TLS gegen VDS

Re(7): TLS gegen VDS

gunnarh — Wed, 04 Apr 2012 21:56:17 GMT

Bevor hier solche Panikmache verbreitet wird, sollte mal das Gesetz gelesen werden.

Es ist keinesfalls so, dass der Provider über die gesetzlich zu speichernden Daten hinaus einfach mehr speichern dürfte. In den Datenstrom eines Kunden bzw. Kundenservers hineinzusehen ist außerhalb des gesetzlichen Rahmens!

Die Änderungen am TKG haben auch einen kleinen Vorteil gebracht, nämlich dass nun deutlich schärfer formuliert ist was gespeichert werden muss, und umgekehrt auch ganz klar festgelegt ist, dass darüber hinausgehende Datensammlungen bzw. eine Überschreitung des Zeitraumes in dem die Daten vorrätig gehalten werden ganz klar gesetzeswidrig sind.

TLS nutze ich übrigens seit Anfang der 2000er auf meinen Mailservern, im Jahr 2012 draufzukommen dass es das gibt ist also reichlich spät.

Re(11): TLS gegen VDS

Testpilot — Tue, 03 Apr 2012 19:28:41 GMT

Naja kämpfen, wenn ich mich an die Meldung aus D erinnere das der BND n Millionen Mails mitliest...

Ich habe gerade meine Mail Header durchgeschaut und da ist kein einziger MTA dabei der mittels TLS verschickt. Hab allerdings auch nur E-Mail Adressen bei den komerziellen Mail Providern.

Re(10): TLS gegen VDS

mjy@geizhals.at — Tue, 03 Apr 2012 17:14:34 GMT

Die ISPs kämpfen auch noch gelegentlich damit - schade:

https://www.df.eu/forum/threads/65338-Unverschlüsselter-E-Mail-Versand-(Server-zu-Server )

Re(9): TLS gegen VDS

Testpilot — Tue, 03 Apr 2012 16:59:46 GMT

Danke für die Links, das bringt etwas Licht in dieses diffuse Mail Zeugs

Re(8): TLS gegen VDS

mjy@geizhals.at — Mon, 02 Apr 2012 23:14:30 GMT

Unser MTA unterstüzt TLS, ein andere MTA kontaktiert uns, schickt ein EHLO und sieht das TLS unterstützt wird und "upgraded" die vorher unverschlüsselte
Sitzung mittels STARTSSL auf TLS.

Je nachdem, wie er konfiguriert ist, kann er auch auf ein gültiges (CA) Zertifikat bestehen.

Wenn obriges stimmt, macht das dann auch jeder MTA, also wenn TLS unterstützt wird wird das auch verwendet. Ist das irgendwo geregelt, RFC o.Ä. ?

http://www.rfc-editor.org/rfc/rfc2487.txt

Da sind mal die Empfehlungen ... Wie man dann den MTA konfiguriert, ist dann eine andere Frage. Postfix kann z.B.:


none - No TLS.
may - Opportunistic TLS.
encrypt - Mandatory TLS encryption. 
fingerprint - Certificate fingerprint verification. 
verify - Mandatory server certificate verification. 
secure - Secure-channel TLS.

http://www.postfix.org/TLS_README.html

Re(7): TLS gegen VDS

Testpilot — Mon, 02 Apr 2012 20:35:24 GMT

Das sind ja nur ein "paar Einstellungen" beim MTA und ein "gültiges" snakeoil Zertifikat.

Was mich wieder zu meiner Ursprungsfrage bringt:
Unser MTA unterstüzt TLS, ein andere MTA kontaktiert uns, schickt ein EHLO und sieht das TLS unterstützt wird und "upgraded" die vorher unverschlüsselte Sitzung mittels STARTSSL auf TLS.

Wenn obriges stimmt, macht das dann auch jeder MTA, also wenn TLS unterstützt wird wird das auch verwendet. Ist das irgendwo geregelt, RFC o.Ä. ?

Re(6): TLS gegen VDS

mjy@geizhals.at — Mon, 02 Apr 2012 20:00:16 GMT

ja

aber nur wenn du auch TLS unterstützt.

Re(5): TLS gegen VDS

Testpilot — Mon, 02 Apr 2012 19:51:35 GMT

Ok, und über ESMTP kann ich dann ein STARTTLS initieren ?

Re(4): TLS gegen VDS

Wizard51 — Mon, 02 Apr 2012 18:13:30 GMT

KiPos hast vergessen

Re: TLS gegen VDS

tha_haze — Mon, 02 Apr 2012 17:54:11 GMT

Ich habe auch gleich das hier aktiviert https://forum.geizhals.at/t762903,6528303.html#6528303 , Danke mjy

Re(7): TLS gegen VDS

User71571 — Sun, 01 Apr 2012 21:26:49 GMT

Das sind wie bereits geschrieben nur die Mindestanforderungen. Wie die technische Umsetzung aussieht, welche Daten erfasst werden können und
tatsächlich werden, weiß man nicht und ist wohl von ISP zu ISP verschieden.

