On Tue, June 29, 2010 12:25 am, Al Bogner wrote:

In der Konfiguration von Claws-Mail gibt es für SSL (SMTP) 2 Varianten.

SSL für SMTP-Verbindung verwenden Mittles STARTTLS-Befehl eine SSL-Sitzung einleiten

Was ist der Unterschied?

Bei ersterem handelt es sich um eine dedizierte verschlüsselte Verbin- dung, die über Port 465 aufgebaut wird. Dies wird auch als SMTPS be- zeichnet. Im zweiten Fall baut der Client eine normale unverschlüsselte Verbindung über Port 25 auf und - wenn der Server es unterstützt - kann die komplet- te Session verschlüsselt fortgesetzt werden. Dies geschieht durch den Be- fehl STARTTLS. Anschließend verhandeln Server und Client die Parameter für die Verschlüsselung (Cipher, Hash, etc.)

Ist eine Methode sicherer als die andere?

Hm, so pauschal läßt sich das nicht sagen. Vorteil bei STARTTLS ist, dass kein extra Port benötigt wird und die Anwendung bei Bedarf auf Verschlüs- selung umschalten kann. Somit muß nicht erst ein Timeout abgewartet wer- den, bis die Anwendung merkt, dass der Server keine Transportverschlüs- selung unterstützt, um dann hinterher es auf Port 25 noch einmal zu ver- suchen. Das ist aber auch der größte Nachteil von STARTTLS. Ein Angreifer könnte die Verbindung abhören und das Schlüsselwort STARTTLS aus der Meldung des Servers entfernen. Dann werden beide Seiten die Verbindung unverschlüs- selt fortsetzen, weil der Client davon ausgeht, dass der Server kein TLS unterstüzt. Eine Warnmeldung gibt es in diesem Fall IIRC nicht. Desweiteren kommt es natürlich mehr auf die spezifischen Umstände an (verwendetes Protokoll, verwendeten Cipher, etc). regards, Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Al Bogner writes:

In der Konfiguration von Claws-Mail gibt es für SSL (SMTP) 2 Varianten.

SSL für SMTP-Verbindung verwenden Mittles STARTTLS-Befehl eine SSL-Sitzung einleiten

Was ist der Unterschied? Ist eine Methode sicherer als die andere?

Jetzt mal ganz prinzipiell, wohl wissend, dass ich einen Entrüstungssturm lostrete, SSL gibt es nicht! Das stimmt nicht ganz, SSL ist ein Patent von Netscape. Zur Nutzung von SSL musste eine Lizenz von Netscape gekauft werden. Secure Socket Layer (SSL) wurde ursprünglich mal als Draft der IETF veröffentlicht, hat es aber aufgrund des Patentanspruches nicht zur RFC gebracht. Das Kind wird heute Transport Layer Security (TLS) genannt. Nun zu deiner Frage. TLS (RFC-2246) beschreibt zwei Methoden zur Kommunikation zwischen Server und Client. - Eine serverseitig initiierte Verschlüsselung, - eine clientseitig initiierte Verschlüsselung Die serverseitig initiierte Verschlüsselung (heute noch fälschlicherweise SSL genannt) wird über einen definierten Port angeboten, z.B. https oder ldaps, der Server bietet auf diesem Port sein Hostzertifikat direkt und ohne zusätzliche Aufforderung an, der Client kann dann mittels der CA die Integrität des Servers prüfen. Verbindungsaufnahme und Datentransport werden verschlüsselt. Die clientseitige Verschlüsselung erfolgt über den Standardport, z.B. http, ldap, der Client übermittelt die startTLS Funktion noch unverschlüsselt, der Server antwortet mit der Übermittlung seines Zertifikats, das dann vom Client mittels CA verifiziert werden kann, erst dann wird eine verschlüsselte Verbindung hergestellt. Mit anderen Worten, die Herstellung der Verbindung ist unverschlüsselt, der Datentransport wird verschlüsselt. -Dieter -- Dieter Klünter | Systemberatung sip: +49.40.20932173 http://www.dpunkt.de/buecher/2104.html GPG Key ID:8EF7B6C6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org