Re: Mail-Transport per Filetransfer statt pop3?

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Wed, 30 Oct 2013 00:30:07 +0100
On Tue, Oct 29, 2013 at 11:58:04PM +0100, Ralph J. Mayer wrote:
> UUCP?

Mit dieser Antwort habe ich schon gerechnet. Ist sicher irgendwie eine
valide Antwort auf meine Frage. UUCP ist für mich maximal theoretisch
verständlich, benutzt habe ich das bisher nicht.

Ich bin inzwischen an folgendem Experiment angelangt:

(1) Serverseite (schon fertig):
Auf dem Server habe ich in ~/.forward ein 

"|exec /home/rabe/bin/gpgmailer.sh"

stehen. Das script gpgmailer.sh ist im Wesentlichen ein Wrapper für gpg,
vereinfacht folgender Aufruf:

/usr/local/bin/gpg --armor --recipient "${KEY}" --encrypt

Das Script bekommt eine(!) E-Mail direkt von sendmail per stdin und 
erzeugt daraus dann genau eine verschlüsselte Datei. Es landen also 
nur die vollständig  verschlüsselten Mails einzeln auf der Platte.

(2) Clientseite (bishier nur die Idee)
Auf der Workstation läuft dann ein cronjob, der statt "fetchmail" die 
verschlüsselten Dateien per rsync/sftp/scp/ abholt, lokal decrypted und 
direkt an procmail durchreicht (stdout/stdin) und ggf. bei Erfolg die 
jeweilige Eingangsdatei auf dem Server löscht.

Das hat gleich mehrere Vorteile:

* Auf dem Server landen nur verschlüsselte Daten
* Auf dem Server gibt es keine Möglichkeit diese Dateien zu
  entschlüsseln, da der Private Key nicht auf dem Server liegt.
* Auf dem Client muss nicht nochmal über mbox-Files iteriert werden
  (formail wäre das tool dazu)

Zu klärendes Problem: Auf der Client-Seite muss der Private Key
verwendet werden. Dieser hat natürlich eine Passphrase, als cronjob kann
und will man aber nicht alle 2 Minuten irgendwo eine Passphrase
eintippen, d.h. hier brauche ich sowas wie einen gpg-agent analog zu
ssh-agent. Muss ich mir mal genauer anschauen, ich weiss nicht, wie
gpg-agent funktioniert und ob der mir hier überhaupt hilft.

Vielleicht lässt sich hier auch openssl einsetzen aber auch hier weiss
ich nicht, wie man einen ansonsten per passphrase gesicherten private
Key "entsperrt" im RAM halten kann.

Gruß
Raphael

-- 
Raphael Eiselstein <rabe@uugrn.org>               http://rabe.uugrn.org/
xmpp:freibyter@gmx.de  | https://www.xing.com/profile/Raphael_Eiselstein   
PGP (alt):            E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 30.10.2013

Dieses Archiv wurde generiert von hypermail 2.2.0 : 30.10.2013 CET