Public Mailserver mit Self-Signed-Zertifikat
Hallo. Ich möchte gerne die Kommunkation zwischen meinem Mailserver und anderen Mailservern, die Mails bei diesem einliefern, per TLS verschlüsseln.
Ist es OK, wenn ich hierfür ein selbst signiertes Zertifikat verwende? Auch im Hinblick darauf, dass dieses von anderen Servern akzeptiert wird und das Einkippen von Mails nicht daran scheitert, dass dieses nicht von einer offiziellen CA signiert ist? Habe ich dadurch mit irgendwelchen weiteren Seiteneffekten zu kämpfen Eurer Erfahrung nach?
Vielen lieben Dank, Stefanie
Am 2019-01-21 18:19, schrieb Stefanie Leisestreichler:
Ich möchte gerne die Kommunkation zwischen meinem Mailserver und anderen Mailservern, die Mails bei diesem einliefern, per TLS verschlüsseln.
Ist es OK, wenn ich hierfür ein selbst signiertes Zertifikat verwende?
Ja, das reicht völlig.
Gruss Jochen
Am 21.01.19 um 19:11 schrieb J. Fahrner:
Am 2019-01-21 18:19, schrieb Stefanie Leisestreichler:
Ich möchte gerne die Kommunkation zwischen meinem Mailserver und anderen Mailservern, die Mails bei diesem einliefern, per TLS verschlüsseln.
Ist es OK, wenn ich hierfür ein selbst signiertes Zertifikat verwende?
Ja, das reicht völlig.
Gruss Jochen
Vielen Dank. LG Stefanie
Hallo,
du könntest auch letsencrypt verwenden.
On 21.01.19 18:19, Stefanie Leisestreichler wrote:
Hallo. Ich möchte gerne die Kommunkation zwischen meinem Mailserver und anderen Mailservern, die Mails bei diesem einliefern, per TLS verschlüsseln.
Ist es OK, wenn ich hierfür ein selbst signiertes Zertifikat verwende? Auch im Hinblick darauf, dass dieses von anderen Servern akzeptiert wird und das Einkippen von Mails nicht daran scheitert, dass dieses nicht von einer offiziellen CA signiert ist? Habe ich dadurch mit irgendwelchen weiteren Seiteneffekten zu kämpfen Eurer Erfahrung nach?
Vielen lieben Dank, Stefanie
Gruß Benedikt
Hallo Benedikt. Vielen Dank für den Hinweis. Um nicht alle 3 Monate die Erneuerung der Zertifikate durchführen zu müssen, oder zumindest zu prüfen, ob diese erfolgreich war, würde ich es für den Mailserver vorziehen, ein länger gültiges eigenes Zertifikat zu erstellen, wenn ich mir damit nicht irgendwelche Folgen einhandele, die ich nicht kenne und mit denen ich nicht leben kann.
Also wenn aus Eurer Sicht nichts gegen die Verwendung eines self signed certs spricht, dann würde ich diese Variante bervorzugen.
Vielen lieben Dank, Stefanie
Am 22.01.19 um 09:13 schrieb Benedikt Toelle:
Hallo,
du könntest auch letsencrypt verwenden.
On 21.01.19 18:19, Stefanie Leisestreichler wrote:
Hallo. Ich möchte gerne die Kommunkation zwischen meinem Mailserver und anderen Mailservern, die Mails bei diesem einliefern, per TLS verschlüsseln.
Ist es OK, wenn ich hierfür ein selbst signiertes Zertifikat verwende? Auch im Hinblick darauf, dass dieses von anderen Servern akzeptiert wird und das Einkippen von Mails nicht daran scheitert, dass dieses nicht von einer offiziellen CA signiert ist? Habe ich dadurch mit irgendwelchen weiteren Seiteneffekten zu kämpfen Eurer Erfahrung nach?
Vielen lieben Dank, Stefanie
Gruß Benedikt
Am 22.01.19 um 09:40 schrieb Stefanie Leisestreichler:
Hallo Benedikt. Vielen Dank für den Hinweis. Um nicht alle 3 Monate die Erneuerung der Zertifikate durchführen zu müssen, oder zumindest zu prüfen, ob diese erfolgreich war, würde ich es für den Mailserver vorziehen, ein länger gültiges eigenes Zertifikat zu erstellen, wenn ich mir damit nicht irgendwelche Folgen einhandele, die ich nicht kenne und mit denen ich nicht leben kann.
