Heute diesen Blogeintrag von google gelesen: https://security.googleblog.com/2019/04 ... h-mta.html
Sie implementieren jetzt MTA-STS, einen RFC den sie selber mitgeschrieben haben.
Wenn ich auf den Link gehe "how to set up an MTA-STS policy with your DNS server" komme ich auf diese Seite https://support.google.com/a/answer/9261504 die mir sagt wie ich DKIM einrichten soll?
Najo, hier ein wenig gelesen: https://www.msxfaq.de/signcrypt/smtp_mta_sts.htm da wird es etwas klarer...
Das klingt eigentlich alles so als wollten sie das Problem fixen aber nicht richtig (gut diese alten Protokolle sind ja eh alle irgendwo kaputt und man müsste das mal neu machen...)
Also die Frage ist jetzt: sollte man sich das auch antun und implementieren? Hat es schon jemand aktiv im Einsatz und kann was drüber berichten?
Ein Tool um es in Postfix zu integrieren gibts auch schon: https://pypi.org/project/postfix-mta-sts-resolver/
Aber für mich klingt das eher alles nach Fleckerlteppich, wenn ich da noch tausend tools haben muss.
MTA-STS - was denn das schon wieder?
Re: MTA-STS - was denn das schon wieder?
https://www.heise.de/select/ix/2018/12/1543727185822371
Da hab ich mich mal eingelesen.
So wie ich es verstanden hätte ist es ähnlich wie HTSTS bei HTTP. Konfiguriert wird es am DNS.
Im Einsatz hab ich es noch nicht, kommt aber noch bis Sommer. Sooo viele Aufgaben und sooo wenig Zeit
Da hab ich mich mal eingelesen.
So wie ich es verstanden hätte ist es ähnlich wie HTSTS bei HTTP. Konfiguriert wird es am DNS.
Im Einsatz hab ich es noch nicht, kommt aber noch bis Sommer. Sooo viele Aufgaben und sooo wenig Zeit
-
novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: MTA-STS - was denn das schon wieder?
Interessant. Hatte ich hier unter meinem Stein noch gar nichts von mitbekommen.
Für meine kleine Mailmaschine ist das wohl erst mal noch reine Zukunftsmusik, aber lässt sich ja im Auge behalten.
Die beschriebenen Angriffsszenarien auf Brot-und-Butter-TLS, so wie ich es fahre, werden ja auch weniger von Script-Kiddies ausgeführt, sondern von den amtlichen Gaunern. Da hoffe ich immer, dass der kleine novalix von denen gar nicht bemerkt wird (security by puninessity).
Im Moment taste ich mich erst mal an die mit DANE verbundenen Standards und drafts und DNSSEC heran.
In der Beziehung scheint mein Domainprovider den Anschluss verloren zu haben. Muss ich wohl wechseln.
Mehr als die Transportverschlüsselung interessiert mich derzeit die verschlüsselte Ablage. Seltsamerweise scheinen solche Projekte wie https://github.com/letoams/openpgpkey-milter oder https://github.com/sys4/smilla auf Halt gesetzt zu sein.
Für meine kleine Mailmaschine ist das wohl erst mal noch reine Zukunftsmusik, aber lässt sich ja im Auge behalten.
Die beschriebenen Angriffsszenarien auf Brot-und-Butter-TLS, so wie ich es fahre, werden ja auch weniger von Script-Kiddies ausgeführt, sondern von den amtlichen Gaunern. Da hoffe ich immer, dass der kleine novalix von denen gar nicht bemerkt wird (security by puninessity).
Im Moment taste ich mich erst mal an die mit DANE verbundenen Standards und drafts und DNSSEC heran.
In der Beziehung scheint mein Domainprovider den Anschluss verloren zu haben. Muss ich wohl wechseln.
Mehr als die Transportverschlüsselung interessiert mich derzeit die verschlüsselte Ablage. Seltsamerweise scheinen solche Projekte wie https://github.com/letoams/openpgpkey-milter oder https://github.com/sys4/smilla auf Halt gesetzt zu sein.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.