#!/bin/blog

February 18, 2008

Perlen vor die Säue

Filed under: Security — Tags: , — martin @ 6:47 am

Neulich, im Rahmen der Dovecot-Bastelaktion, hatte ich übrigens mal in den Logs geschaut, wie groß der Anteil meiner User ist, die SMTP und POP3 mit SSL benutzen.

Er beträgt genau: Null.

In Sachen Sicherheit liegt die Arbeit wirklich auf der Straße. Dumm, daß es sich dabei nicht um so einfachen Pillepallekram wie z.B. das Erfinden unknackbarer Verschlüsselungsalgorithmen handelt, sondern um die wirklich harte Überzeugungsarbeit an der Basis, mit der man die Leute dazu bringen müßte, auch mal wirklich das Kreuzchen bei “SSL benutzen” zu setzen und nachzufragen, wenn es dabei zu Unstimmigkeiten kommt.

Wenn ich mir dann auch noch anschaue, wie viele selbstsignierte und seit Jahren abgelaufene Zertifikate selbst auf Mailexchangern im Unternehmensbereich unterwegs sind, wird mir Angst und Bange. Und mit den Gammelzertifikaten sind noch die “guten” Installationen. Bei denen ist nämlich die Infrastruktur schon da und sie müßten nur mal für eine Handvoll Euro ein ordentliches Zertifikat verpaßt bekommen.

E-Mail-Sicherheit ist meiner Auffassung nach das ganz große Stiefkind in den Firmen. Anders als beim Webbrowser, wo das kleine Vorhängeschloß angezeigt wird, sieht nämlich niemand, wenn die Sicherheit der E-Mails auf die leichte Schulter genommen wird. Und so werden dann die per teurem SSL-Zertifikat vom Webserver empfangenen persönlichen- und Kreditkartendaten munter im Klartext per Mail versendet und unverschlüsselt mit Plaintext-Kennwort per POP3 abgeholt. Ist bisher ja immer gutgegangen.

Advertisements

2 Comments »

  1. Ich frage mich, warum Klartext-POP dann überhaupt angeboten wird? Die letzten paar Mailaccounts, die ich bekommen habe (sowohl universitär als auch von Unternehmen) haben schlicht nichts mehr angeboten, das nicht über TLS lief.

    Dann besteht beim Einrichten des Mailprogramms nämlich einfach keine Wahl, ob man das Häkchen anmacht oder nicht. Mangelnde Kompatibilität ist auch keine Ausrede mehr: Mir ist kein ernstzunehmender MUA bekannt, der nicht mit Verschlüsselung umgehen kann.

    Comment by Fred — February 18, 2008 @ 12:34 pm

  2. Hab in meiner kleinen Rootie-Kommune auch nichts anderes angeboten als TSL/SSL für Mailprotokolle. Hat sich auch niemand beschwert. Aber wenn man sich erstmal “ohne” irgendwo anmelden kann, ist bei der Umstellung das Gejammer groß 😦

    Comment by melle — February 23, 2008 @ 8:53 am


RSS feed for comments on this post. TrackBack URI

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Create a free website or blog at WordPress.com.

%d bloggers like this: