Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › MTA-STS: Neuer Standard sichert…

Gehts nur mir so...

  1. Thema

Neues Thema Ansicht wechseln


  1. Gehts nur mir so...

    Autor: ITsMe 28.09.18 - 13:53

    ... oder ist dieser Standard komplett realitätsfern und löst das problem genauso wenig wie DANE noch einen Schritt komplizierter?

    Irgendwie hab ich das Gefühl das http und in folge https so ein hipes Protokoll ist und deswegen versucht wird jedes Problem damit zu lösen.

    DoH kann ich noch irgendwie nachvollziehen weil es genügend unfähige oder paranoide Systemadmins gibt die entweder zufaul sind ihre Firewallregeln der Realität anzupassen und alles sperren und kein DNS durch lassen.

    Aber warum sollte man diese Abfrage über https machen wenn das gleiche schon alles im DNS Eintrag stehen könnte, genauer gesagt es steht schon alles drinnen außer type=enforce. Alles andere steht im TXT record inkl. expire Zeitpunkt.

    Gut dann kommt die argumentation der DNS Eintrag könnte manipuliert werden weil die Admins nicht in der Lage sind DNSSEC einzurichten (wobei hier das größte Problem die selbst organisation ist). Aber ja könnte ich noch verstehen aber warum sollte das bei dem MTA-STS Standard anders sein?
    Diese benötigt (außer ich hab was im Artikel übersehen) genauso einen DNS Eintrag der manipuliert sein könnte. Eigentlich noch besser er benötigt sogar 2, weil den mta-sts subdomain benötigt er auch noch. Auf deutsch 2 DNS abfragen die beide unterdrückt werden könnten ohne DNSSEC. Also genau kein Gewinn gegen über DANE.

    Dann kommen wir zum nächsten Angriffspunkt. Den Webserver, der muss wohl mit https ausgestattet sein, aber ist er deswegen sicher? Bei unserem glück werden Mailserver implementiert die nur TLS 1.0 unterstützen und du den Webserver nie wieder auf eine zum Zeitpunkt X sichere Verschlüsselung umstellen kannst weil sonst keine mails mehr ankommen.

    Sorry aber der Standard ist in meinen Augen vollkommen sinnlos ohne DNSSEC genauso wie DANE nur das er tolles http verwendet.

  2. Re: Gehts nur mir so...

    Autor: RipClaw 28.09.18 - 14:37

    ITsMe schrieb:
    --------------------------------------------------------------------------------
    > ... oder ist dieser Standard komplett realitätsfern und löst das problem
    > genauso wenig wie DANE noch einen Schritt komplizierter?

    Vermutlich wollten sie die DNS Einstellungen nicht so kompliziert gestalten aber mit der Policy Datei genug Spielraum für eine umfangreiche Konfiguration lassen.

    Generell nervt es mich aber auch das man jetzt als Admin die Firewall von einem Mailserver so weit öffnen muss der er HTTP und HTTPS Verbindungen erlaubt.

    Und ich sehe auch ein Potential für Angriffe da die Datei vom Webserver durch einen Parser durch muss. Bin gespannt wie sie das Problem angehen. Vor allem bei Mailservern wie exim, bei denen alles unter einem Prozess läuft, ist die Angriffsfläche unter Umständen recht groß.



    1 mal bearbeitet, zuletzt am 28.09.18 14:38 durch RipClaw.

  3. Re: Gehts nur mir so...

    Autor: OlafLostViking 28.09.18 - 14:58

    Nein, ich schließe mich da an. Es ist eine Unart alles auf HTTP zu legen.

    Ich bin eigentlich ein großer Fan von Systemdaten im DNS - auch und vor allem alles, was mit Sicherheit zu tun hat. Selbst auf CAs könnte man dann bei DV Zeritifkaten problemlos verzichten.

    Das Problem, das viele mit DNSSEC haben, kann ich (leider?) nicht ganz nachvollziehen. Bei mir läuft es wunderbar und ohne großen Aufwand. Richtig, es ist kaum verbreitet, aber das ist ein menschliches Problem, welches auch mit diesem Ansatz nicht gelöst wird (eher noch verschärft).

    @RipClaw: Der Webserver muss ja nicht die gleiche Maschine sein, wie der Mailserver. Aber klar, jetzt muss ich nicht nur den Mailserver und den DNS-Server (die ich beide ja sowieso habe), sondern auch noch einen Webserver betreiben und absichern.



    1 mal bearbeitet, zuletzt am 28.09.18 14:59 durch OlafLostViking.

  4. Re: Gehts nur mir so...

    Autor: Gonzales 28.09.18 - 15:15

    OlafLostViking schrieb:
    --------------------------------------------------------------------------------
    > Nein, ich schließe mich da an. Es ist eine Unart alles auf HTTP zu legen.

    +1

    > Ich bin eigentlich ein großer Fan von Systemdaten im DNS - auch und vor
    > allem alles, was mit Sicherheit zu tun hat. Selbst auf CAs könnte man dann
    > bei DV Zeritifkaten problemlos verzichten.

    +1

    > Das Problem, das viele mit DNSSEC haben, kann ich (leider?) nicht ganz
    > nachvollziehen.

    +1

    > @RipClaw: Der Webserver muss ja nicht die gleiche Maschine sein, wie der
    > Mailserver. Aber klar, jetzt muss ich nicht nur den Mailserver und den
    > DNS-Server (die ich beide ja sowieso habe), sondern auch noch einen
    > Webserver betreiben und absichern.

    Ich glaub, @RipClaw ging's darum, daß der Mailserver zur Überprüfung der Policy des Empfängers eine ausgehende http(s)-Verbindung aufbauen muß.

  5. Re: Gehts nur mir so...

    Autor: RipClaw 28.09.18 - 15:20

    Gonzales schrieb:
    --------------------------------------------------------------------------------

    > Ich glaub, @RipClaw ging's darum, daß der Mailserver zur Überprüfung der
    > Policy des Empfängers eine ausgehende http(s)-Verbindung aufbauen muß.

    Ja das meinte ich.

  6. Re: Gehts nur mir so...

    Autor: OlafLostViking 28.09.18 - 16:05

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Ja das meinte ich.

    Ah, das verstand ich falsch - zu schnell gelesen oder zu viel aufgeregt ;-). Vielen Dank an @Gonzales für's Klarstellen.

    Ja, da gebe ich @RipClaw völlig recht. Meine Firewallregeln sind recht streng, so dass nur bestimmte userids je nach ihrer Aufgabe zu ganz bestimmten IP/Port-Kombinationen Verbindung aufnehmen dürfen. Dieser neue Ansatz erfordert den Mailserver-Benutzer (jetzt verstehe ich auch, was Du mit dem Exim-Beispiel sagen wolltest) nicht nur auf alle Port 25, sondern auch noch alle Port 443 rauslassen muss. Das schreit nach völlig unnötigen Sicherheitsproblemen (gerade bei einem Server, dessen Hauptaufgabe ist Daten, die ihm aus dem bösen, weiten Netz geschickt werden, zu parsen, scannen, analysieren, ...).

  7. Re: Gehts nur mir so...

    Autor: tsp 30.09.18 - 08:25

    Muss mich hier ebenfalls absolut anschließen, finde es auch ungut alles mit HTTP(S) lösen zu wollen - die nötigen Informationen kann man bereits jetzt im DNS unterbringen was an sich nicht schwierig ist, robust und solide funktioniert und mit Hilfe von DNSSEC auch ordentlich absicherbar ist - und DNS bietet da meiner Meinung nach gegenüber einem Webserver gleich mehrere Vorteile und ist schlichtweg simpler. Einen Mailserver der via HTTP(S) kommunizieren möchte hätte ich nur sehr ungern in meinem Netzwerk.

    Ich denke diesen Trend alles via HTTP zusammenbasteln zu wollen gibt's in dem Bereich deshalb, weil es einen Haufen an "billigen" Registraren für Domains gibt die zugleich den Betrieb der Zone übernehmen die wiederum keine API für Änderungen an der Zone unterstützen oder z.B. nur A/AAAA/MX und CNAME Records über ihre Interfaces unterstützen - da sehe ich das Problem allerdings nicht bei DNS sondern bei diesen Betreibern.

    Und selbst wenn es ein Problem mit der Transportverschlüsselung von E-Mails gäbe gibt's meiner Meinung nach noch immer funktionierende sichere End-to-end Verfahren für E-Mails (OpenPGP oder S/MIME wobei ich persönlich erstere bevorzuge) um die Inhalte zu sichern - da kann dann der Transport meiner Meinung nach gerne unsicher sein (ja ich weiß - Metadaten werden dadurch nicht geschützt)

  8. Re: Gehts nur mir so...

    Autor: ikhaya 30.09.18 - 09:47

    Ob man nun HTTPS über Port 443 spricht oder 1023, ob es Submission oder SMTP über Port 443 oder 999 ist, macht das einen Unterschied? Verschlüsselt und uneinsehbar sind beide.

    Es gibt hier kein Entweder Transportverschlüsselung Oder Ende-zu-Ende Verschlüsselung des Inhalts.

    Beide müssen zusammen eingesetzt werden damit sowohl der Inhalt der E-Mail als auch die Metadaten soweit wie möglich geschützt werden.

