1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › SMTP STS: Bessere…

DNS Eintrag fälschen versus StartTLS filtern

  1. Thema

Neues Thema Ansicht wechseln


  1. DNS Eintrag fälschen versus StartTLS filtern

    Autor: ikhaya 23.03.16 - 16:47

    Wenn ich einen DNS Eintrag ablege in dem steht "bitte verschlüsselt einliefern", ist der nicht ebenfalls manipulierbar wenn auf DNSSEC verzichtet wird und damit nicht besser als das alte STARTTLS Kommando? Kann man den nicht genauso rausfiltern?
    Wenn ich aber DNSSEC verwende um den STS Record zu schützen, kann ich dann nicht gleich das TLS Zertifikat als DANE-TLSA Eintrag hinterlegen?
    Ich seh den Gewinn der neuen Methode nicht gerade.

  2. Re: DNS Eintrag fälschen versus StartTLS filtern

    Autor: Vanger 23.03.16 - 16:57

    Darum ist laut Artikel alternativ auch die Verwendung eines HTTPS-Requests vorgesehen...

  3. Re: DNS Eintrag fälschen versus StartTLS filtern

    Autor: ikhaya 23.03.16 - 17:49

    ich versteh dass eher als schau im DNS nach und wenn da was steht prüfe nochmal über TLS die Details.
    Ich hoff im Entwurf wird es klarer.

  4. Re: DNS Eintrag fälschen versus StartTLS filtern

    Autor: RipClaw 23.03.16 - 19:36

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Ich seh den Gewinn der neuen Methode nicht gerade.

    Der Gewinn ist das man über einen zweiten Weg überprüfen kann ob der Server STARTTLS beherrscht. Wenn ein Angreifer nur einen Teil der Verbindung kontrollieren kann dann kann zwar z.B. das STARTTTLS herausfiltern aber nicht z.B. die DNS Abfrage die vielleicht einen anderen Weg nimmt.

    Zudem wird das Ergebnis in einem Cache gespeichert. Wenn es also einmal geklappt hat einem Mailserver mitzuteilen das man nur verschlüsselte Verbindungen akzeptiert dann kann ein Angreifer STARTTLS nicht mehr unterdrücken.
    Zudem wird das Zertifikat verifiziert was einen Man in the Middle erschwert.

    DANE ist zwar immer noch besser aber dafür kommt man hier ohne DNSSEC aus. Man kann aber auch beide Verfahren kombinieren.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ROSE Systemtechnik GmbH, Hohenlockstedt
  2. CipSoft GmbH, Regensburg
  3. Condor Flugdienst GmbH / FRA HP/B, Neu-Isenburg
  4. Statistisches Bundesamt, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. WISO Steuer-Software für PC und Mac für je 19,99€)
  2. (u. a. Emtec X150 SSD Power Plus 960 GB für 84,90€ + 6,99€ Versand und Thermaltake V200 TG RGB...
  3. (u. a. Samsung 860 EVO 1 TB für 85€)
  4. (u. a. Samsung 860 EVO 1 TB für 85€)


Haben wir etwas übersehen?

E-Mail an news@golem.de