Freifunk Halle

http://www.heise.de/security/artikel/SS ... 80221.html

Hab das gerade mal ausgetestet, im Firefox funktionierts. Es gibt keine Zertifikat-Fehlermeldung mehr. Konqueror beschwert sich, dass er die Zertifizierungsstelle nicht kennt.

Keine Ahnung, was von dem Anbieter zu halten ist. Das einzige, was gecheckt wird ist, ob die eMail-Adresse webmaster, hostmaster oder postmaster ankommt. Aber hey, das Zertifikat funktioniert. Hölen wir die Sicherheit des Webs weiter aus

Ach ja, die Ansage im Heise-Artikel, dass man den Private-Key natürlich selbst zu generieren hat und auf den "Service" verzichtet, sich das komplette Schlüsselpaar generieren zu lassen, muss mit allem Nachdruck unterstrichen werden.

Jetzt haben wir die Wahl zwischen einem Zertifikat, das den Nutzer drauf hinweist, dass es nicht gegengeprüft werden kann, und einem Zertifikat, das den Nutzer nicht darauf hinweist, dass es zu leichtfertig ausgestellt wurde und die Gegenprüfung möglicherweise zu oberflächlich ist. Mh... schwierige Entscheidung...

schade dass die mein zertifizierungstellenzertifikat nicht signieren können

So schwierig finde ich die Entscheidung nicht. Wir haben die Wahl zwischen einem Zertifikat, was zwar verschlüsselt aber, da self-signed und von JEDEM! nachzumachen, keine Sicherheit gibt auf dem richtigen Host oder sonstwo zu sein oder einem Zertifikat, welches zumindest testete, ob der Mailserver zum richtigen Ausgang führte und daher ein kleines bisschen garantiert, dass man auf dem richtigen Host ist (übrigens gängige Praxis in dem Gewerbe). Das Zertifikat wäre also sicherer als unser derzeitiges und in etwa so sicher, wie alle durchschnittlichen SSL-Zertifikate da draußen.

Zum anderen würde die unsägliche Praxis aufhören, unseren Usern anzutrainieren wichtige Warnmeldungen wegzuklicken.

das geht nicht, mailserver kann unser server leider nicht spielen wird von einer nicht in unserer macht stehenden Firewall alles blockiert

hmm , wenn unser Server keine Mails empfangen kann macht aber wohl auch der
MX-Eintrag wenig Sinn , oder wie werden einkommende Mails zugestellt ?
Ich wundere mich gerade das die ausgehenden Mails überhaupt funktioniert,
denn sonst machen die Uni-Mailserver als Spamschutz eine Prüfung auf
gültige Absender.
Das geht ja aber bei uns dann garnicht.
Warscheinlich vertraut der Uni-Mailserver uns weil wie eine Uni-IP haben.

Mit Zugriff auf den MX-DNS-Eintrag ließe sich aber was machen ...

Ja das haben wir auch schon mal diskutiert, damals war im gespräch:

Wir ändern den MX Eintrag auf einen anderen Server und lassen den alle mails weiterleiten, dabei entstehen 2 Probleme:

1. Der andere Server müsste Zwecks Spamfilterung schon die Benutzer kennen die gültig sind
   Manche Mails werden nicht mehr ankommen, da in der domain kein gültiger MX eintrag auf die IP-Adresse besteht

man könnte höchstes mx einträge mit priorität erstellen, aber da weiß ich nicht ob das geht, vllt sollten wir warten bis Tim die Domain übernommen hat, dann können wir das bequem einstellen.

3dfxatwork hat geschrieben:Manche Mails werden nicht mehr ankommen, da in der domain kein gültiger MX eintrag auf die IP-Adresse besteht

Hö? Wenn man den MX ändert (z.B. auf mail.freifunk-halle.net) und noch nen A-Record dazu baut, der auf die IP zeigt, wo ist das Problem? Und das User-Problem sehe ich auch nicht so krass, braucht ja nur nen webmaster@. Und falls mehr, kann man sich die User in ne Datenbank auslagern.

ja aber dann gehört mail.freifunk-halle.net zu ner ip, aber nicht mehr der IP von der aus wir mails senden, somit schlägt die spf auflösung fehl und so ziemlich jeder mailfilter wird dir das um die ohren hauen
eine möglichkeit wäre über nen relayhost zu senden, da man den direkt erreichen muss (wegen der firewall), also müsste das per vpn angebunden werden.
Und bei dem Aufwand sollte man nen anderen Server als mail-server einrichten, dann ist wieder das Problem, das forum kann keine mails mehr senden, oder man muss sich per vpn mit dem Mailserver verbinden um so an der firewall vorbei zu kommen.

Es gibt schon nen paar lösungen, aber alle wären frickellösungen, sowie nich schön zu warten

haben wir gerade auch auf dem Treffen diskutiert.
Eine Lösung wäre warscheinlich einen 2. MX-Eintrag zu machen.
Da der erste nie erreichbar ist wird für einkommende Mails der 2. genommen.
Und für ausgehende Mails passt der Eintrag für die spf Auflösung.
Der 2. Eintrag müsste auf einen Server zeigen der nur eine Art DNAT machen braucht
um die Mails an unseren Server auf einem anderen Port ,ungleich 25, weiter zu leiten.