  9. Re: Gehts nur mir so...

    Autor: tsp 30.09.18 - 14:00

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Ob man nun HTTPS über Port 443 spricht oder 1023, ob es Submission oder
    > SMTP über Port 443 oder 999 ist, macht das einen Unterschied? Verschlüsselt
    > und uneinsehbar sind beide.

    Es macht in so fern einen Unterschied, als Mailserver ja bereits SMTP (optional über TLS) und DNS sprechen. Jetzt soll noch ein weiteres Protokoll (HTTP) mit zugehörigem Parser und ein Parser für Policy Dateien dazu kommen. Das fügt schon einiges an unnötiger Komplexität hinzu, vor Allem da die bestehenden Protokolle ja bereits die nötigen Informationen liefern können (eben z.B. DNS - mit DNSSEC auch entsprechend abgesichert wobei die Verifikation von DNSSEC Signaturen dann auch noch in den DNS Resolver oder Client ausgelagert wird und die Komplexität des Mailclients nicht erhöht).

  10. Re: Gehts nur mir so...

    Autor: ikhaya 30.09.18 - 17:51

    Auch DANE braucht Code im Mailserver oder im Client oder im Browser der die Records auswertet.

  11. Re: Gehts nur mir so...

    Autor: tsp 01.10.18 - 12:11

    Der ist allerdings signifikant simpler als ein kompletter HTTP Stack (+ Parser für das "neue" Policy Format) ...

  12. Re: Gehts nur mir so...

    Autor: Niels_Dettenbach 06.02.19 - 08:26

    Das ist nicht ganz falsch. Phil von Exim.org hat gestern auf der exim mailing liste recht gut dargelegt, warum STS keine pauschale Lösung ist.

    Das Problem ist auch nicht HTTPS sondern die Strategie / Struktur von x509 - genauer: dem zentralistischen Ansatz der "SSL" CAs / Vertrauensstellungen. Nur weil sehr viele Anwender heute glauben, eine Verbindung ihres Browsers sei "sicher" (vertrauenswürdig), nur weil "das Schloß zu" oder "Browserzeile grün" ist. Tatsächlich lässt sich heute in den AGBs fast jeder Bank zum Online Banking nachlesen, warum das nicht so ist. Es waren und sind CAs und Browserhersteller (siehe Browser Alliance u.ä.) die von dieser Fehlinformation profitierten, was auch nahelegt, woher diese Story stammt. Es gibt sogar Produkte, die die Aushebelung von SSL als MitM mit Hilfe dieses verbreiteten Fehlwissens realisieren.

    Es gibt eben kein "ist sicher bzw. nicht sicher" im Kontext von "vertrauenswürdig oder nicht", sondern immer nur bedingte, abgestufte Varianten davon. Diese aber bilden weder die meisten Anwender ab - noch könnte dies ein Mailprovider pauschal übernehmen.

  13. Re: Gehts nur mir so...

    Autor: ikhaya 06.02.19 - 13:12

    Es geht immer darum die Latte so hoch wie möglich zu legen. Wenn etwas sicherer ist als vorher ist auch etwas gewonnen um die Masse der Leute zu schützen.

    Hast du nen Link zu dem Beitrag da?

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DATAGROUP Köln GmbH, Frankfurt/Main
  2. PENTASYS AG, München, Frankfurt, Nürnberg, Stuttgart, Düsseldorf
  3. Wacker Neuson SE, München, Linz
  4. Hays AG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,75€
  2. 13,95€
  3. 33,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

  1. Hack: Die Motoren am anderen Ende der Welt stoppen
    Hack
    Die Motoren am anderen Ende der Welt stoppen

    Ein Hacker hat auf knapp 30.000 Kundenkonten von zwei GPS-Tracker-Apps zugreifen können. Neben umfangreichen Einblicken, hätte er bei manchen Fahrzeugen auch den Motor während der Fahrt ausschalten können - per App oder Webclient.

  2. Chuwi Aerobook: Leichtes Notebook ab 350 Euro mit Core m3
    Chuwi Aerobook
    Leichtes Notebook ab 350 Euro mit Core m3

    Das Aerobook scheint ein für mobile Schreibarbeiten geeignetes Notebook zu sein. Wie für Chuwi üblich, versucht der Hersteller das Gerät möglich günstig anzubieten: Ab 350 Euro gibt es einen Core-m3-Prozessor und 128 GByte Speicher.

  3. Tim Sweeney: Weiter Streit um den Epic Games Store
    Tim Sweeney
    Weiter Streit um den Epic Games Store

    Der Chef von Epic Games diskutiert mit der Community über seinen neuen Store. Unter anderem will Tim Sweeney keine Exklusivspiele mehr anbieten - falls Konkurrent Steam seine Provisionen senkt.


  1. 11:46

  2. 11:38

  3. 10:42

  4. 10:30

  5. 10:24

  6. 10:13

  7. 09:39

  8. 09:15