Also wenn aus Eurer Sicht nichts gegen die Verwendung eines self signed certs spricht, dann würde ich diese Variante bervorzugen.
Vielen lieben Dank, Stefanie
Am 22.01.19 um 09:13 schrieb Benedikt Toelle:
Hallo,
du könntest auch letsencrypt verwenden.
On 21.01.19 18:19, Stefanie Leisestreichler wrote:
Hallo. Ich möchte gerne die Kommunkation zwischen meinem Mailserver und anderen Mailservern, die Mails bei diesem einliefern, per TLS verschlüsseln.
Ist es OK, wenn ich hierfür ein selbst signiertes Zertifikat verwende? Auch im Hinblick darauf, dass dieses von anderen Servern akzeptiert wird und das Einkippen von Mails nicht daran scheitert, dass dieses nicht von einer offiziellen CA signiert ist? Habe ich dadurch mit irgendwelchen weiteren Seiteneffekten zu kämpfen Eurer Erfahrung nach?
Vielen lieben Dank, Stefanie
Gruß Benedikt
1+ für letsencrypt
Ich betreibe meinen Mailserver auch mit letsencrypt. Das aktualisieren übernimmt ein cronjob. Da brauche ich selber nichts zu machen.
Gruss
Andreas
Am 22.01.19 um 10:38 schrieb Andreas Reschke:
1+ für letsencrypt
Ich betreibe meinen Mailserver auch mit letsencrypt. Das aktualisieren übernimmt ein cronjob. Da brauche ich selber nichts zu machen.
Gruss
Andreas
leider habe ich noch kein vernünftiges Tut gefunden, wie man das macht.
Am 22.01.19 um 10:52 schrieb Katharina Knuth:
Am 22.01.19 um 10:38 schrieb Andreas Reschke:
1+ für letsencrypt
Ich betreibe meinen Mailserver auch mit letsencrypt. Das aktualisieren übernimmt ein cronjob. Da brauche ich selber nichts zu machen.
Gruss
Andreas
leider habe ich noch kein vernünftiges Tut gefunden, wie man das macht.
Bei mir ist das relativ einfach: auf dem Rechner läuft auch der Webserver mit https. Da wird das mittels certbot erzeugte Zertifikat auch für postfix und dovecot mitverwendet.
Gruss
Andreas
Am 22.01.19 um 11:07 schrieb Andreas Reschke:
Bei mir ist das relativ einfach: auf dem Rechner läuft auch der Webserver mit https. Da wird das mittels certbot erzeugte Zertifikat auch für postfix und dovecot mitverwendet.
Gruss
Andreas
und genau das ist das "Problem". Dieses Zertifikat ist leider nicht explizit auf die jeweilige Domain bezogen. Und da meckert jeder Mailclient.
Am 22.01.19 um 11:19 schrieb Katharina Knuth:
Am 22.01.19 um 11:07 schrieb Andreas Reschke:
Bei mir ist das relativ einfach: auf dem Rechner läuft auch der Webserver mit https. Da wird das mittels certbot erzeugte Zertifikat auch für postfix und dovecot mitverwendet.
Gruss
Andreas
und genau das ist das "Problem". Dieses Zertifikat ist leider nicht explizit auf die jeweilige Domain bezogen. Und da meckert jeder Mailclient.
Letsencrypt bietet seit einiger Zeit auch Wildcard-Zertifikate. Damit meckern die Clients das Zertifikat ggfs. nicht mehr an, oder sehe ich das falsch?
Stefanie Leisestreichler, 22.1.2019 11:42 +0100:
Am 22.01.19 um 11:19 schrieb Katharina Knuth:
und genau das ist das "Problem". Dieses Zertifikat ist leider nicht explizit auf die jeweilige Domain bezogen. Und da meckert jeder Mailclient.
Letsencrypt bietet seit einiger Zeit auch Wildcard-Zertifikate. Damit meckern die Clients das Zertifikat ggfs. nicht mehr an, oder sehe ich das falsch?
Ich sehe nicht, was der Name des Mailservers (auf den dann auch das Zertifikat ausgestellt werden muss) mit den Namen der Domains, für die er der MX ist, zu tun hat. Anders gefragt: Welchen Grund gibt es, für einen Postfix ein Zertifikat mit mehreren Namen / ein Wildcard-Zertifikat zu erzeugen?
