Hallo. Kennt jemand einen guten Überblick welches der beiden Verfahren man für User Anmeldung (plain password) am SMTP Server besser nutzen sollte (für die Allgemeinheit läuft weiterhin SMTP auf Port 25 mit TLS wenn möglich)? Verschlüsselung kann ich ja für beide Verfahren erzwingen. Aber welches Verfahren macht mehr Sinn, ist sicherer usw? Auch in Bezug auf die eMail Clients die sich zB einer Man-in-the-Middle Attacke gegenüber sehen (letztens einem meiner User passiert in einem öffentlichen WLAN). Danke. Martin
von der Sicherheit ist beides gleich. Gegen Man-in-the-Middle muss man die Zertifikate richtig prüfen - was kein normale Mensch macht. Selbst wenn eine Warnung kommt, wird sie einfach ignoriert.
Hallo Peter. Genau die Zertifikatsprüfung war das Problem: es kam eine Warnung aber "die gibt es ja immer wieder mal da habe ich ok geklickt". Martin
Da hat sich aber jemand mühe gegeben. Dafür muss man ja nicht nur die Daten mitlesen sondern aktiv in die Verbindung eingreifen. War er zufällig in Hotel wo eine Konferenz von CCC stattgefunden hat?
Einen Man-in-the-Middle gibts auch, wenn eine Firewall zwischen dir und dem Rest der Welt ist und die Firewall trotz SSL wissen will, was da drüber läuft. In diesem Fall hat das nicht unbedingt mit NSA/BND-Schnüffelei zu tun, sondern mit Sicherheitsverfahren der Firma. Ergebnis ist dann beispielsweise, dass https://www.bsi.de ein firmeninternes Zertifikat liefert. Bei Mail ist das natürlich ähnlich, nur interessiert sich traditionell kaum jemand für die Zertifikate im SMTP Traffic.
Hallo. Ja es war in einem Hotel - WLAN über das magenta T ;-) Der CCC war nicht in der Nähe. Martin
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.