[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Mailserver, MX-Record und Firewalls
[Thread Prev] | [Thread Next]
- Subject: Re: Mailserver, MX-Record und Firewalls
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Fri, 5 Aug 2005 11:11:55 +0200
- To: uugrn@xxxxxxxxxxxxxxx
On Fri, Aug 05, 2005 at 11:05:35AM +0200, Johannes Walch wrote: > Ralph J.Mayer wrote: > >Gut, aber wie willst Du einem x-beliebigen Zertifikat vertrauen? > >Jeder Spammer koennte sich so ein Zertifikat selbst ausstellen. > > Ausser die Zertifikate sind fuer die domains im DNS gespeichert. Und wer kann die Zertifikate dort reinschreiben? Derzeit ist das der Betreiber des Nameservers, an den die Domain delegiert ist, und das bin zumindest fuer meine eigenen Domains ich selbst, also im Zweifel der Spammer. > >Trustcenter sind da genaus Panne, siehe damals die falschen Microsoft- > >Zertifikate von Verisign. > > Keine sehr gute Vorgehensweise aufgrund eines Pannenfalls gleich das > ganze Prinzip als schlecht zu erklaeren. Das Problem ist eher dass die > Trustcenter immer mit recht hohen Kosten verbunden sind. Das ist eine andere Seite der Problematikenbuendel. Ich kenne keine kommerzielle CA, die einen akzeptabel hohen Sicherheitslevel bietet _und_ deren Root-Zertifikate ab Werk in der Software installiert sind. Oder haben die Kommerz-CAs inzwischen ihre CRLs im Griff? > >PGP? Koennte ein Anfang sein, letztendlich wird es aber auch da Missbrauch > >geben. > > PGP? Wo bitte ist der prinzipielle Unterschied zwischen PGP und sagen > wir S/MIME (Zertifikate). Das ist doch auch private/public key, da > brauchst Du auch einen globalen "Zertifikat Server". bei PGP hast Du das dezentralisierte Web of Trust, waehrend Du bei x509 einen Baum hast, dessen Wurzel Du vertrauen musst. Das eine ist billig, das andere im kommerziellen Umfeld mit vertretbarem Aufwand handhabbar, da der Aufwand hier an die kommerziellen CAs sozusagen outgesourced werden. Leider gibt es m.E. derzeit keinen ernsthaft brauchbaren Outsourcer. > >Einerseits will man ja den Versand fuer Spammer verteuern, andererseits > >den Versand von "normaler" Mail moeglichst wenig behindern. > >Fuer den Widerspruch seh ich derzeit aber keine Loesung. > > Ja, das Problem ist ja, dass man dann immer noch SPAM bekommen kann. SPAM bekommst Du bei Hormel Industries, Spam in Deine Mailbox. http://www.spam.com/ci/ci_in.htm Gruesse Marc -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Mannheim, Germany | lose things." Winona Ryder | Fon: *49 621 72739834 Nordisch by Nature | How to make an American Quilt | Fax: *49 621 72739835