[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Hack: komplette Mailbox auf dem Server mit GnuPG verschluesseln

Subject: Hack: komplette Mailbox auf dem Server mit GnuPG verschluesseln
From: Raphael Eiselstein <rabe@xxxxxxxxx>
Date: Sun, 17 Nov 2013 23:47:30 +0100
To: uugrn@xxxxxxxxxxxxxxx
Hallo zusammen,

mehr aus einer Idee und als Proof-of-Concept habe ich mir mein E-Mail
Setup ein wenig neu geordnet. 

Ich muss dazu sagen, dass ich eher zu den Traditionalisten gehoere, was 
MTA, MUA etc angeht, d.h. meine bisherige Transportkette fuer eingehende 
Mails sah bisher so aus:


rabe@xxxxxxxxx 
--> sendmail auf mx1.uugrn.org
--> sendmail auf mail.uugrn.org: hier terminiert uugrn.org
      virtusertable --> rabe@xxxxxxxxxxxxxx
--> sendmail auf rabe.uugrn.lan 
         /var/mail/rabe                            **
--> dovecot (pop3s+imaps)                          **
====================
zu Hause dann (kubuntu): 
--> cron+fetchmail                                 **
    sendmail                                       **
    procmail              
        ~/Mail/subdirs/mailbox
--> mutt


Mein neues Setup verzichtet auf 
        rabe.uugrn.org:/var/mail/rabe
        dovecot@xxxxxxxxxxxxxx
        fetchmail@workstation
        sendmail@workstation

Stattdessen passiert nun folgendes: sendmail@xxxxxxxxxxxxxx nimmt Mails
fuer rabe@xxxxxxxxxxxxxx an und leitet sie aufgrund von ~rabe/.forward um
in ein Script (gpgmailer.sh), welches im Wesentlichen ein kleiner Wrapper 
fuer gpg ist, der jede einkommende Mail einzeln mit einem public key 
verschluesselt und lokal ablegt. Auf dem Server liegen E-Mails also nun
nur noch in Form von verschluesselten Dateien (*.asc) herum.

Auf meiner Workstation laeuft statt cron+fetchmail nun ein cron+script
gpgmailer_fetch.sh, welches per rsync+ssh die Mails von rabe.uugrn.org
abholt (und loescht), lokal einzeln entschluesselt und dann einzeln an
procmail@workstation verfuettert. 

Das procmail existiert ohnehin schon, wurde aber bisher via sendmail 
aufgerufen und wird nun durch gpgmailer_fetch.sh getriggert.

Vorteile dieser Loesung:

* E-Mails liegen nicht unverschluesselt auf einem Server herum
* und koennen "leichtgewichtiger" abtransportiert werden
* und koennen lokal schneller zugestellt werden
* Passwort-Authentifizierung von fetchmail --> dovecot entfaellt
* Die Mailverschluesselung passiert auf der kompletten Datei inkl.
  Headerzeilen.
* Nicht auf *einen* Server beschraenkt.

Nachteile dieser Loesung:
* Niemand, auch ich selbst nicht, kann Mails auf dem Server lesen
* Diese Loesung ist keine Loesung sondern ein fieser Hack

Das Setup liesse sich statt auf einer Workstation auch auf dem Heimserver 
aufbauen, wo dann die eingehenden Mails per procmail auf Mailboxen verteilt 
werden auf denen dann wiederum ein dovecot laeuft auf den man dann mit
"modernen" Mailprogrammen per IMAP drauf zugreift.

Der Unterschied ist hier, dass der Heimserver zu Hause steht und nicht
irgendwo in einem fremden RZ.

Scripte unter https://github.com/freibyter/gpgmailer

"Works for me" bedeutet, dass ich das bisher nur auf genau diesem Setup
so am Laufen habe:  
        Server: FreeBSD+sendmail
        Workstation: kubuntu+procmail+mutt

Fragen? fragen.

Gruss
Raphael

-- 
Raphael Eiselstein <rabe@xxxxxxxxx>               http://rabe.uugrn.org/
xmpp:freibyter@xxxxxx  | https://www.xing.com/profile/Raphael_Eiselstein   
PGP (alt):            E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..




-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/