Das was im Gesetz gefordert wird ist ohne viel Mehraufwand fuer ISPs umsetzbar. Die Logfiles fallen ja schon derzeit an. Im Prinzip muss man nur sicherstellen, dass sie nicht vor 6 Monaten geloescht werden, und zusaetzlich noch ein Interface zum Abfragen der Daten bereitstellen.

Alles was darueber hinausgeht (mitloggen von Host: Headern, etc.) verursacht einerseits signifikante technische Kosten (unter der Annahme, dass das nicht schon derzeit gemacht wird), und stellt andererseits wohl auch rechtlich eine Grauzone dar.

Ich erwarte auch in dem Bereich eine weitere Verschärfung, die entsprechenden Begehrlicnkeiten sind ja gut dokumentiert (und keine Erfindung irgendwelcher NGOs).

Ja. Weitere Verschaerfung erwarte ich auch. Leider ist Oesterreich ein Land, in dem saemtliche Parteien fuer mehr Ueberwachung eintreten. Die Einen (SPOEVP) halt beim Internet, die Anderen (Gruene) bei den Bankkonten.

Re(6): TLS gegen VDS

mjy@geizhals.at — Sun, 01 Apr 2012 18:20:07 GMT

Was wie umgesetzt werden muss ist sehr wohl bekannt, siehe
https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2011_I_27/BGBLA_2011_I_27.html.
Im Gegensatz zu einigen anderen Staaten muessen in Oesterreich Gesetze (zum
Glueck) oeffentlich gemacht werden, bevor sie in Kraft treten.

Das sind wie bereits geschrieben nur die Mindestanforderungen. Wie die technische Umsetzung aussieht, welche Daten erfasst werden können und tatsächlich werden, weiß man nicht und ist wohl von ISP zu ISP verschieden.

Ich erwarte auch in dem Bereich eine weitere Verschärfung, die entsprechenden Begehrlicnkeiten sind ja gut dokumentiert (und keine Erfindung irgendwelcher NGOs).

Re(5): TLS gegen VDS

User71571 — Sun, 01 Apr 2012 18:17:13 GMT

Doch, das muss man ja für die Protokollierung der Web-Verbindungen ohnehin machen, zumindest wenn man auch die Host:-Header haben will (eine IP-Adresse kann ja 1000e Domains/Websites beherbergen).

Es werden keine TCP bzw. HTTP Verbindungen protokolliert. Das ist eine Fehlinformation die oefters in den Medien erwaehnt wurde, bzw. von diversen Interessensgruppen verbreitet wurde.

Die relevante Information die ein IP-Access Provider speichert ist das Mapping von dynamischen IP Adressen zu Usern. Wenns um einen mobilen Internetzugang werden allerdings noch IMEI, IMSI, und Cell-ID zum Zeitpunkt des (PPP) Verbindungsaufbaus mitgeloggt.

In der Praxis wird sich wohl nicht sehr viel fuer den Benutzer aendern. Die betreffenden Daten sind auch bisher schon mitgeloggt worden, die VDS legt halt fest, wielange diese Daten gespeichert werden muessen.

Die genaue technische Umsetzung ist noch nicht bekannt, aber nachdem nicht jeder MTA-Betreiber die VDS umsetzen muss, wäre eine andere Lösung relativ sinnlos.

Was wie umgesetzt werden muss ist sehr wohl bekannt, siehe https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2011_I_27/BGBLA_2011_I_27.html. Im Gegensatz zu einigen anderen Staaten muessen in Oesterreich Gesetze (zum Glueck) oeffentlich gemacht werden, bevor sie in Kraft treten.

Daran, dass die Loesung sinnlos ist, kann auch Deep Packet Inspection nichts aendern, nachdem in letzter Zeit selbst Freemail Provider oft SSL per Default anbieten/verwenden. Wobei das in der Praxis wohl sowieso kein Problem ist, nachdem (z.B.) Gmail die betreffenden Daten wohl sowieso laenger speichern wird, als von der VDS gefordert.

Re(7): TLS gegen VDS

steiger — Sun, 01 Apr 2012 13:32:24 GMT

Passt, ich dachte nur, du weißt mehr dazu.

Klar werden sie mehr haben wollen.
Ob aber dann die Provider noch so mitspielen werden wie bis jetzt bezweifle ich. Depp (sic) Packet Inspection + Storage sind dann schon eine schöne Stufe weiter.

Re(6): TLS gegen VDS

mjy@geizhals.at — Sun, 01 Apr 2012 13:26:30 GMT

Mag sein, dass das derzeit nicht zum in Ö geforderten Mindestumfang gehört. Die EU-Kommission will aber schon seit 2005 deutlich mehr Daten (http://www.heise.de/newsticker/meldung/EU-Kommission-will-Speicherung-von-TK-Verbindungsdaten-massiv-ausweiten-117776.html ) und es ist in Österreich jedenfalls zu erwarten, dass es wie bei der regelmäßig ausgeweiteten StPO-Befugnisse auch hier zu einer sukzessiven Verschärfung kommt. Die bisher lt. TKG 102a erfassten Daten sind ja auch für den behaupteten Zweck wertlos, da man damit nur Leute ausforschen könnte, die auf bereits kompromittierte illegale Server/Services zugegriffen haben. Aber im Ausland gehostete Hetzseiten und deren Nutzer aus Österreich könnte man damit nicht identifizieren ohne deep packet inspection und entsprechende Protokollierung der Zieladressen.

Re(5): TLS gegen VDS

steiger — Sun, 01 Apr 2012 13:03:19 GMT

Wo im TKG 102a siehst du eine Protokollierung von Web-Verbindungen?

(2) Internet Zugangsdienste: Nein
(3) Telefonie Dienste: Nein
(4) E-Mail Dienste: Nein

Re(5): TLS gegen VDS

Justin B. — Sun, 01 Apr 2012 11:44:50 GMT

Das war wohl dein persönlicher Aprilscherz.

ja, natürlich.
ich bin genauso gegen die VDS.

Re(4): TLS gegen VDS

mjy@geizhals.at — Sun, 01 Apr 2012 11:43:27 GMT

Der Staat will uns doch nur vor den Internationalen Terroristen schützen.

Klar, die internationalen Top-Terroristen verschicken ja so viele Mails über SMTP und besuchen so viele Websites ohne irgendwelche Anonymisierungsdienste, dass der Generalverdacht für alle Österreicher total gerechtfertigt ist.

Das war wohl dein persönlicher Aprilscherz.

Re(3): TLS gegen VDS

Justin B. — Sun, 01 Apr 2012 11:41:02 GMT

Der Staat will uns doch nur vor den Internationalen Terroristen schützen.
Was ist so schlimm daran?

Re(2): TLS gegen VDS

mjy@geizhals.at — Sun, 01 Apr 2012 11:33:48 GMT

Ich glaub, dass die VDS als einzige die Telekombranche trifft.

Da werden wir uns noch alle sehr wundern.

Diese Daten bleiben - wie praktisch alle missbräuchlich gespeicherten Daten - sehr lange erhalten und was man dir oder mir in 30 Jahren damit "beweisen" kann und zu welchem Zweck (Krankenversicherung, Einschätzung der politischen Einstellung ...) kann man kaum abschätzen.

Daher wundert mich die Paranoia im Internet schon sehr.

Die Paranoia "im Internet" ist sehr angebracht nachdem der paranoide Spitzelstaat hier das Tempo vorgibt und uns alle unter Generalverdacht stellt.

Re(4): TLS gegen VDS

mjy@geizhals.at — Sun, 01 Apr 2012 11:31:15 GMT

Machen das auch aller MTAs also EHLO schicken und nicht HELO (was ja eine normale smtp session initiert ?) ?

EHLO ist ESMTP: https://en.wikipedia.org/wiki/EHLO

Das ist schon relativ alt, also macht das praktisch jeder MTA. HELO verwenden wohl nur mehr diverse scripts, die Mail direkt per SMTP versenden.

Re(4): TLS gegen VDS

mjy@geizhals.at — Sun, 01 Apr 2012 11:29:34 GMT

Soweit ich das ganze verstehe gibt es keine Deep *TRÖT* Inspection.

Doch, das muss man ja für die Protokollierung der Web-Verbindungen ohnehin machen, zumindest wenn man auch die Host:-Header haben will (eine IP-Adresse kann ja 1000e Domains/Websites beherbergen).

Die genaue technische Umsetzung ist noch nicht bekannt, aber nachdem nicht jeder MTA-Betreiber die VDS umsetzen muss, wäre eine andere Lösung relativ sinnlos.

Re: TLS gegen VDS

nerve — Sun, 01 Apr 2012 08:57:52 GMT

Ich glaub, dass die VDS als einzige die Telekombranche trifft.
Im Internet wurden diese Daten ohnehin schon gespeichert.
Ich weiß zwar nicht wie es bei anderen Providern aussieht,
aber unsere Logs werden lokal ~30 Tage aufbewahrt und dann gehen sie aufs Band. Als einziges legen wir jetzt mehr Wert auf die Doku der IP Vergabe.
Daher wundert mich die Paranoia im Internet schon sehr.

Re(4): TLS gegen VDS

Testpilot — Sun, 01 Apr 2012 08:26:00 GMT

So habe ich das auch verstanden.

