Donnerstag, 8. März 2007
Verschlüsselte Inbox
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Ein sinnvolles Feature ist es allemal, allerdings stört mich an IMAP eher die langen Ladezeiten in den Mail-Clients. Mit DSL 3000 und Outlook/Thunderbird ist das Protokoll IMAP (zumindest bei mir) alles andere als performant.
Bisher bin ich noch kein Kunde bei Dir, aber ich bin schon allein wegen dieses Blogs dazu geneigt, mich mal bei dir zu melden
Liebe Grüße
Adrian
Bisher bin ich noch kein Kunde bei Dir, aber ich bin schon allein wegen dieses Blogs dazu geneigt, mich mal bei dir zu melden
Liebe Grüße
Adrian
Heeeer damit! 
@Adrian:
Bei mir gehts selbst per Handy (GPRS-Verbindung) ziemlich schnell! Das scheint eher an deinem Hoster zu liegen, da die Datenmengen von ein paar Emails so gering sind. Wenn du Websites aufrufst müsste es dann auch so lange dauern.
Sone Email ohne Anhang ist maximal 2 kb groß!
@Adrian:
Bei mir gehts selbst per Handy (GPRS-Verbindung) ziemlich schnell! Das scheint eher an deinem Hoster zu liegen, da die Datenmengen von ein paar Emails so gering sind. Wenn du Websites aufrufst müsste es dann auch so lange dauern.
Sone Email ohne Anhang ist maximal 2 kb groß!
Na, das würde ich so nicht unterschreiben...
Eigentlich nichts von beidem
Eigentlich nichts von beidem
Eigenartig. Wenn ich eine Email lesen wollte, sie also ausgewählt habe und die Vorschau geladen wurde, hat das immer ewig gedauert bzw. wenn ich Mails ausgewählt habe um sie beispielsweise zu verschieben, wurde jedes Mal die Vorschau geladen bevor ich das verschrieben konnte. Klar liegt das in erster Linie am Mail-Client, aber wenn ich das ganze mit POP3 mache, die eMail-Vorschau also von der lokalen Platte geladen wird, ist das Ganze einfach viel flüssiger. Find ich
@ Bernd
inwiefern?
@ Bernd
inwiefern?
Das war bislang einer der wenigen Gründe die mich von Imap abgehalten haben.
Sehr cool ^^
Sehr cool ^^
.. nur um die Theorie mal weiter zu denken, das einzig sinnvolle wäre in meinen Augen ein IMAP Daemon welcher die Mails bereits verschlüsselt auf dem Filesystem speichert. Die Idee mit dem GPG sehe ich problematisch, da man nich jedem User/Kunden zumuten kann, sich mit GPG auseinanderzusetzen (auch wenn es wünschenswert wäre).
Aber auch bei meinem Vorschlag bleibt ein Problem:
die Sache mit dem Schlüssel. Der muss ja schließlich irgendwo gespeichert werden und da ich bei einem kompromittierten System davon ausgehen muss, das auch die Schlüssel gefunden werden, ist das wieder nur pseudosicher.
Jemand Ideen was man da machen könnte (bzgl. des Schlüssels) ?
Viele Grüße,
Aber auch bei meinem Vorschlag bleibt ein Problem:
die Sache mit dem Schlüssel. Der muss ja schließlich irgendwo gespeichert werden und da ich bei einem kompromittierten System davon ausgehen muss, das auch die Schlüssel gefunden werden, ist das wieder nur pseudosicher.
Jemand Ideen was man da machen könnte (bzgl. des Schlüssels) ?
Viele Grüße,
Das war ja die Grundidee: Die E-Mails verschlüsselt auf dem System abzulegen... Für die Übertragung zum Kunden steht ohnehin SSL zur Verschlüsselung bereit.
Das Verschlüsseln ist auch kein Problem, da hierzu nur der Public Key benötigt wird - und der ist eben wie der Name sagt: öffentlich und quasi frei verfügbar. Der private Key wird nur zum entschlüsseln benötigt und das geschieht auf dem Client und nicht auf dem Server...