Am 22.01.19 um 12:27 schrieb Markus Schönhaber:
Stefanie Leisestreichler, 22.1.2019 11:42 +0100:
Am 22.01.19 um 11:19 schrieb Katharina Knuth:
und genau das ist das "Problem". Dieses Zertifikat ist leider nicht explizit auf die jeweilige Domain bezogen. Und da meckert jeder Mailclient.
Letsencrypt bietet seit einiger Zeit auch Wildcard-Zertifikate. Damit meckern die Clients das Zertifikat ggfs. nicht mehr an, oder sehe ich das falsch?
Ich sehe nicht, was der Name des Mailservers (auf den dann auch das Zertifikat ausgestellt werden muss) mit den Namen der Domains, für die er der MX ist, zu tun hat. Anders gefragt: Welchen Grund gibt es, für einen Postfix ein Zertifikat mit mehreren Namen / ein Wildcard-Zertifikat zu erzeugen?
Keinen. Mir ist auch aus dem Kontext entgangen, dass dies so gesagt wurde, wenn ich ehrlich bin.
Am 22.01.19 um 13:02 schrieb Stefanie Leisestreichler:
Am 22.01.19 um 12:27 schrieb Markus Schönhaber:
Stefanie Leisestreichler, 22.1.2019 11:42 +0100:
Am 22.01.19 um 11:19 schrieb Katharina Knuth:
und genau das ist das "Problem". Dieses Zertifikat ist leider nicht explizit auf die jeweilige Domain bezogen. Und da meckert jeder Mailclient.
Letsencrypt bietet seit einiger Zeit auch Wildcard-Zertifikate. Damit meckern die Clients das Zertifikat ggfs. nicht mehr an, oder sehe ich das falsch?
Ich sehe nicht, was der Name des Mailservers (auf den dann auch das Zertifikat ausgestellt werden muss) mit den Namen der Domains, für die er der MX ist, zu tun hat. Anders gefragt: Welchen Grund gibt es, für einen Postfix ein Zertifikat mit mehreren Namen / ein Wildcard-Zertifikat zu erzeugen?
Keinen. Mir ist auch aus dem Kontext entgangen, dass dies so gesagt wurde, wenn ich ehrlich bin.
Meine Antwort war schwachsinnig, sorry. Was ich meinte, war der Umstand, dass nicht für jede Domain, für die der Postfix als Destination konfiguriert ist, ein Zertifikat vorgehalten werden kann und muss.
On 22.01.2019 13:08, Stefanie Leisestreichler wrote:
Am 22.01.19 um 13:02 schrieb Stefanie Leisestreichler:
Keinen. Mir ist auch aus dem Kontext entgangen, dass dies so gesagt wurde, wenn ich ehrlich bin.
Meine Antwort war schwachsinnig, sorry. Was ich meinte, war der Umstand, dass nicht für jede Domain, für die der Postfix als Destination konfiguriert ist, ein Zertifikat vorgehalten werden kann und muss.
war sie nicht zwingend, sobald Du folgende Konstellation hast
Domain example.com hat als MX mail.example.com Domain example.net hat als MX mail.example.net Domain example.org hat als MX mail.example.org und die A/AAAA Einträge von mail.example.com, mail.example.net, mail.example.org zeigen alle auf den selben Host, dann brauchst auch ein Zertifikat welches alle 3 Hostnamen in den SANs abbildet;
von daher empfiehlt sich folgendes: es haben alle 3 Domains den selben MX Eintrag z.B. mail.example.net dann braucht das Zert. auch nur mail.example.net validieren ...
* Stefanie Leisestreichler stefanie.leisestreichler@peter-speer.de:
Am 22.01.19 um 11:19 schrieb Katharina Knuth:
Am 22.01.19 um 11:07 schrieb Andreas Reschke:
Bei mir ist das relativ einfach: auf dem Rechner läuft auch der Webserver mit https. Da wird das mittels certbot erzeugte Zertifikat auch für postfix und dovecot mitverwendet.
Gruss
Andreas
und genau das ist das "Problem". Dieses Zertifikat ist leider nicht explizit auf die jeweilige Domain bezogen. Und da meckert jeder Mailclient.
Letsencrypt bietet seit einiger Zeit auch Wildcard-Zertifikate. Damit meckern die Clients das Zertifikat ggfs. nicht mehr an, oder sehe ich das falsch?
