Verschlüsselt (SSL) mit Claws-Mail versenden - welche von 2 Varianten
In der Konfiguration von Claws-Mail gibt es für SSL (SMTP) 2 Varianten. SSL für SMTP-Verbindung verwenden Mittles STARTTLS-Befehl eine SSL-Sitzung einleiten Was ist der Unterschied? Ist eine Methode sicherer als die andere? Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Tue, Jun 29, 2010 at 12:25:10AM +0200, Al Bogner wrote:
In der Konfiguration von Claws-Mail gibt es für SSL (SMTP) 2 Varianten.
SSL für SMTP-Verbindung verwenden Mittles STARTTLS-Befehl eine SSL-Sitzung einleiten
Was ist der Unterschied?
STARTTLS startet mit plaintext, bis halt "STARTTLS" als Kommando geschickt wird, danach ist es gleich.
Ist eine Methode sicherer als die andere?
Beide gleich. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Tue, June 29, 2010 12:25 am, Al Bogner wrote:
In der Konfiguration von Claws-Mail gibt es für SSL (SMTP) 2 Varianten.
SSL für SMTP-Verbindung verwenden Mittles STARTTLS-Befehl eine SSL-Sitzung einleiten
Was ist der Unterschied?
Bei ersterem handelt es sich um eine dedizierte verschlüsselte Verbin- dung, die über Port 465 aufgebaut wird. Dies wird auch als SMTPS be- zeichnet. Im zweiten Fall baut der Client eine normale unverschlüsselte Verbindung über Port 25 auf und - wenn der Server es unterstützt - kann die komplet- te Session verschlüsselt fortgesetzt werden. Dies geschieht durch den Be- fehl STARTTLS. Anschließend verhandeln Server und Client die Parameter für die Verschlüsselung (Cipher, Hash, etc.)
Ist eine Methode sicherer als die andere?
Hm, so pauschal läßt sich das nicht sagen. Vorteil bei STARTTLS ist, dass kein extra Port benötigt wird und die Anwendung bei Bedarf auf Verschlüs- selung umschalten kann. Somit muß nicht erst ein Timeout abgewartet wer- den, bis die Anwendung merkt, dass der Server keine Transportverschlüs- selung unterstützt, um dann hinterher es auf Port 25 noch einmal zu ver- suchen. Das ist aber auch der größte Nachteil von STARTTLS. Ein Angreifer könnte die Verbindung abhören und das Schlüsselwort STARTTLS aus der Meldung des Servers entfernen. Dann werden beide Seiten die Verbindung unverschlüs- selt fortsetzen, weil der Client davon ausgeht, dass der Server kein TLS unterstüzt. Eine Warnmeldung gibt es in diesem Fall IIRC nicht. Desweiteren kommt es natürlich mehr auf die spezifischen Umstände an (verwendetes Protokoll, verwendeten Cipher, etc). regards, Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
"Christian Brabandt"
On Tue, June 29, 2010 12:25 am, Al Bogner wrote:
In der Konfiguration von Claws-Mail gibt es für SSL (SMTP) 2 Varianten.
SSL für SMTP-Verbindung verwenden Mittles STARTTLS-Befehl eine SSL-Sitzung einleiten
Was ist der Unterschied?
Bei ersterem handelt es sich um eine dedizierte verschlüsselte Verbin- dung, die über Port 465 aufgebaut wird. Dies wird auch als SMTPS be- zeichnet.
smtps gibt es laut IANA nicht, der Port 465 gehört zu urd, also Rendesvous, wenn du also diesen Port für smtp(s) verwenden möchtest, betreibst du Portnapping :-) -Dieter -- Dieter Klünter | Systemberatung sip: +49.40.20932173 http://www.dpunkt.de/buecher/2104.html GPG Key ID:8EF7B6C6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Tue, June 29, 2010 1:05 pm, Dieter Kluenter wrote:
"Christian Brabandt"
writes: On Tue, June 29, 2010 12:25 am, Al Bogner wrote:
SSL für SMTP-Verbindung verwenden Mittles STARTTLS-Befehl eine SSL-Sitzung einleiten
Bei ersterem handelt es sich um eine dedizierte verschlüsselte Verbin- dung, die über Port 465 aufgebaut wird. Dies wird auch als SMTPS be- zeichnet.