Das Verschlüsseln ist auch kein Problem, da hierzu nur der Public Key benötigt wird - und der ist eben wie der Name sagt: öffentlich und quasi frei verfügbar. Der private Key wird nur zum entschlüsseln benötigt und das geschieht auf dem Client und nicht auf dem Server...
.. das ist mittlerweile klar
würde auch funktionieren, denke ich - jedoch muss da der "Kunde" etwas für tun. Das ist in vielen Fällen (ich arbeite in der selben Branche) recht schwierig. Das Sicherheitsverständnis ("ich muss da mitwirken, zu meiner eigenen Sicherheit") fehlt leider sehr oft.
Viele Grüße,
würde auch funktionieren, denke ich - jedoch muss da der "Kunde" etwas für tun. Das ist in vielen Fällen (ich arbeite in der selben Branche) recht schwierig. Das Sicherheitsverständnis ("ich muss da mitwirken, zu meiner eigenen Sicherheit") fehlt leider sehr oft.
Viele Grüße,
Wäre ja ein optionales Feature - keine Pflicht...
Ich bin btw. immer wieder überrascht, wie viele meiner Kunden GPG haben...
Ich bin btw. immer wieder überrascht, wie viele meiner Kunden GPG haben...
IMAP wird benutzt , damit man von überall an seine Mails kommt, richtig? Ordnerstruktur etc... alles geht mit IMAP. Ergo bedeutet das doch, dass man als IMAP-User von mehreren verschiedenen Geräten und Orten auf sein IMAP-Postfach zugreift.
Hat man z.B. ein Webfrontend oder ist im Internetcafe, ist man aufgeschmissen. Seh ich das richtig?
Ich hab schon lange kein PGP mehr benutzt, da mir Plugins für Clients und Browser fehlten, gibt es da mittlerweile (speziell bei GnuPG) fortschritte?
Hat man z.B. ein Webfrontend oder ist im Internetcafe, ist man aufgeschmissen. Seh ich das richtig?
Ich hab schon lange kein PGP mehr benutzt, da mir Plugins für Clients und Browser fehlten, gibt es da mittlerweile (speziell bei GnuPG) fortschritte?
Webmail! Guter Einwand!
Das war mir natürlich mal wieder entfallen (ich hasse Webmail) - aber Du hast schon recht: Jeder Client muss das PGP verstehen... Was einen Linuxer wie mich nicht kratzt - immerhin können das hier fast alle Clients...
Letzten Endes bleibt es dem Kunden selbst überlassen, ob er a) das Feature haben will und b) welchen Client er benutzt. Da die Verschlüsselung der Mails jedoch irgendwo um procmail herum passieren wird, sind weitere Tricks wie z.B. "Verschlüsselungsregeln" denkbar...
Das war mir natürlich mal wieder entfallen (ich hasse Webmail
) - aber Du hast schon recht: Jeder Client muss das PGP verstehen... Was einen Linuxer wie mich nicht kratzt - immerhin können das hier fast alle Clients...Letzten Endes bleibt es dem Kunden selbst überlassen, ob er a) das Feature haben will und b) welchen Client er benutzt. Da die Verschlüsselung der Mails jedoch irgendwo um procmail herum passieren wird, sind weitere Tricks wie z.B. "Verschlüsselungsregeln" denkbar...
Es gibt z.bsp. eine Erweiterung für squirrelmail die gpg Support in das Webinterface integriert. Natürlich muss man dann wieder dem Webmail Provider vertrauen..
Das wusste ich nicht! Aber squirrelmail ist opensource und der webmail-provider ist vermutlich Bernd Holzmüller. Dagegen spricht demnach nichts.
Hmm..
Ist auch nicht 100% sicher, da der pöse Pube die Mails entweder einfach beim reinkommen kopieren könnte und somit eine unverschlüsselte Version hätte, oder aber er lässt das System die Mails zusätzlich auch noch mit seinem Publickey verschlüsseln..