Der CN des Zertifikats muss identisch mit dem Hostnamen des MX sein. Dafür *kannst* Du auch ein Wildcard-Zertifikat einsetzen. Ich rate davon unbedingt ab, denn bei Kompromittierung kannst Du das dann auch auf allen Hosts, auf denen das Zertifikat auch noch eingesetzt wird, austauschen. Die Angriffsfläche lasse ich mir nicht bieten. Auch Argumente wie "weniger Arbeit" lasse ich nicht mehr gelten. Spätestens seitdem man das mit LE und $configurationmanagement automatisieren kann, steht bestmögliche Sicherheit für mich an erster Stelle.
Wenn Du Postfix für mehrere Domains einsetzen willst, dann gib ihm eine (1) Identität und alle anderen Domains sollen mit ihrem MX auf diesen Host verweisen. In jeder Domain einen mail.$domain anzulegen und den dann auf die IP des Mailservers verweisen zu lassen ist falsch.
p@rick
Am 22.01.19 um 14:01 schrieb Patrick Ben Koetter:
- Stefanie Leisestreichler stefanie.leisestreichler@peter-speer.de:
Am 22.01.19 um 11:19 schrieb Katharina Knuth:
Am 22.01.19 um 11:07 schrieb Andreas Reschke:
Bei mir ist das relativ einfach: auf dem Rechner läuft auch der Webserver mit https. Da wird das mittels certbot erzeugte Zertifikat auch für postfix und dovecot mitverwendet.
Gruss
Andreas
und genau das ist das "Problem". Dieses Zertifikat ist leider nicht explizit auf die jeweilige Domain bezogen. Und da meckert jeder Mailclient.
Letsencrypt bietet seit einiger Zeit auch Wildcard-Zertifikate. Damit meckern die Clients das Zertifikat ggfs. nicht mehr an, oder sehe ich das falsch?
Der CN des Zertifikats muss identisch mit dem Hostnamen des MX sein. Dafür *kannst* Du auch ein Wildcard-Zertifikat einsetzen. Ich rate davon unbedingt ab, denn bei Kompromittierung kannst Du das dann auch auf allen Hosts, auf denen das Zertifikat auch noch eingesetzt wird, austauschen. Die Angriffsfläche lasse ich mir nicht bieten. Auch Argumente wie "weniger Arbeit" lasse ich nicht mehr gelten. Spätestens seitdem man das mit LE und $configurationmanagement automatisieren kann, steht bestmögliche Sicherheit für mich an erster Stelle.
Wenn Du Postfix für mehrere Domains einsetzen willst, dann gib ihm eine (1) Identität und alle anderen Domains sollen mit ihrem MX auf diesen Host verweisen. In jeder Domain einen mail.$domain anzulegen und den dann auf die IP des Mailservers verweisen zu lassen ist falsch.
p@rick
Hallo Patrick. Danke für die Klarstellung.
Ich lese gerade ein Buch von Dir :-). Das hat mir schon gute Dienste für mein Verständnis geleistet, danke dafür. Jetzt bin ich dabei zum ersten Mal einen produktiven Mailserver aufzusetzen.
Mein Plan ist es für SASL und als imapd Dovecot zu verwenden sowie Dovecot für die Verwaltung von ACLs einzusetzen.
LG Stefanie
Hallo Stefanie,
* Stefanie Leisestreichler stefanie.leisestreichler@peter-speer.de:
Der CN des Zertifikats muss identisch mit dem Hostnamen des MX sein. Dafür *kannst* Du auch ein Wildcard-Zertifikat einsetzen. Ich rate davon unbedingt ab, denn bei Kompromittierung kannst Du das dann auch auf allen Hosts, auf denen das Zertifikat auch noch eingesetzt wird, austauschen. Die Angriffsfläche lasse ich mir nicht bieten. Auch Argumente wie "weniger Arbeit" lasse ich nicht mehr gelten. Spätestens seitdem man das mit LE und $configurationmanagement automatisieren kann, steht bestmögliche Sicherheit für mich an erster Stelle.
Wenn Du Postfix für mehrere Domains einsetzen willst, dann gib ihm eine (1) Identität und alle anderen Domains sollen mit ihrem MX auf diesen Host verweisen. In jeder Domain einen mail.$domain anzulegen und den dann auf die IP des Mailservers verweisen zu lassen ist falsch.
