Verständnisfrage Mailversand

AWOHille
Posts: 257
Joined: 2011-09-05 09:00

Verständnisfrage Mailversand

Post by AWOHille »

Hallo,

es geht um das Thema sicherer Mailversand. Dort habe ich mich in letzter Zeit viel belesen und dabei Meinungen gelesen, die sehr weit auseinander gehen.
Ich persönlich bevorzuge den Versand über einen SSL/TLS Tunnel SMTP Port 465, IMAP Port 995. Nun habe ich aber sehr oft gelesen, das der Mailverkehr sinnvoller über StartTLS geschehen sollte.

1.Ist es aber nicht so, das bei StartTLS der Datenstrom unverschlüsselt gesendet wird und erst danach die Verschlüsselung erfolgt? Dies wäre doch aber gegenüber der SSL/TLS Variante ein Nachteil, da dort die Verschlüsselung generell sofort geschieht.

2.Der Port 465 soll sich gegenüber dem Port 25 nur in der Verschlüsselung unterscheiden. Somit wäre wohl auch ein Versand ohne Authentifizierung möglich. Ist dies Tatsache so? Wenn aber der Server eine Authentifizierung verlangt, würde das doch keine Rolle mehr spielen, oder?

3.Ist eine Authentifizierungsmethoden wie CRAM-MD5 sinnvoll bzw. notwendig? Ich benutze im Moment die PLAIN Methode ("normal", unverschlüsselt). Ist diese ausreichend (Die Passwörter werden ja durch SSL/TLS verschlüsselt)?

Für eine Aufklärung wäre ich echt dankbar.

Gruß Hille
Top

ddm3ve
Moderator
Moderator
Posts: 1114
Joined: 2011-07-04 10:56

Re: Verständnisfrage Mailversand

Post by ddm3ve »

Zu Punkt 1
http://de.wikipedia.org/wiki/STARTTLS
Das ist genau erklärt. Es ist deshalb die "angenehmere" Methode, weil die Clients die Übertragungsart beiderseits aushandeln können.

Zu 2.
Ob Port 465, 25 etc, es ist eine reine Konfigurationssache, ob bei beiden Verbindungsarten eine und ggf. welche Authentifizierungmethode genutzt wird.
Es ist deshalb notwendig, weil man i.d.R. nicht 2 Protokolle über einen Dienst fährt.
Beim Unterschied zwischen SSL und nicht verschlüsselt scheint es Probleme zu geben, das "Protokoll" im Vorfeld aus zu handeln.
Zumindest kenne ich keinen dienst, der beides auf dem gleichen Port anbietet.

3. Ja, das wäre ggf. sogar aus juridischen Gründen notwendig.
Seit ca. 2 Jahren ggf. auch länger, gibt es wohl eine neue Gesetzliche Regelung dass u.a. Passworte verschlüsselt gespeichert werden müssen.
Aus technischer Sicht bezogen auf die Kommunikation zwischen Client und Server ist eine SSL Verschlüsselung wohl ausreichend. Ein Hacker ggf. könnte aber dennoch an die Klartextpassworte gelangen. Eventuell sogar mit einem simplen SQL Inject.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
Top

AWOHille
Posts: 257
Joined: 2011-09-05 09:00

Re: Verständnisfrage Mailversand

Post by AWOHille »

Hallo,

danke für die Antwort.

zu 1. Habe ich das richtig verstanden,das beide Übertragungsarten (SSL/TLS und StartTLS) von der Sicherheit der Übertragung her gleich sind. So wie ich das verstanden habe, liegt das Problem bei SSL/TLS beim Client, falls er diese Übertragungsart nicht unterstützt (gibt es überhaupt noch Clients die SSL nicht unterstützen?). StartTLS hingegen läßt wohl eine gesicherte bzw. ungesicherte Übertragung (was ja eigentlich auch nicht so toll ist) zu, richtig?

zu 3. genügt es eigentlich auch, wenn die Mail Passwörter in der Datenbank per MD5 Hash verschlüsselt sind? Gibt es eigentlich Probleme bei einigen Clients mit Cram-MD5?
Last edited by AWOHille on 2011-10-09 22:09, edited 1 time in total.
Top

ddm3ve
Moderator
Moderator
Posts: 1114
Joined: 2011-07-04 10:56

Re: Verständnisfrage Mailversand

Post by ddm3ve »

AWOHille wrote:Hallo,

zu 1. Habe ich das richtig verstanden,das beide Übertragungsarten (SSL/TLS und StartTLS) von der Sicherheit der Übertragung her gleich sind. So wie ich das verstanden habe, liegt das Problem bei SSL/TLS beim Client, falls er diese Übertragungsart nicht unterstützt (gibt es überhaupt noch Clients die SSL nicht unterstützen?). StartTLS hingegen läßt wohl eine gesicherte bzw. ungesicherte Übertragung (was ja eigentlich auch nicht so toll ist) zu, richtig?


Startls erlaubt es halt uch älteren Client dennoch eine Verbindung her zu stellen, anders wäre es, wenn der Dienst erst gar keine unverschlüsselte Verbindung zu lässt.
Es gibt sicherlich noch Clients, die mit SSL nichts anfangen können z.B. pop3Connector SBS Windows Server 2003.
Andere scheitern u.U. an selbst ausgestellten Zertifikaten.

AWOHille wrote:zu 3. genügt es eigentlich auch, wenn die Mail Passwörter in der Datenbank per MD5 Hash verschlüsselt sind? Gibt es eigentlich Probleme bei einigen Clients mit Cram-MD5?


md5 sollte jeder unterstützen, wobei man natürlich md5 per Rainbow Tabelle "knacken" kann.
Es gibt derzeit viele. Besser ist es hier einen entsprechenden Salt ein zu bauen. Quasi einen Zusatz, den ein Aussenstehender nicht kennen kann.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
Top

AWOHille
Posts: 257
Joined: 2011-09-05 09:00

Re: Verständnisfrage Mailversand

Post by AWOHille »

Danke, soweit ist alles jetzt klar.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Verständnisfrage Mailversand

Post by Joe User »

ddm3ve wrote:Zumindest kenne ich keinen dienst, der beides auf dem gleichen Port anbietet.

Du kennst MySQL nicht? :-?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

ddm3ve
Moderator
Moderator
Posts: 1114
Joined: 2011-07-04 10:56

Re: Verständnisfrage Mailversand

Post by ddm3ve »

Jetzt wo du es sagst.
Wobei, kann mysql wirklich beides gleichzeitig? SSL und nicht SSL?

Ich nutze das i.d.R. nicht daher habe ich da nicht dran gedacht.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Verständnisfrage Mailversand

Post by Joe User »

Ja, MySQL kann Beides gleichzeitig: http://dev.mysql.com/doc/refman/5.5/en/ ... tions.html
MySQL enables encryption on a per-connection basis. You can choose a normal unencrypted connection or a secure encrypted SSL connection according the requirements of individual applications.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top