Beides setzt voraus, dass er längere Zeit Zugriff auf das System hätte und er könnte auch nur Mails ab dem Datum der Manipulation mitlesen, aber dennoch schwächt es das System nicht unerheblich.
Ich glaube gegen einen zu Neugierigen Mitarbeiter hilft ausser Security by Obscurity nichts.. und selbst das nur sehr begrenzt - man muss den Leuten einfach trauen (nicht umsonst ist das Ausspähen ein Kündigungsgrund + strafbar).
Zudem muss man sich ja immer klar machen, dass die Mails zuvor sowieso oft unverschlüsselt durch Netz geblasen wurden (Exchange kann z.B. erst ab 2007 Mails per TLS abliefern..)
Absolute Sicherheit ist an Orten an denen Menschen arbeiten/manipulieren können einfach unmöglich und von daher würde ich es eher als Mehraufwand statt als Sicherheitsgewinn sehen :/
Ist auch nicht 100% sicher, da der pöse Pube die Mails entweder einfach beim reinkommen kopieren könnte und somit eine unverschlüsselte Version hätte, oder aber er lässt das System die Mails zusätzlich auch noch mit seinem Publickey verschlüsseln..
Beides setzt voraus, dass er längere Zeit Zugriff auf das System hätte und er könnte auch nur Mails ab dem Datum der Manipulation mitlesen, aber dennoch schwächt es das System nicht unerheblich.
Ich glaube gegen einen zu Neugierigen Mitarbeiter hilft ausser Security by Obscurity nichts.. und selbst das nur sehr begrenzt - man muss den Leuten einfach trauen (nicht umsonst ist das Ausspähen ein Kündigungsgrund + strafbar).
Zudem muss man sich ja immer klar machen, dass die Mails zuvor sowieso oft unverschlüsselt durch Netz geblasen wurden (Exchange kann z.B. erst ab 2007 Mails per TLS abliefern..)
Absolute Sicherheit ist an Orten an denen Menschen arbeiten/manipulieren können einfach unmöglich und von daher würde ich es eher als Mehraufwand statt als Sicherheitsgewinn sehen :/
Hah! Mich und meinen Mitarbeiter schließe ich an dieser Stelle mal als "gefährlichen Faktor" aus... Ich dachte das hätte ich oben schon getan
Japp - hast du
War auch eher allgemein bezogen.
Dennoch würde ich den Sicherheitsgewinn eher als gering einstufen... ist eher ein Gimmick als alles Andere
War auch eher allgemein bezogen.
Dennoch würde ich den Sicherheitsgewinn eher als gering einstufen... ist eher ein Gimmick als alles Andere
das ist natürlich schön, solche Kunden zu haben.
.. und das als optionales Feature anzubieten finde ich gut. Dann hat man zumindest schonmal eine Lösung für die "Willigen".
Noch schöner wäre eine transparente Lösung - ich glaub ich werde mich damit mal näher beschäftigen Irgendwie interessiert mich das jetzt doch sehr.
.. und das als optionales Feature anzubieten finde ich gut. Dann hat man zumindest schonmal eine Lösung für die "Willigen".
Noch schöner wäre eine transparente Lösung - ich glaub ich werde mich damit mal näher beschäftigen
Irgendwie interessiert mich das jetzt doch sehr.
@steph:
Eine "transparente" Lösung wäre, die Entschlüssung auf der Serverseite in Verbindung mit Benutzernamen/Passwort zu bewerkstelligen. Der Client muss sich ja zuvor mit Benutzernamen und Passwort authentifizieren, um die Emails abholen zu können. Mit diesen Daten kann man ja dann den "Key zum Entschlüsseln" entschlüsseln
Eine "transparente" Lösung wäre, die Entschlüssung auf der Serverseite in Verbindung mit Benutzernamen/Passwort zu bewerkstelligen. Der Client muss sich ja zuvor mit Benutzernamen und Passwort authentifizieren, um die Emails abholen zu können. Mit diesen Daten kann man ja dann den "Key zum Entschlüsseln" entschlüsseln
Was wiederum recht sinnlos ist, wenn das System kompromittiert ist... Solche Daten lassen sich dann bestimmt gut sniffen
Aber okay... Treiben wir diese Diskussion besser nicht ad absurdum
Aber okay... Treiben wir diese Diskussion besser nicht ad absurdum
Wenn du mit System den Email-Server meinst, dann ist es schon von vornherein sinnlos, die Emails beim Antreffen zu verschlüsseln, falls das System kompromittiert ist.