Hallo Patrick. Danke für die Klarstellung.
:)
Ich lese gerade ein Buch von Dir :-). Das hat mir schon gute Dienste für mein Verständnis geleistet, danke dafür. Jetzt bin ich dabei zum ersten Mal einen produktiven Mailserver aufzusetzen.
Gerne. Gut wenn es hilft. Viel Erfolg beim Aufsetzen.
Mein Plan ist es für SASL und als imapd Dovecot zu verwenden sowie Dovecot für die Verwaltung von ACLs einzusetzen.
Dovecot als AUTH Provider und für IMAP ist eine gute Idee. Das mit den ACLs habe ich nicht verstanden. Auf wen soll Dovecot ACLs anwenden?
Liebe Grüße
p@rick
Am 22.01.19 um 14:46 schrieb Patrick Ben Koetter:
Hallo Stefanie,
- Stefanie Leisestreichler stefanie.leisestreichler@peter-speer.de:
Der CN des Zertifikats muss identisch mit dem Hostnamen des MX sein. Dafür *kannst* Du auch ein Wildcard-Zertifikat einsetzen. Ich rate davon unbedingt ab, denn bei Kompromittierung kannst Du das dann auch auf allen Hosts, auf denen das Zertifikat auch noch eingesetzt wird, austauschen. Die Angriffsfläche lasse ich mir nicht bieten. Auch Argumente wie "weniger Arbeit" lasse ich nicht mehr gelten. Spätestens seitdem man das mit LE und $configurationmanagement automatisieren kann, steht bestmögliche Sicherheit für mich an erster Stelle.
Wenn Du Postfix für mehrere Domains einsetzen willst, dann gib ihm eine (1) Identität und alle anderen Domains sollen mit ihrem MX auf diesen Host verweisen. In jeder Domain einen mail.$domain anzulegen und den dann auf die IP des Mailservers verweisen zu lassen ist falsch.
Hallo Patrick. Danke für die Klarstellung.
:)
Ich lese gerade ein Buch von Dir :-). Das hat mir schon gute Dienste für mein Verständnis geleistet, danke dafür. Jetzt bin ich dabei zum ersten Mal einen produktiven Mailserver aufzusetzen.
Gerne. Gut wenn es hilft. Viel Erfolg beim Aufsetzen.
Mein Plan ist es für SASL und als imapd Dovecot zu verwenden sowie Dovecot für die Verwaltung von ACLs einzusetzen.
Dovecot als AUTH Provider und für IMAP ist eine gute Idee. Das mit den ACLs habe ich nicht verstanden. Auf wen soll Dovecot ACLs anwenden?
Liebe Grüße
p@rick
Ich benötige teilweise gemeinsamen Zugriff auf Mailboxen für mehrere User. So soll bspw. buchhaltung@ für die User a, b und c möglich sein. Das meinte ich mit ACLs.
* Stefanie Leisestreichler stefanie.leisestreichler@peter-speer.de:
Ich benötige teilweise gemeinsamen Zugriff auf Mailboxen für mehrere User. So soll bspw. buchhaltung@ für die User a, b und c möglich sein. Das meinte ich mit ACLs.
Jetzt! Shared-Mailboxes mit ACLs.
p@rick
On 22.01.2019 14:01, Patrick Ben Koetter wrote:
Der CN des Zertifikats muss identisch mit dem Hostnamen des MX sein.
sicher? dachte es wäre hinreichend, wenn der Hostname des MX in den SANs des x509-Zertifikates abgebildet wäre ...
* Walter H. Walter.H@mathemainzel.info:
On 22.01.2019 14:01, Patrick Ben Koetter wrote:
Der CN des Zertifikats muss identisch mit dem Hostnamen des MX sein.
sicher? dachte es wäre hinreichend, wenn der Hostname des MX in den SANs des x509-Zertifikates abgebildet wäre ...
IIRC hast Du recht.
p@rick
Am 23.01.19 um 16:00 schrieb Patrick Ben Koetter:
IIRC hast Du recht.
Kann mir jemand sagen, wofür die Abkürzung IIRC steht, damit ich verstehe, was Patrick meinte? Vielen Dank.
Am 23.01.19 um 20:34 schrieb Stefanie Leisestreichler:
Am 23.01.19 um 16:00 schrieb Patrick Ben Koetter:
IIRC hast Du recht.
