Re: Mailserver, MX-Record und Firewalls

Autor: Marc Haber <mh+uugrn_at_zugschlus.de>
Datum: 05.08.2005
On Fri, Aug 05, 2005 at 11:05:35AM +0200, Johannes Walch wrote:
> Ralph J.Mayer wrote:
> >Gut, aber wie willst Du einem x-beliebigen Zertifikat vertrauen?
> >Jeder Spammer könnte sich so ein Zertifikat selbst ausstellen.
> 
> Ausser die Zertifikate sind für die domains im DNS gespeichert.

Und wer kann die Zertifikate dort reinschreiben? Derzeit ist das der
Betreiber des Nameservers, an den die Domain delegiert ist, und das
bin zumindest für meine eigenen Domains ich selbst, also im Zweifel
der Spammer.

> >Trustcenter sind da genaus Panne, siehe damals die falschen Microsoft-
> >Zertifikate von Verisign.
> 
> Keine sehr gute Vorgehensweise aufgrund eines Pannenfalls gleich das 
> ganze Prinzip als schlecht zu erklären. Das Problem ist eher dass die 
> Trustcenter immer mit recht hohen Kosten verbunden sind.

Das ist eine andere Seite der Problematikenbündel. Ich kenne keine
kommerzielle CA, die einen akzeptabel hohen Sicherheitslevel bietet
_und_ deren Root-Zertifikate ab Werk in der Software installiert sind.

Oder haben die Kommerz-CAs inzwischen ihre CRLs im Griff?

> >PGP? Könnte ein Anfang sein, letztendlich wird es aber auch da Missbrauch
> >geben.
> 
> PGP? Wo bitte ist der prinzipielle Unterschied zwischen PGP und sagen 
> wir S/MIME (Zertifikate). Das ist doch auch private/public key, da 
> brauchst Du auch einen globalen "Zertifikat Server".

bei PGP hast Du das dezentralisierte Web of Trust, während Du bei x509
einen Baum hast, dessen Wurzel Du vertrauen musst. Das eine ist
billig, das andere im kommerziellen Umfeld mit vertretbarem Aufwand
handhabbar, da der Aufwand hier an die kommerziellen CAs sozusagen
outgesourced werden. Leider gibt es m.E. derzeit keinen ernsthaft
brauchbaren Outsourcer.

> >Einerseits will man ja den Versand für Spammer verteuern, andererseits 
> >den Versand von "normaler" Mail möglichst wenig behindern.
> >Für den Widerspruch seh ich derzeit aber keine Lösung.
> 
> Ja, das Problem ist ja, dass man dann immer noch SPAM bekommen kann. 

SPAM bekommst Du bei Hormel Industries, Spam in Deine Mailbox.
http://www.spam.com/ci/ci_in.htm

Grüße
Marc

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany  |  lose things."    Winona Ryder | Fon: *49 621 72739834
Nordisch by Nature |  How to make an American Quilt | Fax: *49 621 72739835
Received on Fri Aug 5 11:12:34 2005

Dieses Archiv wurde generiert von hypermail 2.1.8.
Zurück zur UUGRN-Homepage.