Hallo Liste, kennt jemand eine Alternative zum Abholen von Emails über POP3. Hintergrund ist der, daß ich einen Email-Server aufbauen möchte, bei dem die Sicherheit hoch steht. Fetchmail kann aber meines Wissens nur Paßwörter im Klartext behandeln, ein System, welches aber die Paßwörter verschlüsselt ablegt, wäre mir bedeutend lieber. Kennt jemand ein passendes Programm oder hat sowas schon mal realisiert ? Schon mal vielen Dank im voraus Joachim
Hallo "Joachim,
* "Joachim Karnbach-Mink"
Fetchmail kann aber meines Wissens nur Paßwörter im Klartext behandeln, ein System, welches aber die Paßwörter verschlüsselt ablegt, wäre mir bedeutend lieber.
Wenn Du fetchmail mit ssl kompilierst, kann es auch das. ./configure --with-ssl=/usr/local/include/openssl Ebenso ist apop mit dabei: poll pop.gmx.net proto apop user "0000" pass 0000 is andreas here Gruss, Andreas -- Und am achten Tage gab er dem Menschen das Scorefile
Am Donnerstag, 26. Dezember 2002 18:06 schrieb Andreas Kneib:
Hallo "Joachim,
* "Joachim Karnbach-Mink"
: Fetchmail kann aber meines Wissens nur Paßwörter im Klartext behandeln, ein System, welches aber die Paßwörter verschlüsselt ablegt, wäre mir bedeutend lieber.
Wenn Du fetchmail mit ssl kompilierst, kann es auch das.
./configure --with-ssl=/usr/local/include/openssl
Ebenso ist apop mit dabei:
poll pop.gmx.net proto apop user "0000" pass 0000 is andreas here
^^^^^^^^^^^ Genau das möchte ich eben nicht. Mir wäre es lieber, daß Passwort wäre z.B. in einer Datenbank gespeichert. War vielleicht ein wenig unglücklich ausgedrückt von mir Sorry, aber trotzdem vielen Dank Joachim
Am Donnerstag, 26. Dezember 2002 18:09 schrieb Joachim Karnbach-Mink:
Am Donnerstag, 26. Dezember 2002 18:06 schrieb Andreas Kneib:
Hallo "Joachim,
* "Joachim Karnbach-Mink"
: Fetchmail kann aber meines Wissens nur Paßwörter im Klartext behandeln, ein System, welches aber die Paßwörter verschlüsselt ablegt, wäre mir bedeutend lieber.
Wenn Du fetchmail mit ssl kompilierst, kann es auch das.
./configure --with-ssl=/usr/local/include/openssl
Ebenso ist apop mit dabei:
poll pop.gmx.net proto apop user "0000" pass 0000 is andreas here
^^^^^^^^^^^ Genau das möchte ich eben nicht. Mir wäre es lieber, daß Passwort wäre z.B. in einer Datenbank gespeichert. War vielleicht ein wenig unglücklich ausgedrückt von mir
Ich verstehe den Sinn nicht ganz. Mit APOP wird das Passwort verschlüsselt übertragen. Lokal liegt das Passwort nur in der .fetchmailrc, und die _muss_ die Dateirechte zwingend auf 0600 haben, sonst funxt es nicht. Wer also nicht als root auf den Rechner kommt, kann das Passwort ohnehin nicht lesen (bzw. bei benutzerspezifischen .fetchmailrc als der betreffende User). Und wer als root auf den Rechner kommt, wird zumindest das Passwort ändern können ;-) Andernfalls könnte man noch ein kleines Prog schreiben, was vor jeden Aufruf von fetchmail die .fetchmailrc aus den entsprechenden Einträgen einer Datenbank temporär generiert. Ich sehe darin nur keinen rechten Sinn. -- Gruß MaxX
Hallo Joachim,
* "Joachim Karnbach-Mink"
Genau das möchte ich eben nicht. Mir wäre es lieber, daß Passwort wäre z.B. in einer Datenbank gespeichert. War vielleicht ein wenig unglücklich ausgedrückt von mir
Nee, _ich_ hatte Dich missverstanden, weil mir die Passwörter in einer fetchmailrc mit korrekten Zugriffsbits sehr sicher erscheinen. Wenn Du die Sache unbedingt verschlüsseln willst, probier doch mal diesen Würgaround: #!/bin/sh gpg --output .fetchmailrc --decrypt .fetchmailrc.gpg chmod 600 .fetchmailrc /usr/bin/fetchmail -av rm .fetchmailrc Vorher natürlich die .fetchmailrc verschlüsseln... gpg -r EMPFÄNGER -e .fetchmailrc ...und wegschmeissen: rm .fetchmailrc Ich hab' das obige Script allerdings nicht getestet, ist nur ein Schnellschuss aus der Hüfte. ;) Gruss, Andreas -- Last Exit autoexec.bac => echo y | format c:
Am Freitag, 27. Dezember 2002 17:39 schrieb Andreas Kneib:
Hallo Joachim,
* "Joachim Karnbach-Mink"
: Genau das möchte ich eben nicht. Mir wäre es lieber, daß Passwort wäre z.B. in einer Datenbank gespeichert. War vielleicht ein wenig unglücklich ausgedrückt von mir
Nee, _ich_ hatte Dich missverstanden, weil mir die Passwörter in einer fetchmailrc mit korrekten Zugriffsbits sehr sicher erscheinen.
Genau das sehe ich als nicht sicher an, da Root ja die Passwörter lesen und ändern kann. Selbst bei dem nicht gerade beliebtem BS aus Redmond kann das der Administrator nicht !!! Insbesondere weil ja viele User doch meistens die gleichen Passwörter für verschiedene Accounts verwenden (leider). Ich persönlich halte ein Passwort im Klartext immer für sicherheitskritsch, auch mit korrekt gesetzten Bits. Sollte z.B. ein System gehackt worden sein, ist ein verschlüsseltes Passwort doch etwas sicherer als eines im Klartext. Ich fände halt eine Möglichkeit wie z.B. in /etc/passwd bedeutend sicherer.Wie gesagt, meine Meinung.
Wenn Du die Sache unbedingt verschlüsseln willst, probier doch mal diesen Würgaround:
#!/bin/sh gpg --output .fetchmailrc --decrypt .fetchmailrc.gpg chmod 600 .fetchmailrc /usr/bin/fetchmail -av rm .fetchmailrc
Vorher natürlich die .fetchmailrc verschlüsseln...
gpg -r EMPFÄNGER -e .fetchmailrc
...und wegschmeissen:
rm .fetchmailrc
Ich hab' das obige Script allerdings nicht getestet, ist nur ein Schnellschuss aus der Hüfte. ;)
Gruss, Andreas
Interessante Idee, werde ich mal austüfteln. Vielen Dank für Deine Antwort. Joachim
Am Freitag, 27. Dezember 2002 17:50 schrieb Joachim Karnbach-Mink:
Am Freitag, 27. Dezember 2002 17:39 schrieb Andreas Kneib:
Hallo Joachim,
* "Joachim Karnbach-Mink"
: Genau das möchte ich eben nicht. Mir wäre es lieber, daß Passwort wäre z.B. in einer Datenbank gespeichert. War vielleicht ein wenig unglücklich ausgedrückt von mir
Nee, _ich_ hatte Dich missverstanden, weil mir die Passwörter in einer fetchmailrc mit korrekten Zugriffsbits sehr sicher erscheinen.
Genau das sehe ich als nicht sicher an, da Root ja die Passwörter lesen und ändern kann.
root ist nun mal der "Allmächtige in einem **ix. Deshalb sollte man z.B. einen oder mehrere Administratoren anlegen, die auch in der Gruppe root sind, aber eben halt nicht alles dürfen. Dann muss man schon aufpassen, dass man das root-Passwort nicht vergisst - so selten braucht man das noch ;-) Übrigens - wie gibt root denn die Passwörter ein? Im Delirium? Oder gib jedem User seine eigene .fetchmailrc in sein Home-Verzeichnis (auch mit den Rechten 0600). Dann noch ein kleines Skript, dass fetchmail nacheinander als entsprechender User startet - und fertig.
Selbst bei dem nicht gerade beliebtem BS aus Redmond kann das der Administrator nicht !!!
Braucht er auch nicht lesen, er kann es einfach löschen *g*. Außerdem gibt es zig Tools, die die Windows-Passwörter entschlüsseln. Liegen fast jeden Monat irgend welchen Computer-Zeitschriften bei.
Insbesondere weil ja viele User doch meistens die gleichen Passwörter für verschiedene Accounts verwenden (leider).
Eine Frage der Erziehung. Außerdem braucht der User das Fetchmail-Passwort gar nicht zu kennen. Der holt es ja dann vom lokalen Mailserver ab oder kriegt es sogar automatisch in seine eigene Mailbox verteilt (welch ein Service ;-). Da muss er sich nur noch am System anmelden.
Ich persönlich halte ein Passwort im Klartext immer für sicherheitskritsch, auch mit korrekt gesetzten Bits. Sollte z.B. ein System gehackt worden sein, [...]
... ist alles andere sowieso egal *g* -- Gruß MaxX
* Matthias Houdek
Deshalb sollte man z.B. einen oder mehrere Administratoren anlegen, die auch in der Gruppe root sind, aber eben halt nicht alles dürfen.
wozu soll das gut sein? -- Gruß - Ulli Microsoft isn't the answer. Microsoft is the question, and the answer is no. -- Grant Edwards
Am Samstag, 28. Dezember 2002 09:57 schrieb Ulli Kuhnle:
* Matthias Houdek
[27.12.02 20:22] Hi Matthias,
Deshalb sollte man z.B. einen oder mehrere Administratoren anlegen, die auch in der Gruppe root sind, aber eben halt nicht alles dürfen.
wozu soll das gut sein?
Ganz einfach: Es gibt viele Administratoraufgaben, die man auch als Gruppenmitglied von root machen darf (kann man ja auch beeinflussen). Dazu muss man nicht root selbst sein. Mach auf einem Privat-PC vielleicht wenig Sinn, aber in einer Firma muss nicht jeder, der manchmal einige Dinge zu konfigurieren hat, auch gleich das root-Passwort kennen, oder? -- Gruß MaxX
Hallo Joachim,
* "Joachim Karnbach-Mink"
Genau das sehe ich als nicht sicher an, da Root ja die Passwörter lesen und ändern kann. Selbst bei dem nicht gerade beliebtem BS aus Redmond kann das der Administrator nicht !!!
Naja, frag' mal in de.comm.software.mailreader.misc oder einer der diversen Outlook-Gruppen nach, welche Tools man dir empfehlen kann, um Passwörter, die Dir entfallen sind, zu knacken.
Sollte z.B. ein System gehackt worden sein, ist ein verschlüsseltes Passwort doch etwas sicherer als eines im Klartext.
Ist es. Allerdings macht _das_ den Kohl dann auch nicht mehr fett. ;) Gruss, Andreas -- In der Freiheit ist zwar das Verderben gross, das voellige Verderben moeglich. Ohne Freiheit aber ist das Verderben gewiss. [Karl Jaspers]
participants (4)
-
Andreas Kneib
-
Joachim Karnbach-Mink
-
Matthias Houdek
-
Ulli Kuhnle