Kann mir jemand sagen, wofür die Abkürzung IIRC steht, damit ich verstehe, was Patrick meinte? Vielen Dank.
if I remember (me) correctly
* Stefanie Leisestreichler stefanie.leisestreichler@peter-speer.de:
Am 23.01.19 um 16:00 schrieb Patrick Ben Koetter:
IIRC hast Du recht.
Kann mir jemand sagen, wofür die Abkürzung IIRC steht, damit ich verstehe, was Patrick meinte? Vielen Dank.
Aus dem Jahr 2004 (ich werde alt :-D): http://catb.org/jargon/html/I/IIRC.html
Am 22.01.19 um 11:19 schrieb Katharina Knuth:
Am 22.01.19 um 11:07 schrieb Andreas Reschke:
Bei mir ist das relativ einfach: auf dem Rechner läuft auch der Webserver mit https. Da wird das mittels certbot erzeugte Zertifikat auch für postfix und dovecot mitverwendet.
Gruss
Andreas
und genau das ist das "Problem". Dieses Zertifikat ist leider nicht explizit auf die jeweilige Domain bezogen. Und da meckert jeder Mailclient.
Ich sehe nirgendwo ein Gemecker. Im Mailclient (Thunderbird, Roundcube, Android K9, ...) auf den Rechnern der Familie habe ich nicht smtp.domain.de sondern www.domain.de eingetragen.
Damit klappts.
Gruss
Anras
On 21.01.2019 18:19, Stefanie Leisestreichler wrote:
Hallo. Ich möchte gerne die Kommunkation zwischen meinem Mailserver und anderen Mailservern, die Mails bei diesem einliefern, per TLS verschlüsseln.
Ist es OK, wenn ich hierfür ein selbst signiertes Zertifikat verwende? Auch im Hinblick darauf, dass dieses von anderen Servern akzeptiert wird und das Einkippen von Mails nicht daran scheitert, dass dieses nicht von einer offiziellen CA signiert ist? Habe ich dadurch mit irgendwelchen weiteren Seiteneffekten zu kämpfen Eurer Erfahrung nach?
Vielen lieben Dank, Stefanie
das ist keine gute Idee ...
genau wie Du beim Browser einen Aufschrei machst, wenn was mit den Serverzertifikaten nicht passt, kann auch ein Mailserver den Aufbau der Verbindung verweigern ...
Am 23.01.19 um 15:42 schrieb Walter H.:
On 21.01.2019 18:19, Stefanie Leisestreichler wrote:
Hallo. Ich möchte gerne die Kommunkation zwischen meinem Mailserver und anderen Mailservern, die Mails bei diesem einliefern, per TLS verschlüsseln.
Ist es OK, wenn ich hierfür ein selbst signiertes Zertifikat verwende? Auch im Hinblick darauf, dass dieses von anderen Servern akzeptiert wird und das Einkippen von Mails nicht daran scheitert, dass dieses nicht von einer offiziellen CA signiert ist? Habe ich dadurch mit irgendwelchen weiteren Seiteneffekten zu kämpfen Eurer Erfahrung nach?
Vielen lieben Dank, Stefanie
das ist keine gute Idee ...
genau wie Du beim Browser einen Aufschrei machst, wenn was mit den Serverzertifikaten nicht passt, kann auch ein Mailserver den Aufbau der Verbindung verweigern ...
Aha... Schleichte Nachrichten, fürchte ich. Ich werde mein Vorhaben daher einmal konkretisieren: Soweit ich das verstanden habe, geht es hierbei um 2 Dinge, die ich hoffentlich richtig auseinander halte. 1) Der Versand von Server zu Server, also wenn bspw. mx.example.com mir eine Mail an meinen MX zustellen will. 2) Wenn einer meiner User sich bei meinem MX authentifizieren möchte, weil er bspw. mit seinem Mailclient dessen smtpd benutzen möchte.
Punkt 1 kann ich nicht beeinflussen, dort muss ich sicherstellen, dass ich die Voraussetzungen herstelle, dass jeder andere Server in der Lage ist ohne weiteres mit meinem MX zu kommunizieren. Es darf nicht passieren, dass der Mailversand von irgendwoher an einer technischen Unzulänglichkeit scheitert.
