kann der ganzen DNSSEC/DANE-Euphorie nicht so recht was abgewinnen.
Weshalb nicht?
p@rick