Signierte E-Mails von Amazon?

Matthias Leisi

Thursday, September 7. 2006

Signierte E-Mails von Amazon?

Einige Blogschreiber möchten, dass Amazon ihre Mails signieren, damit diese auf Authentizität geprüft werden können.

Interessanterweise scheinen sich die Blogschreiber auf PGP/GPG beschränken zu wollen — und übersehen dabei, dass Amazon bei ihren Mailservern bereits TLS unterstützt:

matthias@asterix:~/tmp> ./tls-tester.pl amazon.com
domain=amazon.com;mx=smtp-fw-1101.amazon.com;ip0=207.171.164.54;rdns0=164-54.amazon.com.;
banner="smtp-border-fw-1101.amazon.com";tls=yes;cnsubject="smtp-fw-0101.amazon.com";cnmatch=no;
issuer="CN=Amazon.com IT Security CA/O=Amazon.com";cipher=AES256-SHA

Da Amazon ein Eigenbau-Zertifikat verwendet, ist die Verifizierung etwas schwieriger, aber nicht unmöglich.

Das was ihr wollt gibt es schon: Erzwingen von TLS für eingehende Mails (am Beispiel von Postfix).

Posted by Matthias Leisi in Mail, Security at 09:11 | Comments (5) | Trackbacks (0)

Trackbacks
Trackback specific URI for this entry

No Trackbacks

Comments
Display comments as (Linear | Threaded)

Das was ihr wollt gibt es schon

Nein, gibt es nicht. Denn zum einen sichert TLS nur den Transportweg zwischen den Servern, es bietet dem Empfänger der Mail keine Möglichkeit den Absender zu verifizieren. Und selbst wenn einem die Absicherung des Weges zwischen den Mailservern reichen würde (was es meiner Meinung nach nicht tut) – wie viele Amazon-Kunden konfigurieren ihre Mailserver wohl selber?

#1 Carsten Dobschat (Homepage) on 2006-09-07 09:51 (Reply)

SMTP/TLS bietet sehr wohl die Möglichkeit, den Absender zu identifizieren. Genau genommen ist es nicht der Absender als Person (im Falle von Amazon sowieso: "ein Programm"), sondern der ausliefernde Mailserver.

Für die Art der Gefahr, von der Amazon und ähnliche am meisten betroffen sind (Phishing), ist der Einsatz von SMTP/TLS mit Prüfung der Zertifikate auf Mailserver-Ebene sinnvoll: Ein Mail, angeblich von Amazon, ohne überprüfbares Zertifikat? REJECT.

Es ist genauso ein Feature von SMTP/TLS, dass der Amazon-Kunde eben nicht den Mailserver dafür konfigurieren muss. Ein Administrator macht das, und hat damit alle seine User geschützt.

#1.1 Matthias Leisi (Homepage) on 2006-09-07 10:15 (Reply)

Eben, es wird nur der ausliefernde Mailserver identifiziert – und was bringt das einem Enduser? Erstmal nix. Keine Frage: TLS ist sinnvoll, aber es ist für dieses Problem nicht die Lösung.
Tatsache ist nun mal: eine Lösung auf Basis von GnuPG/PGP erfordert keinen Eingriff von Dritten (Mailserver-Administratoren, auf die man als Endkunde meist nicht durchgreifen kann) und erlaubt es zwei Kommunikationspartnern ganz unabhängig von den dazwischen verwendeten Mailservern und Mailanbietern gesichert zu kommunizieren. Und nur darum geht es!

SMTP/TLS ist kein Problem von Endusern, sondern von Mailserver-Administratoren.

#1.1.1 Carsten Dobschat (Homepage) on 2006-09-07 10:31 (Reply)

Warum muss es Aufgabe des Endbenutzers sein? Im Gegenteil, da die grosse Zahl der Endbenutzer damit überfordert sind (egal ob PGP oder S/MIME), bringt es wesentlich mehr Benefit, wenn die Identifizierung und Authentifizierung zentral erfolgt.

Sicher ist SMTP/TLS nicht die Lösung für alle Probleme, und wenn Anbieter Methoden wie PGP unterstützen ist das eine Gute Sache™.

Aber: Endbenutzer-Crypto-Lösungen sind äusserst aufwändig in der organisatorischen und administrativen Handhabung; ihr Nutzen hängt stark davon ab, ob die Endbenutzer richtig damit umgehen können — was in vielen Fällen bezweifelt werden darf.

#1.1.1.1 Matthias Leisi (Homepage) on 2006-09-07 11:05 (Reply)

Ende-zu-Ende / Site-to-Site. Äpfel / Birnen. Was gibts darüber eigentlich zu diskutieren? :-o

#2 martin (Homepage) on 2006-09-08 18:24 (Reply)

Add Comment

Textile-formatting allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA
 
 

Quicksearch

Kategorien


All categories

Sicheres E-Mail

Einführung
CA
Postfix
Cyrus IMAP
Apache
Signieren

Postfix: TLS erzwingen für eingehende / ausgehende Mails

TLS Statistik
Test-Script
OpenSSL Cheat Sheet

Blog abonnieren

Add Google Reader

Blog Administration

Open login screen

Rights & Wrongs

Creative Commons License - Some Rights Reserved
Original content in this work is licensed under a Creative Commons License