smtps gibt es laut IANA nicht, der Port 465 gehört zu urd, also Rendesvous, wenn du also diesen Port für smtp(s) verwenden möchtest, betreibst du Portnapping :-)
Leg mir nichts in den Mund, was ich nicht geschrieben habe. Ich schrieb nichts davon, dass /ich/ Port 465 für smpts benutzen möchte, lediglich, dass er dafür oft benutzt wird. Geh Dich also bei Google oder Gmx beschweren oder bei jedem anderen Provider, der smtps auf Port 465 anbietet. Deine Infos bzgl. des Ports sind vielleicht der aktuelle Stand. Das war mal anders und daher stammt wohl die Konvention, Port 465 zu nutzen. http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt http://www.imc.org/ietf-apps-tls/mail-archive/msg00204.html http://www.irbs.net/internet/postfix/0710/0880.html regards, Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Tue, 29 Jun 2010 14:52:39 +0200 (CEST)
schrieb "Christian Brabandt"
On Tue, June 29, 2010 1:05 pm, Dieter Kluenter wrote:
"Christian Brabandt"
writes: On Tue, June 29, 2010 12:25 am, Al Bogner wrote:
SSL für SMTP-Verbindung verwenden Mittles STARTTLS-Befehl eine SSL-Sitzung einleiten
Bei ersterem handelt es sich um eine dedizierte verschlüsselte Verbin- dung, die über Port 465 aufgebaut wird. Dies wird auch als SMTPS be- zeichnet.
smtps gibt es laut IANA nicht, der Port 465 gehört zu urd, also Rendesvous, wenn du also diesen Port für smtp(s) verwenden möchtest, betreibst du Portnapping :-)
Leg mir nichts in den Mund, was ich nicht geschrieben habe. Ich schrieb nichts davon, dass /ich/ Port 465 für smpts benutzen möchte, lediglich, dass er dafür oft benutzt wird. Geh Dich also bei Google oder Gmx beschweren oder bei jedem anderen Provider, der smtps auf Port 465 anbietet.
Deine Infos bzgl. des Ports sind vielleicht der aktuelle Stand. Das war mal anders und daher stammt wohl die Konvention, Port 465 zu nutzen.
Claws-Mail stellt automatisch 465 ein, wenn man "SSL für SMTP-Verbindung verwenden" aktiviert. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Al Bogner
In der Konfiguration von Claws-Mail gibt es für SSL (SMTP) 2 Varianten.
SSL für SMTP-Verbindung verwenden Mittles STARTTLS-Befehl eine SSL-Sitzung einleiten
Was ist der Unterschied? Ist eine Methode sicherer als die andere?
Jetzt mal ganz prinzipiell, wohl wissend, dass ich einen Entrüstungssturm lostrete, SSL gibt es nicht! Das stimmt nicht ganz, SSL ist ein Patent von Netscape. Zur Nutzung von SSL musste eine Lizenz von Netscape gekauft werden. Secure Socket Layer (SSL) wurde ursprünglich mal als Draft der IETF veröffentlicht, hat es aber aufgrund des Patentanspruches nicht zur RFC gebracht. Das Kind wird heute Transport Layer Security (TLS) genannt. Nun zu deiner Frage. TLS (RFC-2246) beschreibt zwei Methoden zur Kommunikation zwischen Server und Client. - Eine serverseitig initiierte Verschlüsselung, - eine clientseitig initiierte Verschlüsselung Die serverseitig initiierte Verschlüsselung (heute noch fälschlicherweise SSL genannt) wird über einen definierten Port angeboten, z.B. https oder ldaps, der Server bietet auf diesem Port sein Hostzertifikat direkt und ohne zusätzliche Aufforderung an, der Client kann dann mittels der CA die Integrität des Servers prüfen. Verbindungsaufnahme und Datentransport werden verschlüsselt. Die clientseitige Verschlüsselung erfolgt über den Standardport, z.B. http, ldap, der Client übermittelt die startTLS Funktion noch unverschlüsselt, der Server antwortet mit der Übermittlung seines Zertifikats, das dann vom Client mittels CA verifiziert werden kann, erst dann wird eine verschlüsselte Verbindung hergestellt. Mit anderen Worten, die Herstellung der Verbindung ist unverschlüsselt, der Datentransport wird verschlüsselt. -Dieter -- Dieter Klünter | Systemberatung sip: +49.40.20932173 http://www.dpunkt.de/buecher/2104.html GPG Key ID:8EF7B6C6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Al Bogner
-
Christian Brabandt
-
Dieter Kluenter
-
Marcus Meissner