Verständnisfrage Mailversand

[AWOHille]

Hallo,

es geht um das Thema sicherer Mailversand. Dort habe ich mich in letzter Zeit viel belesen und dabei Meinungen gelesen, die sehr weit auseinander gehen.
Ich persönlich bevorzuge den Versand über einen SSL/TLS Tunnel SMTP Port 465, IMAP Port 995. Nun habe ich aber sehr oft gelesen, das der Mailverkehr sinnvoller über StartTLS geschehen sollte.

1.Ist es aber nicht so, das bei StartTLS der Datenstrom unverschlüsselt gesendet wird und erst danach die Verschlüsselung erfolgt? Dies wäre doch aber gegenüber der SSL/TLS Variante ein Nachteil, da dort die Verschlüsselung generell sofort geschieht.

2.Der Port 465 soll sich gegenüber dem Port 25 nur in der Verschlüsselung unterscheiden. Somit wäre wohl auch ein Versand ohne Authentifizierung möglich. Ist dies Tatsache so? Wenn aber der Server eine Authentifizierung verlangt, würde das doch keine Rolle mehr spielen, oder?

3.Ist eine Authentifizierungsmethoden wie CRAM-MD5 sinnvoll bzw. notwendig? Ich benutze im Moment die PLAIN Methode ("normal", unverschlüsselt). Ist diese ausreichend (Die Passwörter werden ja durch SSL/TLS verschlüsselt)?

Für eine Aufklärung wäre ich echt dankbar.

Gruß Hille

[ddm3ve]

Zu Punkt 1
http://de.wikipedia.org/wiki/STARTTLS
Das ist genau erklärt. Es ist deshalb die "angenehmere" Methode, weil die Clients die Übertragungsart beiderseits aushandeln können.

Zu 2.
Ob Port 465, 25 etc, es ist eine reine Konfigurationssache, ob bei beiden Verbindungsarten eine und ggf. welche Authentifizierungmethode genutzt wird.
Es ist deshalb notwendig, weil man i.d.R. nicht 2 Protokolle über einen Dienst fährt.
Beim Unterschied zwischen SSL und nicht verschlüsselt scheint es Probleme zu geben, das "Protokoll" im Vorfeld aus zu handeln.
Zumindest kenne ich keinen dienst, der beides auf dem gleichen Port anbietet.

3. Ja, das wäre ggf. sogar aus juridischen Gründen notwendig.
Seit ca. 2 Jahren ggf. auch länger, gibt es wohl eine neue Gesetzliche Regelung dass u.a. Passworte verschlüsselt gespeichert werden müssen.
Aus technischer Sicht bezogen auf die Kommunikation zwischen Client und Server ist eine SSL Verschlüsselung wohl ausreichend. Ein Hacker ggf. könnte aber dennoch an die Klartextpassworte gelangen. Eventuell sogar mit einem simplen SQL Inject.

[AWOHille]

Hallo,

danke für die Antwort.

zu 1. Habe ich das richtig verstanden,das beide Übertragungsarten (SSL/TLS und StartTLS) von der Sicherheit der Übertragung her gleich sind. So wie ich das verstanden habe, liegt das Problem bei SSL/TLS beim Client, falls er diese Übertragungsart nicht unterstützt (gibt es überhaupt noch Clients die SSL nicht unterstützen?). StartTLS hingegen läßt wohl eine gesicherte bzw. ungesicherte Übertragung (was ja eigentlich auch nicht so toll ist) zu, richtig?

zu 3. genügt es eigentlich auch, wenn die Mail Passwörter in der Datenbank per MD5 Hash verschlüsselt sind? Gibt es eigentlich Probleme bei einigen Clients mit Cram-MD5?

[ddm3ve]

Hallo,

zu 1. Habe ich das richtig verstanden,das beide Übertragungsarten (SSL/TLS und StartTLS) von der Sicherheit der Übertragung her gleich sind. So wie ich das verstanden habe, liegt das Problem bei SSL/TLS beim Client, falls er diese Übertragungsart nicht unterstützt (gibt es überhaupt noch Clients die SSL nicht unterstützen?). StartTLS hingegen läßt wohl eine gesicherte bzw. ungesicherte Übertragung (was ja eigentlich auch nicht so toll ist) zu, richtig?

Startls erlaubt es halt uch älteren Client dennoch eine Verbindung her zu stellen, anders wäre es, wenn der Dienst erst gar keine unverschlüsselte Verbindung zu lässt.
Es gibt sicherlich noch Clients, die mit SSL nichts anfangen können z.B. pop3Connector SBS Windows Server 2003.
Andere scheitern u.U. an selbst ausgestellten Zertifikaten.

zu 3. genügt es eigentlich auch, wenn die Mail Passwörter in der Datenbank per MD5 Hash verschlüsselt sind? Gibt es eigentlich Probleme bei einigen Clients mit Cram-MD5?

md5 sollte jeder unterstützen, wobei man natürlich md5 per Rainbow Tabelle "knacken" kann.
Es gibt derzeit viele. Besser ist es hier einen entsprechenden Salt ein zu bauen. Quasi einen Zusatz, den ein Aussenstehender nicht kennen kann.

[AWOHille]

Danke, soweit ist alles jetzt klar.

[Joe User]

Zumindest kenne ich keinen dienst, der beides auf dem gleichen Port anbietet.

Du kennst MySQL nicht? :-?

[ddm3ve]

Jetzt wo du es sagst.
Wobei, kann mysql wirklich beides gleichzeitig? SSL und nicht SSL?

Ich nutze das i.d.R. nicht daher habe ich da nicht dran gedacht.

[Joe User]

Ja, MySQL kann Beides gleichzeitig: http://dev.mysql.com/doc/refman/5.5/en/ ... tions.html

MySQL enables encryption on a per-connection basis. You can choose a normal unencrypted connection or a secure encrypted SSL connection according the requirements of individual applications.