Fragen zu TLS/SSL / Courier-IMAP / exim
Hallo an alle, ich habe ein paar kleine Fragen an Euch: - Wo ist der Unterschied zwischen SSL und TLS? - sicherlich sollte man jede Verbindung (übers Internet) zu einem IMAP oder SMTP (exim)-Server nach Möglichkeit verschlüsseln (dafür ist dann wahrscheinlich TLS zuständig?) Gibt es irgendwo im Netz gute HowTo's für Courier-IMAP mit TLS (aktuelle Version) und für SMTP-Verbindungen mit TLS zu einem exim-MTA? - ich habe bemerkt, dass web.de schon ausgehende SMTP-Verbindungen zu anderen Mailservern über TLS-Verbindungen laufen lässt, solange der empfangende MTA TLS zulässt, kann das sein? Wieso sollten sich MTA's untereinander über TLS 'unterhalten'? Macht so etwas Sinn? Das war's auch schon, ich hoffe auf viele Anregungen, Tips und Fundorte zu möglichen HowTo's... ;-) Michael
Michael Ludwig
Hallo an alle,
ich habe ein paar kleine Fragen an Euch:
- Wo ist der Unterschied zwischen SSL und TLS?
Erst einmal gibt es Definitionsumterschiede SSL = Secure Socket Layer TLS = Transport Layer Security Streng genommen ist SSL nur eine IETF Draft (draft-freier-ssl-version3.xxx) von Netscape Mitarbeitern gewesen, die sich u.a. auch auf proprietäre Dokumente bezogen. Die Gültigkeit dieses Papiers ist seit Jahren abgelaufen. Die selben Leute, erweitert um zwei weitere Personen, haben dann den Text der Draft modifiziert, dieser Text ist dann als RFC 2246 (The TLS Protocol Version 1.0) im Standards Track veröffentlicht worden. Es gibt wenige, aber signifikante Unterschiede zwischen SSL und TLS. Letzlich basiert das aber alles auf X.509 der ehemaligen ITU, Vereinfacht formuliert, SSL gibt es nicht, es gibt nur TLS.
- sicherlich sollte man jede Verbindung (übers Internet) zu einem IMAP oder SMTP (exim)-Server nach Möglichkeit verschlüsseln (dafür ist dann wahrscheinlich TLS zuständig?)
Nach Radio Eriwan, im Prinzip ja, aber TLS impliziert eine Integritätsprüfung, d.h. der Client prüft anhand einer vorliegenden Certificate Authority das Serverzertifikat, erst dann wird ein Verschlüsselungsalgorithmus vereinbart. Häuif wird aber nach der Methode 'Friss oder Stirb' das Serverzertifikat ohne CA vorgelegt und der Client muss dieses akzeptieren, eine Integritätsprüfung kann dann nicht durchgeführt werden, wohl aber wird eine Verschlüsselung vereinbart.
Gibt es irgendwo im Netz gute HowTo's für Courier-IMAP mit TLS (aktuelle Version) und für SMTP-Verbindungen mit TLS zu einem exim-MTA?
Keine Ahnung
- ich habe bemerkt, dass web.de schon ausgehende SMTP-Verbindungen zu anderen Mailservern über TLS-Verbindungen laufen lässt, solange der empfangende MTA TLS zulässt, kann das sein?
Das kann schon sein, die STARTTLS Funktion ist heute in fast allen SMTPD's aktiviert.
Wieso sollten sich MTA's untereinander über TLS 'unterhalten'? Macht so etwas Sinn?
Ja, wenn es richtig implementiert wird, was häufig nicht der Fall ist.
Das war's auch schon, ich hoffe auf viele Anregungen, Tips und Fundorte zu möglichen HowTo's... ;-)
Lies RFC 2246, ich glaube kaum, dass dann noch Fragen übrigbleiben. :-) -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8EF7B6C6
N'abend Dieter, Dieter Kluenter schrieb:
Lies RFC 2246, ich glaube kaum, dass dann noch Fragen übrigbleiben. :-)
danke erstmal für Deine schnelle Antwort, habe gerade die RFC ein paar Minuten lang überflogen, das war schon recht hilfreich. Es soll ja schliesslich auch schon mal vorgekommen sein, dass in RFCs auch wichtige Infos drin stehen... ;-) Habe natürlich auch schon den ganzen Tag über - mal hier, mal da - gegoogelt - aber es es scheint wirklich kein vernünftiges HowTo zu diesem Thema zu geben, weder zu courier/tls in der aktuellen Version, noch zu exim/tls (nein, ich meine hier nicht das Debian-Paket exim-tls!). Schade. Werde mich dann halt selber einarbeiten müssen... ;-) Hat ja auch alles sein gutes... ;-) Falls doch noch jemand ein HowTo kennen sollte, wäre ich über eine Info immer recht dankbar. ;-) Michael
Hi Michael,
Michael Ludwig
N'abend Dieter,
Dieter Kluenter schrieb:
Lies RFC 2246, ich glaube kaum, dass dann noch Fragen übrigbleiben. :-)
danke erstmal für Deine schnelle Antwort, habe gerade die RFC ein paar Minuten lang überflogen, das war schon recht hilfreich. Es soll ja schliesslich auch schon mal vorgekommen sein, dass in RFCs auch wichtige Infos drin stehen... ;-) Habe natürlich auch schon den ganzen Tag über - mal hier, mal da - gegoogelt - aber es es scheint wirklich kein vernünftiges HowTo zu diesem Thema zu geben, weder zu courier/tls in der aktuellen Version, noch zu exim/tls (nein, ich meine hier nicht das Debian-Paket exim-tls!). Schade. Werde mich dann halt selber einarbeiten müssen... ;-) Hat ja auch alles sein gutes... ;-)
Falls doch noch jemand ein HowTo kennen sollte, wäre ich über eine Info immer recht dankbar. ;-)
Das kann doch nicht so schwierig sein, ohne die beiden Anwendungen nun genau zu kennen, sind doch die Prinzipien gleich. 1. mit openssl CA und X.509 Zertifikate für Clients erstellen und mit CA signieren 2. CA in deinem Netz auf jedem Host bekannt machen 3. in den Konfigurationsdateien der Anwendungen Pfade auf TLSCA und TLSCERT setzen, gegebenenfalls noch TLSKEY Die Anwendungen haben doch sicherlich Manual Pages, die diese Konfigurationsparameter beschreiben. Wenn du nicht weisst, wie Zertifikate erstellt werden, nimm die CA.pl Tools von openssl oder Frage noch mal, das ist ziemlich simpel. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8EF7B6C6
Hallo, Am Thu, 25 Aug 2005, Dieter Kluenter schrieb:
Lies RFC 2246, ich glaube kaum, dass dann noch Fragen übrigbleiben. :-)
RfC 1149 gefaellt mir besser ;) -dn'scnr'h -- Mit wine läuft ständig irgendwas jetzt endlich, während irgendwas anderes nicht mehr läuft. In dieser Hinsicht emuliert es Windows perfekt... :-) -- ratti
David Haller
Hallo,
Am Thu, 25 Aug 2005, Dieter Kluenter schrieb:
Lies RFC 2246, ich glaube kaum, dass dann noch Fragen übrigbleiben. :-)
RfC 1149 gefaellt mir besser ;)
Dann schreib doch mal ein HowTo, insbesondere zu den Fragen der 'significant interference in early spring'. :-) -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8EF7B6C6
participants (3)
-
David Haller -
Dieter Kluenter -
Michael Ludwig