[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Mail-Transport per Filetransfer statt pop3?

Subject: Re: Mail-Transport per Filetransfer statt pop3?
From: Raphael Eiselstein <rabe@xxxxxxxxx>
Date: Wed, 30 Oct 2013 00:30:07 +0100
To: uugrn@xxxxxxxxxxxxxxx

On Tue, Oct 29, 2013 at 11:58:04PM +0100, Ralph J. Mayer wrote:
> UUCP?

Mit dieser Antwort habe ich schon gerechnet. Ist sicher irgendwie eine
valide Antwort auf meine Frage. UUCP ist fuer mich maximal theoretisch
verstaendlich, benutzt habe ich das bisher nicht.

Ich bin inzwischen an folgendem Experiment angelangt:

(1) Serverseite (schon fertig):
Auf dem Server habe ich in ~/.forward ein 

"|exec /home/rabe/bin/gpgmailer.sh"

stehen. Das script gpgmailer.sh ist im Wesentlichen ein Wrapper fuer gpg,
vereinfacht folgender Aufruf:

/usr/local/bin/gpg --armor --recipient "${KEY}" --encrypt

Das Script bekommt eine(!) E-Mail direkt von sendmail per stdin und 
erzeugt daraus dann genau eine verschluesselte Datei. Es landen also 
nur die vollstaendig  verschluesselten Mails einzeln auf der Platte.

(2) Clientseite (bishier nur die Idee)
Auf der Workstation laeuft dann ein cronjob, der statt "fetchmail" die 
verschluesselten Dateien per rsync/sftp/scp/ abholt, lokal decrypted und 
direkt an procmail durchreicht (stdout/stdin) und ggf. bei Erfolg die 
jeweilige Eingangsdatei auf dem Server loescht.

Das hat gleich mehrere Vorteile:

* Auf dem Server landen nur verschluesselte Daten
* Auf dem Server gibt es keine Moeglichkeit diese Dateien zu
  entschluesseln, da der Private Key nicht auf dem Server liegt.
* Auf dem Client muss nicht nochmal ueber mbox-Files iteriert werden
  (formail waere das tool dazu)

Zu klaerendes Problem: Auf der Client-Seite muss der Private Key
verwendet werden. Dieser hat natuerlich eine Passphrase, als cronjob kann
und will man aber nicht alle 2 Minuten irgendwo eine Passphrase
eintippen, d.h. hier brauche ich sowas wie einen gpg-agent analog zu
ssh-agent. Muss ich mir mal genauer anschauen, ich weiss nicht, wie
gpg-agent funktioniert und ob der mir hier ueberhaupt hilft.

Vielleicht laesst sich hier auch openssl einsetzen aber auch hier weiss
ich nicht, wie man einen ansonsten per passphrase gesicherten private
Key "entsperrt" im RAM halten kann.

Gruss
Raphael

-- 
Raphael Eiselstein <rabe@xxxxxxxxx>               http://rabe.uugrn.org/
xmpp:freibyter@xxxxxx  | https://www.xing.com/profile/Raphael_Eiselstein   
PGP (alt):            E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..




-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/