Da haben Du und Sebastian natürlich recht...
Allerdings betrifft das nur neu ankommende Mails - die die bereits da sind, sind nicht betroffen, was bei verschlüsselung mittels IMAP-Passwort nicht so wäre
Allerdings betrifft das nur neu ankommende Mails - die die bereits da sind, sind nicht betroffen, was bei verschlüsselung mittels IMAP-Passwort nicht so wäre
steph hat es schon angedeutet: Das Filesystem, auf dem der Mail-Server die E-Mails abspeichert, sollte verschlüsselt sein. Das wäre schon einmal ein wichtiger Schritt, falls die Kiste mal mitgenommen werden sollte
Mir sind E-Mails einfach zu persönlich (auch wenn sie geschäftlich sind), als dass ich sie "irgendwo im Internet" hinterlegen möchte, obwohl IMAP schon so seine Vorteile hätte ... Deswegen sollten Mails auf Servern auch mehrfach gesichert werden!
Mir sind E-Mails einfach zu persönlich (auch wenn sie geschäftlich sind), als dass ich sie "irgendwo im Internet" hinterlegen möchte, obwohl IMAP schon so seine Vorteile hätte ... Deswegen sollten Mails auf Servern auch mehrfach gesichert werden!
Mich würde mal interessieren, wie das umgesetzt ist, da mich so ein System für mich privat auch reizen würde.
Umgesetzt ist das ja noch gar nicht
Aber das einfachste wird es wohl sein, die mail via procmail durch gpg bzw. einen entsprechenden Skript zu jagen.
Du musst die E-Mail mit GPG verschlüsseln, d.h. die entsprechenden pubkeys vorhalten und gpg auf der Maschine haben, und dann noch den Header ein wenig umschreiben - eigentlich nur den Content-Type AFAIK - damit die Mail als GPG-Verschlüsselt erkannt wird.
Aber das einfachste wird es wohl sein, die mail via procmail durch gpg bzw. einen entsprechenden Skript zu jagen.
Du musst die E-Mail mit GPG verschlüsseln, d.h. die entsprechenden pubkeys vorhalten und gpg auf der Maschine haben, und dann noch den Header ein wenig umschreiben - eigentlich nur den Content-Type AFAIK - damit die Mail als GPG-Verschlüsselt erkannt wird.
Suche
Read this blog!
Kategorien
Blog abonnieren
Buttons
Kommentare
Fr, 20.10.2017 13:09
Das heißt dann ja eindeutig, d
ass sie Dein Passwort in Klart
ext speichern.
Ist schon zu
lange her, dass ich mich mit
PPP(oE), CHAP und PAP auseinan
derg [...]
Fr, 20.10.2017 13:05
Ich hatte (Wochen) bevor ich m
einen DSL-Anschlussbrief von 1
&1 bekommen habe im Kundeninte
rface das DSL-Passwort geänder
t.
Im Anschlussbrief war st
and [...]
Mi, 28.06.2017 11:29
Diese Information ist für Inte
ressierte bereits in der Übers
chrift enthalten.
Ich glaub
e nicht, dass es mir obliegt d
en Marktbegleiter durch expliz
ite [...]
Mi, 12.04.2017 00:09
Klarer Fall von "Bootloader ve
rgessen". Oder, fast noch schl
immer: Bootloader so verkorkst
, dass das Update nicht funkti
oniert.
Aber das Ding ist o
hneh [...]