Re(3): TLS gegen VDS

Testpilot — Sun, 01 Apr 2012 08:24:18 GMT

Ah ok, nicht mein Fachgebiet, ich frag nach weils mich interssiert.

STARTTLS

Ah, auf der MTA -> MTA Seite macht das natürlich Sinn (also unverschlüsselt beginnen zu verschlüsselt upgraden wenn es unterstüzt wird).

Machen das auch aller MTAs also EHLO schicken und nicht HELO (was ja eine normale smtp session initiert ?) ?

Re(3): TLS gegen VDS

User71571 — Sun, 01 Apr 2012 06:02:05 GMT

Soweit ich das ganze verstehe gibt es keine Deep Packet Inspection. Die Header-Daten werden am Mailserver fuer die VDS mitgeloggt wenn ich einen entsprechenden Mailserver verwende. Zusaetzlich protokolliert mein IP Provider welche IP Adresse ich zu welchem Zeitpunkt hatte. Die Inhalte der IP *TRÖT*s werden aber nicht analysiert/gespeichert (auch wenn man aus diesen, z.B., SMTP Header Daten extrahieren koennte).

Re(2): TLS gegen VDS

mjy@geizhals.at — Sat, 31 Mar 2012 22:42:20 GMT

Nachdem die Inhalte bei der VDS nicht geloggt werden, ists (im Bezug auf VDS) ziemlich egal ob man TLS einsetzt oder nicht.

Die bei der VDS geloggten Headerdaten (From, To, ...) werden bei Verwendung von TLS auch verschlüsselt übertragen. Wenn der ISP (der den MTA betreibt) VDS-pflichtig ist, hilft das natürlich nicht, aber wenn der MTA-Betreiber nur Kunde eines VDS-pflichtigen ISPs ist, dann schon.

Re(2): TLS gegen VDS

mjy@geizhals.at — Sat, 31 Mar 2012 22:39:52 GMT

MTA -> MTA kommunziert ja immer noch über smtp

Wenn ein MTA mit einem anderen kommuniziert, kann er auch TLS verwenden.

und tls kann nur expliziet für bestimmte domains aufgedreht werden, oder ?

Nein, wenn der empfangende MTA "STARTTLS" nach "EHLO" ausgibt, kann man das immer versuchen. Man kann einen MTA zwar so konfigurieren, dass er TLS immer oder für bestimmte Empfänger immer TLS verwendet, das ist aber begrenzt sinnvoll.

Re: TLS gegen VDS

Testpilot — Sat, 31 Mar 2012 22:11:27 GMT

MTA -> MTA kommunziert ja immer noch über smtp, und tls kann nur expliziet für bestimmte domains aufgedreht werden, oder ?

Re: TLS gegen VDS

User71571 — Sat, 31 Mar 2012 21:36:11 GMT

Einmal abgesehen davon, dass TLS wohl immer eine gute Idee ist, sehe ich nicht, wie das mit der VDS zusammenhaengt. Nachdem die Inhalte bei der VDS nicht geloggt werden, ists (im Bezug auf VDS) ziemlich egal ob man TLS einsetzt oder nicht.

TLS gegen VDS

mjy@geizhals.at — Sat, 31 Mar 2012 19:06:32 GMT

Um zumindest die paar Glücklichen Inhaber eines Mail-Accounts bei einem ISP in einem freieren Land vor der VDS zu bewahren, sollten Betreiber von MTAs (Firmen-Mailserver usw.) nach Möglichkeit TLS für ein- und ausgehende Verbindungen aktivieren. Wir haben das im Büro auch erst heute gemacht, war ein Krampf.

Tipps:
Postfix: http://www.postfix.org/TLS_README.html#client_tls
Exim: http://www.exim.org/exim-html-current/doc/html/spec_html/ch39.html
MS Exchange: http://support.microsoft.com/kb/829721

http://www.test-smtp.com/ (kann nicht viel rund um TLS, aber immer zu empfehlen)

TLS gegen VDS

mjy@geizhals.at — Sat, 31 Mar 2012 19:06:32 GMT

Um zumindest die paar glücklichen Inhaber eines Mail-Accounts bei einem ISP in einem freieren Land vor der VDS zu bewahren, sollten Betreiber von MTAs (Firmen-Mailserver usw.) nach Möglichkeit TLS für ein- und ausgehende Verbindungen aktivieren. Wir haben das im Büro auch erst heute gemacht, war ein Krampf.

Tipps:
Postfix: http://www.postfix.org/TLS_README.html#client_tls
Exim: http://www.exim.org/exim-html-current/doc/html/spec_html/ch39.html
MS Exchange: http://support.microsoft.com/kb/829721

http://www.test-smtp.com/ (kann nicht viel rund um TLS, aber immer zu empfehlen)