Mit Punkt 2 hätte ich keine Probleme, wenn Du dort das Problem siehst. Meine User könnte ich anweisen 1x das Zertifikat zu akzeptieren und dieses dann zukünftig zu verwenden.
Wenn es jedoch unter Punkt 1 darauf herausläuft, dass der sendende MX zu Absicherung der Kommunikation mein Zertifikat importieren muss, dann ist das ein Showstopper, weil dies sicherlich keiner tun wird.
Lass mich raten: Genau das hast Du gemeint, korrekt? Und ehrlich gesagt war es dann genau das, was ich nicht hören wollte :-(
LG Stefanie
Am 2019-01-23 20:31, schrieb Stefanie Leisestreichler:
Wenn es jedoch unter Punkt 1 darauf herausläuft, dass der sendende MX zu Absicherung der Kommunikation mein Zertifikat importieren muss, dann ist das ein Showstopper, weil dies sicherlich keiner tun wird.
Lass mich raten: Genau das hast Du gemeint, korrekt? Und ehrlich gesagt war es dann genau das, was ich nicht hören wollte :-(
Mir ist kein Ernst zu nehmender Mailserver bekannt, der eine Mail ablehnt, weil ihm das Zertifikat nicht gefällt. Der Grossteil aller Mails wird immer noch unverschlüsselt übermittelt. Eine Verschlüsselung ablehnen, weil das Zertifikat selbst-signiert ist macht überhaupt keinen Sinn. Wer seinen Mailserver so einstellt, schneidet sich damit selbst vom Netz ab. Kann er machen, ist seine eigene Entscheidung, solche "Einsiedler" wären aber kein Entscheidungskriterium für mich.
Wer Wert darauf legt, seinen gegenüber zu verifizieren, der macht das mit PGP oder S/MIME Signaturen. Das ist nicht die Aufgabe des Transportsystems!
Die Post transportiert auch jeden Brief. Will ich meinen Gegenüber identifizieren, dann muss ich eben zum Postident-Verfahren greifen.
Jochen
On Wed, January 23, 2019 20:46, J. Fahrner wrote:
Am 2019-01-23 20:31, schrieb Stefanie Leisestreichler:
Wenn es jedoch unter Punkt 1 darauf herausläuft, dass der sendende MX zu Absicherung der Kommunikation mein Zertifikat importieren muss, dann ist das ein Showstopper, weil dies sicherlich keiner tun wird.
Lass mich raten: Genau das hast Du gemeint, korrekt? Und ehrlich gesagt war es dann genau das, was ich nicht hören wollte :-(
Mir ist kein Ernst zu nehmender Mailserver bekannt, der eine Mail ablehnt, weil ihm das Zertifikat nicht gefällt.
so kann das auch nicht gehen, weil das Zertifikat hat er ja selber ...
es geht in die andere Richtung, Mailserver x prüft das Zertifikat von Mailserver y um sicher zu gehen, auch dem richtigen Mailserver die Mail zu übermitteln; schlägt die Prüfung fehl verwirft er die Mail ...
Der Grossteil aller Mails wird immer noch unverschlüsselt übermittelt.
hier gehts auch nicht um die Mailverschlüsselung an sich sondern um die Authentizität bzw. Integrität des Mailservers
Eine Verschlüsselung ablehnen, weil das Zertifikat selbst-signiert ist macht überhaupt keinen Sinn.
stimmt, aber verwerfen weil man nicht weiß wer er ist; vgl. mit Postboten in Fake-Uniform, denen wirst auch keine Post übergeben, eher shredderst sie;
Wer Wert darauf legt, seinen gegenüber zu verifizieren, der macht das mit PGP oder S/MIME Signaturen.
Ja und Nein;
Das ist nicht die Aufgabe des Transportsystems!
Stimmt aber die Aufgabe des Absenders ist es zu entscheiden, welches Transportunternehmen beauftragt wird ...
Die Post transportiert auch jeden Brief. Will ich meinen Gegenüber identifizieren, dann muss ich eben zum Postident-Verfahren greifen.
das hindert aber niemanden daran die Post via Eulen nach Athen zu schicken ...
participants (9)
-
Andreas Reschke -
Benedikt Toelle -
J. Fahrner -
Katharina Knuth -
Markus Schönhaber -
Patrick Ben Koetter -
Stefanie Leisestreichler -
Walter H. -
Walter H.