Workshop: E-Mail-Transport in Postfix und Dovecot richtig absichern

Geschützt vor fremden Blicken

Mit NSA und Snowden hat sich endlich die Überzeugung durchgesetzt, Kommunikation zu verschlüsseln. Die einfachste und kostengünstigste Methode ist, den Transport zwischen Client und Server mit Transport Layer Security (SSL/TLS) abzusichern. Dieser Artikel zeigt, welche Überlegungen einem sicheren Dienst vorausgehen sollten und welche Stolperfallen im Alltag warten.
Allen Unkenrufen zum Trotz ist die E-Mail nach wie vor das Kommunikationsmedium Nummer eins im Unternehmen. Deshalb geben wir in der Februar-Ausgabe eine ... (mehr)

Eine E-Mail wird in der Regel über mehrere Server (Hops) hinweg vom Client zum Zielserver transportiert. Während des Transports wird sie dabei von einem MTA zum nächsten über eine Netzwerkverbindung weitergereicht. Die hier besprochene Methode TLS (Transport Layer Security) schützt den Datenaustausch zwischen einzelnen MTAs, wenn sie sich auf einen verschlüsselten Transportmechanismus einigen können. TLS verhindert effektiv, dass der Inhalt einer Nachricht beim Übergang von einem MTA zum nächsten MTA mitgelesen werden kann.

So gut TLS sich für diese Aufgabe eignet, so wenig schützt es die Nachricht, sobald sie im RAM des empfangenden Mailservers ankommt, bevor sie nach Filterung (Spam, Viren und so weiter) auf die Festplatte des Mailsystems geschrieben wird. Transport Layer Security schützt, wie ihr Name schon sagt, eben nur die Transportschicht, nicht aber den Inhalt selbst.

Sie wird deshalb gerne als unzureichend geschmäht. TLS-Kritiker verweisen stattdessen auf Methoden zur Ende-zu-Ende Verschlüsselung wie PGP oder S/MIME. Nur sie könnten richtige Sicherheit bieten. Obwohl der Autor selber PGP-Benutzer ist, mag er sich dieser Meinung nicht anschließen. Sie malt die Welt der Sicherheit in schwarzweiß und ignoriert die vielen Grautöne dazwischen.

Vom Schutzbedarf zur TLS-Policy

Das tägliche Verschicken eines Systemstatus-Reports stellt andere Anforderungen an die Sicherheit als der Austausch personenbezogener Daten zwischen Personalabteilung und Betriebsrat. Gleiches gilt für die Kommunikation zwischen Vorstand und Aufsichtsrat oder die Zustellung schützenswerter Arbeitsergebnisse durch einen Lieferanten an seinen Auftraggeber. Jede dieser Kommunikationsbeziehungen hat einen anderen Schutzbedarf. Ist er benannt, folgt die Auswahl angemessener Maßnahmen. Eine Baseline-Policy bestimmt das Mindestmaß an Sicherheit, das in allen Fällen gewährleistet sein muss.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite