Workshop: E-Mail-Transport in Postfix und Dovecot richtig absichern

Geschützt vor fremden Blicken

Mit NSA und Snowden hat sich endlich die Überzeugung durchgesetzt, Kommunikation zu verschlüsseln. Die einfachste und kostengünstigste Methode ist, den Transport zwischen Client und Server mit Transport Layer Security (SSL/TLS) abzusichern. Dieser Artikel zeigt, welche Überlegungen einem sicheren Dienst vorausgehen sollten und welche Stolperfallen im Alltag warten.
Allen Unkenrufen zum Trotz ist die E-Mail nach wie vor das Kommunikationsmedium Nummer eins im Unternehmen. Deshalb geben wir in der Februar-Ausgabe eine ... (mehr)

Eine E-Mail wird in der Regel über mehrere Server (Hops) hinweg vom Client zum Zielserver transportiert. Während des Transports wird sie dabei von einem MTA zum nächsten über eine Netzwerkverbindung weitergereicht. Die hier besprochene Methode TLS (Transport Layer Security) schützt den Datenaustausch zwischen einzelnen MTAs, wenn sie sich auf einen verschlüsselten Transportmechanismus einigen können. TLS verhindert effektiv, dass der Inhalt einer Nachricht beim Übergang von einem MTA zum nächsten MTA mitgelesen werden kann.

So gut TLS sich für diese Aufgabe eignet, so wenig schützt es die Nachricht, sobald sie im RAM des empfangenden Mailservers ankommt, bevor sie nach Filterung (Spam, Viren und so weiter) auf die Festplatte des Mailsystems geschrieben wird. Transport Layer Security schützt, wie ihr Name schon sagt, eben nur die Transportschicht, nicht aber den Inhalt selbst.

Sie wird deshalb gerne als unzureichend geschmäht. TLS-Kritiker verweisen stattdessen auf Methoden zur Ende-zu-Ende Verschlüsselung wie PGP oder S/MIME. Nur sie könnten richtige Sicherheit bieten. Obwohl der Autor selber PGP-Benutzer ist, mag er sich dieser

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023