Workshop: E-Mail-Transport in Postfix und Dovecot richtig absichern

Geschützt vor fremden Blicken

Mit NSA und Snowden hat sich endlich die Überzeugung durchgesetzt, Kommunikation zu verschlüsseln. Die einfachste und kostengünstigste Methode ist, den Transport zwischen Client und Server mit Transport Layer Security (SSL/TLS) abzusichern. Dieser Artikel zeigt, welche Überlegungen einem sicheren Dienst vorausgehen sollten und welche Stolperfallen im Alltag warten.
Allen Unkenrufen zum Trotz ist die E-Mail nach wie vor das Kommunikationsmedium Nummer eins im Unternehmen. Deshalb geben wir in der Februar-Ausgabe eine ... (mehr)

Eine E-Mail wird in der Regel über mehrere Server (Hops) hinweg vom Client zum Zielserver transportiert. Während des Transports wird sie dabei von einem MTA zum nächsten über eine Netzwerkverbindung weitergereicht. Die hier besprochene Methode TLS (Transport Layer Security) schützt den Datenaustausch zwischen einzelnen MTAs, wenn sie sich auf einen verschlüsselten Transportmechanismus einigen können. TLS verhindert effektiv, dass der Inhalt einer Nachricht beim Übergang von einem MTA zum nächsten MTA mitgelesen werden kann.

So gut TLS sich für diese Aufgabe eignet, so wenig schützt es die Nachricht, sobald sie im RAM des empfangenden Mailservers ankommt, bevor sie nach Filterung (Spam, Viren und so weiter) auf die Festplatte des Mailsystems geschrieben wird. Transport Layer Security schützt, wie ihr Name schon sagt, eben nur die Transportschicht, nicht aber den Inhalt selbst.

Sie wird deshalb gerne als unzureichend geschmäht. TLS-Kritiker verweisen stattdessen auf Methoden zur Ende-zu-Ende Verschlüsselung wie PGP oder S/MIME. Nur sie könnten richtige Sicherheit bieten. Obwohl der Autor selber PGP-Benutzer ist, mag er sich dieser Meinung nicht anschließen. Sie malt die Welt der Sicherheit in schwarzweiß und ignoriert die vielen Grautöne dazwischen.

Vom Schutzbedarf zur TLS-Policy

Das tägliche Verschicken eines Systemstatus-Reports stellt andere Anforderungen an die Sicherheit als der Austausch personenbezogener Daten zwischen Personalabteilung und Betriebsrat. Gleiches gilt für die Kommunikation zwischen Vorstand und Aufsichtsrat oder die Zustellung schützenswerter Arbeitsergebnisse durch einen Lieferanten an seinen Auftraggeber. Jede dieser Kommunikationsbeziehungen hat einen anderen Schutzbedarf. Ist er benannt, folgt die Auswahl angemessener Maßnahmen. Eine Baseline-Policy bestimmt das Mindestmaß an Sicherheit, das in allen Fällen gewährleistet sein muss.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite