Transcription
REGIONALES RECHENZENTRUMERLANGEN [ RRZE ]E-Mail-GrundlagenNetzwerkausbildung – Praxis der Datenkommunikation, 07.02.2018Reiner Fischer, RRZE
Dieser Vortrag wird aufgezeichnet.Die ersten beiden Sitzreihenbefinden sich im Kameraradius.07.02.2018 E-Mail-Grundlagen Reiner Fischer2
Überblick (1)1. Allgemeines2. Mail-Transport§ Unterschiedliche Mail-Welten§ SMTP: Historie/Charakteristika§ Internet-Mail: Beteiligte§ SMTP-DialogSysteme§ Mail-Routing§ Briefpost vs. Internet-Mail§ SMTP mit Authentifizierung§ MIME-Kodierung07.02.2018 E-Mail-Grundlagen Reiner Fischer3
Überblick (2)3. Postfach-Zugriff5. E-Mail-Dienste am RRZE§ POP3§ Relay- und Postfachdienste§ IMAP§ List Services§ Webmail6. Nachrichtenfilter4. „Gruppen-Mail“§ Server-/Clientseitig§ Funktionsverteiler/-postfach§ Abwesenheitsnotiz§ Mailingliste07.02.2018 E-Mail-Grundlagen Reiner Fischer4
Überblick (3)7. E-Mail-Sicherheit§ Schwachpunkte bei§ Ende-zu-Ende-OpenPGP, S/MIME, TLSVerschlüsselung› OpenPGP und S/MIME› Kryptographische Signatur› Inhaltsverschlüsselung§ Transportverschlüsselung› SSL/TLS§ Ausblick: DANE› DANE/TLSA› DANE/OPENPGPKEY› DANE/SMIMEA07.02.2018 E-Mail-Grundlagen Reiner Fischer5
Unterschiedliche „Mail-Welten“Historisch: unterschiedliche Mail-Standards§ Firmenstandards, z.B.§ Novell§ Microsoft§ Internetstandard SMTP (Simple Mail Transfer Protocol)§ ISO-/CCITT-Standard MHS/X400§ im Industriebereich verbreitet§ im Hochschulbereich ohne Bedeutung§ Übergang durch Gateways07.02.2018 E-Mail-Grundlagen Reiner Fischer6
Internet-Mail: Beteiligte Systeme (1)§ Benutzeroberflächen / Mail-Clients§ vernetzter PCMail-Client (Thunderbird, Outlook, .)§ vernetzte Unix-WS Mail-Client (Thunderbird, mutt, )§ Internet-CafeWeb-Browser (Firefox, Chrome, )§ Server für den Mail-Transport§ Kommunikation (Client-Server und Server-Server)via SMTP (Simple Mail Transfer Protocol)07.02.2018 E-Mail-Grundlagen Reiner Fischer7
Internet-Mail: Beteiligte Systeme (2)§ Server für den Postfach-Zugriff§ Schnittstellen (Zugriffsprotokolle)› POP3 (Post Office Protocol Version 3)› Einfaches Protokoll mit eingeschränkten Fähigkeiten› IMAP (Internet Message Access Protocol)› Wesentlich vielseitiger und leistungsfähiger› Webmail› Unabhängig von lokalem Rechnerzugang07.02.2018 E-Mail-Grundlagen Reiner Fischer8
Analogie: Briefpost vs. Internet-Mail§ Postkarte§ Brief§ Briefumschlag§ Briefbogen E-MailVerschlüsselte E-MailEnvelopeContent› Briefkopf Header› Brieftext Body Poststempel Briefkasten Postamt Verteilerpostamt § -ServerMail-ServerMail-Relay-Server07.02.2018 E-Mail-Grundlagen Reiner Fischer9
WIE GELANGT EINE E-MAIL VOMABSENDER ZUM EMPFÄNGER?Übertragungsprotokoll SMTP
SMTP: Charakteristika (1)§ „der“ E-Mail-Standard im Internet (RFC 5321), TCP/IP-basiert§ nur für ASCII-Texte (7 Bit) konzipiert§ verwendet MIME (Multipurpose Internet Mail Extensions) alsInternet-Standard zur Kodierung/Dekodierung von 8-Bit-Daten§ RFC 2045 bis RFC 2049 (1996)§ nutzt Domain Name System (DNS) für Mail-Routing§ Adressformat gem. RFC 5322§ Beispiel: Reiner.[email protected] E-Mail-Grundlagen Reiner Fischer11
SMTP: Charakteristika (2)§ Server wartet standardmäßig auf Verbindunganfragen§ von Servern auf TCP-Port 25 (SMTP-Port)§ von Clients auf TCP-Port 587 (Submission Port)§ Sendender Server/Client eröffnet SMTP-Dialog§ Manuelle Überprüfung der Erreichbarkeit des Ziel-Servers:„telnet Ziel-Server Ziel-Port “07.02.2018 E-Mail-Grundlagen Reiner Fischer12
SMTP: Mail-Routing (1)§ Ausgangsrechner: Mailserver, bei dem Einlieferung erfolgt§ Postausgangsserver für Mail-Clients§ Dieser bestimmt nächsten Rechner, an den die Mail übermittelt wird§ Dies kann sein:› ein spezieller Rechner, der alle Mails von diesem System annimmt(Relay Host, Smart Relay)› ein weiterer Zwischenrechner (Hop)› der Zielrechner, auf dem das Postfach des Empfängers liegt§ In der X400-Terminologie heißen diese RechnerMessage Transfer Agents (MTA)§ Im Internet heißen solche Rechner Mail eXchanger (MX)07.02.2018 E-Mail-Grundlagen Reiner Fischer13
SMTP: Mail-Routing (2)§ Zieladresse: [email protected]§ Adressteil hinter dem @ wird als IP-Domain interpretiert und alsMail-Domain bezeichnet.§ Sender-Host sucht Ziel-Host für die Mail-Domain übereinen MX-Record im DNS:§ DNS-Request mit type mx für Mail eXchanger ( Ziel-Host)§ Antwort: Satz von Rechneradressen inkl. Präferenz§ Antwort: „non-existent domain“, falls kein Eintrag gefunden wird.§ Mail wird direkt an den so ermittelten Mail eXchanger abgeschickt.07.02.2018 E-Mail-Grundlagen Reiner Fischer14
SMTP: Mail-Routing (3)Beispiele: MX-Einträge für Mail-Domains der FAU§ Mail-Domain erlangen.derrze.uni-erlangen.depreference 10preference 10preference 10mx-rz-1.rrze.mx-rz-2.rrze.mx-rz-3.rrze.§ Mail-Domain e.§ Bedeutung: Niedrige Präferenz Hohe Priorität07.02.2018 E-Mail-Grundlagen Reiner Fischer15
SMTP: Mail-Routing (4)§ Anmerkung für Subnetz-/Mailadministratoren:DNS-Einträge für FAU werden vom RRZE zentral verwaltet(Beantragung von MX-Einträgen durch Subnetzbetreuer [email protected] mit Kopie an [email protected])§ MX-Einträge nachschlagen im RRZE-Unix-Verbund mit/usr/sbin/nslookupset type mxAdressteil hinter dem @ eingeben (z.B. rrze.uni-erlangen.de)für weitere Hilfe?zum Verlassen:exit§ nslookup-Kommando auch unter Windows vorhanden§ Neuere Alternative: dig07.02.2018 E-Mail-Grundlagen Reiner Fischer16
Beispiel für SMTP-Dialog (1)Dialogpartner: : Sender-Host (Mailserver oder einliefernder Mailclient) : Empfänger-Host (Mailserver)Dialog: 220 smtp.uni-erlangen.de eMail Sentinel 2003 ESMTP Service ready EHLO rabea.rrze.uni-erlangen.de 250-smtp.uni-erlangen.de MAIL FROM: [email protected] 250 sender [email protected] OK RCPT TO: [email protected] 250 recipient [email protected] OK07.02.2018 E-Mail-Grundlagen Reiner Fischer17
Beispiel für SMTP-Dialog (2) DATA 354 Enter mail, end with “.” on a line by itself From: [email protected]: [email protected]: TestmailDies ist eine Testnachricht. 250 Message received and queuedBedeutung der Codes:45x Sende-Host soll Übermittlung erneut versuchen (temp. Ablehnung)55x Sende-Host muss Unzustellbarkeitsreport generieren (perm. Ablehnung)250 nach DATA-Phase: Abnahme-Quittung07.02.2018 E-Mail-Grundlagen Reiner Fischer18
SMTP: Adressierung (1)§ Unterscheidung von E-Mail-Adressen§ auf dem Briefumschlag (Envelope)› für Adressierung maßgeblich, für Adressaten unsichtbar§ auf dem Briefkopf (Header)› für Adressierung unerheblich, für Adressaten sichtbar§ Adressumsetzungen auf Transportweg möglich§ Domainspezifisches [email protected] [email protected] E-Mail-Grundlagen Reiner Fischer19
SMTP: Adressierung (2)§ Benutzerspezifisches [email protected] [email protected]§ Empfängerspezifisches Rewriting der [email protected] [email protected]. Alias-Auflösung oder Auto-Forward07.02.2018 E-Mail-Grundlagen Reiner Fischer20
SMTP: Vermeidung von Adressierungsfehlern (1)§ Gültige Adressierungen gem. RFC 5322§ [email protected]§ “Hans Muster“@beispiel.de§ “Muster, Hans“ [email protected] § “Prof. Dr. Hans Muster“ [email protected]§ “Prof. Dr. Hans Muster“ [email protected] (Institut A)§ [email protected], [email protected] E-Mail-Grundlagen Reiner Fischer21
SMTP: Vermeidung von Adressierungsfehlern (2)§ Unzulässige Adressierungen gem. RFC 5322§ Prof. Dr. Hans Muster [email protected]§ Hans [email protected]§ Muster, Hans [email protected] § [email protected] (Prof. Dr. Hans Muster)§ [email protected]; [email protected]§ Vorsicht bei Cut & Paste!§ Trennzeichen für E-Mail-Adressen ist das Komma§ Strichpunkt als Trennzeichen laut Standard nicht erlaubt!07.02.2018 E-Mail-Grundlagen Reiner Fischer22
SMTP: Historische Entwicklung (1)§ RFC 821: Simple Mail Transfer Protocol (1982)§ RFC 822: Standard for the format of ARPA Internet textmessages (1982)§ RFC 974: Mail routing and the domain system (1986)§ RFC 1869: SMTP Service Extensions (1995) (ESMTP)§ RFC 2554: SMTP Service Extensions for Authentication (1999)§ RFC 2821: Simple Mail Transfer Protocol (2001)› ersetzt RFC 821, 974 u.a.§ RFC 2822: Internet Message Format (2001)› ersetzt RFC 82207.02.2018 E-Mail-Grundlagen Reiner Fischer23
SMTP: Historische Entwicklung (2)§ RFC 3461: SMTP Service Extension for Delivery StatusNotifications (DSNs) (2003)§ RFC 4954: SMTP Service Extensions for Authentication (2007)› ersetzt RFC 2554§ RFC 5321: Simple Mail Transfer Protocol (2008)› ersetzt RFC 2821, 1869§ RFC 5322: Internet Message Format (2008)› ersetzt RFC 282207.02.2018 E-Mail-Grundlagen Reiner Fischer24
SMTP/AUTH: Hintergrund§ Problem: Nutzung eines SMTP-Servers i.d.R. nur möglich, wenn sichder Host des Senders im gleichen Netz befindet wie der Server(Spam-Relay-Schutz)§ Abhilfe: SMTP/AUTH als Erweiterung des ESMTP-Protokolls umAuthentifizierungsmechanismen mit Benutzername und Passwort(RFC 4954)§ Bei Mechanismen mit Klartextübertragung von Benutzername undPasswort nur zusammen mit Verbindungsverschlüsselung (TLS/SSL)sinnvoll§ Verbindungsverschlüsselung i.A. nur bis zum Einlieferungsserver,nicht auf dem gesamten Transportweg!07.02.2018 E-Mail-Grundlagen Reiner Fischer25
SMTP/AUTH: Gängige Mechanismen (1)§ In Mail-Clients findet man häufig nachfolgend genannteAuthentifizierungsmechanismen§ SASL-Mechanismen (Simple Authentication and SecurityLayer)§ PLAIN (RFCs 2595, 4616)› Klartext-Übertragung von Benutzername/Passwort(nur base64-kodiert, nicht verschlüsselt)§07.02.2018 E-Mail-Grundlagen Reiner Fischer26
SMTP/AUTH: Gängige Mechanismen (2)§ LOGIN› Wie PLAIN, aber Übertragung von Benutzername/Passwortin zwei Schritten§ CRAM-MD5 (RFC 2195)› Challenge-Response-Prinzip auf Basis des MD5-HMAC-Algorithmus› Keine Klartext-Übertragung von Benutzername/Passwort› „Sichere“ Authentifizierung auch über unverschlüsselte Kanäle§ SPA (Secure Password Authentication)§ basiert auf Microsofteigenem Authentifizierungsprotokoll NTLM§07.02.2018 E-Mail-Grundlagen Reiner Fischer27
WIE KÖNNEN BELIEBIGE DATEN PERE-MAIL ÜBERTRAGEN WERDEN?Kodierstandard MIME
MIME-Kodierung (1)§ Kodierstandard für Nicht-ASCII-Zeichen§ RFCs 2045 Multipurpose Internet Mail Extensions (MIME) (1996)› ergänzt durch RFCs 2046 – 2049 bzw. 4288 - 4289§ Verwendet die Standard-Mail-Header§ Content-Type§ Content-Transfer-Encoding§ Kodiermethoden§ quoted-printable (für Nicht-7bit-ASCII-Zeichen)§ base64 (bei Windows/Unix für Binärdaten)› erhöht Platzbedarf um etwa 33%› binhex (bei Apple Macintosh für Binärdaten)07.02.2018 E-Mail-Grundlagen Reiner Fischer29
MIME-Kodierung (2)§ Multipart-Message mit mehreren Bodyparts, abgegrenztdurch Grenzlinie (boundary)§ Content-Type: multipart/ § Erweiterter Standard für kryptographische Signatur undInhaltsverschlüsselung§ PGP/MIME (OpenPGP , RFC 4880)› Content-Type: multipart/signed und multipart/encrypted§ S/MIME (Secure MIME, RFC 3851)› Content-Type: multipart/signed und application/pkcs7-mime§ In gängigen Mailprogrammen implementiert oderals Plugin verfügbar07.02.2018 E-Mail-Grundlagen Reiner Fischer30
MIME-Kodierung: TextnachrichtRohansicht einer einfachen TextnachrichtReturn-Path: [email protected] Received: from [131.188.78.38] by max6.rrze.uni-erlangen.de with ESMTP [email protected]; Mon, 24 Nov 2003 15:11:19 0100From: Reiner Fischer [email protected] Date: Mon, 24 Nov 2003 15:11:06 0100To: Hans Muster [email protected] Subject: TestMessage-ID: [email protected] User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.4)Gecko/20030624 MIME-Version: 1.0Content-Type: text/plain; charset us-asciiContent-Transfer-Encoding: 7bitContent-Disposition: inlineThis is a test message.07.02.2018 E-Mail-Grundlagen Reiner Fischer31
MIME-Kodierung: Mehrteilige NachrichtRohansicht einer Textnachricht mit Umlauten und AnhangFrom: [email protected]: [email protected]: der Betreff der NachrichtMIME-Version: 1.0Content-Type: multipart/mixed; boundary "example-1"--example-1Content-Type: text/plain; charset "iso-8859-1"Content-Transfer-Encoding: quoted-printableContent-Disposition: inlineBeispiel f FCr einen sch F6nen Nachrichtentext mit Umlauten--example-1Content-Type: image/gif; name "bild.gif"(Art der Nachricht, z.B. Klartext, Bilder.)Content-Transfer-Encoding: base64 (Kodierverfahren)Content-Disposition: attachment; filename "bild.gif N/p7CB3lKDDzmCZrACGsxB2 (B!D(B--example-1-07.02.2018 E-Mail-Grundlagen Reiner Fischer32
MIME-Kodierung: Delivery Status Notification (1)§ Positive DSN: Delivery Confirmation§ Negative DSN: Non-Delivery Report (NDR)§ NDR als Beispiel für eine MIME-kodierte Nachricht§ NDR besteht aus drei Teilen§ 1. Informativer Text mit Ablehnungsgrund§ 2. Detailangaben zur Ablehnung§ 3. Kopfzeilen der ursprünglichen Nachricht07.02.2018 E-Mail-Grundlagen Reiner Fischer33
MIME-Kodierung: Delivery Status Notification (2)Return-Path: To: [email protected]: [email protected]: Delivery failure for [email protected]: multipart/report; report-type delivery-status; boundary defghMIME-Version: 1.0--defghYour message, originally addressed to [email protected],and forwarded from there to [email protected] could not bedelivered, for the following reason:write error to mailbox, disk quota exceeded--defghContent-Type: message/delivery-status07.02.2018 E-Mail-Grundlagen Reiner Fischer34
MIME-Kodierung: Delivery Status Notification (3)Reporting-MTA: Boondoggle.GOVOriginal-Envelope-ID: QQ314159Original-Recipient: rfc822;[email protected]: rfc822;[email protected]: failedStatus: 4.2.2 (disk quota exceeded)--defghContent-Type: message/rfc822-headers(headers of returned message go here)--defgh--07.02.2018 E-Mail-Grundlagen Reiner Fischer35
WIE KANN ICH AUF MEINE-MAIL-POSTFACH ZUGREIFEN?Zugriffsprotokolle POP3 und IMAP
Postfach-Zugriff per POP3 (1)§ Aktueller Standard: POP3 (RFC 1939)§ ergänzt durch RFCs 1957, 2449, 5034§ Download der Mails vom Server auf den lokalen Rechner§ Authentifizierung mit Benutzername und Passwort§ Eingeschränkter Zugriff auf die Mails auf dem Server§ Zugriff nur auf serverseitigen Posteingang (keine weiteren Ordner)§ evtl. Zugriff auf einzelne Mails (bei manchen Mail-Clients)§ Wahlweise Löschen der Mails auf dem Server nach erfolgreichem Download oder Belassen einer Kopie auf dem Server07.02.2018 E-Mail-Grundlagen Reiner Fischer37
Postfach-Zugriff per POP3 (2)Vorteile:§ einfaches Protokoll, wenige Befehle, leicht konfigurierbar§ Offline-Betrieb nach Download§ von praktisch allen Mail-Clients und Providern unterstütztNachteile:§ nur Zugriff auf serverseitigen Posteingangsordner§ unhandlich bei wechselnden Arbeitsplätzen07.02.2018 E-Mail-Grundlagen Reiner Fischer38
Postfach-Zugriff per IMAP (1)§ „Proposed Standard“: RFC 3501 (IMAP4rev1, 2003)§ Updates: RFCs 4314 (IMAP ACL Extension), 4466, 4469, 4551,5550, 7162§ Kein Download der Mails vom Server auf lokalen Rechnernotwendig, aber möglich§ Verwaltung von Mail-Ordnern auf dem Server (Erstellen,Umbenennen, Löschen; Setzen/Löschen von Flags; Suchenvon Mails); Einrichtung von Ordnerfreigaben an andere Nutzer07.02.2018 E-Mail-Grundlagen Reiner Fischer39
Postfach-Zugriff per IMAP (2)§ Zugriff auf Server-Ordner wie auf lokale Ordner§ Offline-Betrieb und Resynchronisation mit dem ServerVorteile:§ Zugriff auf zentrales Postfach von verschiedenenArbeitsplätzen aus (gleiche Sicht unabhängig vom Standort)§ wird von allen gängigen Mail-Clients und den meistenMailprovidern unterstützt07.02.2018 E-Mail-Grundlagen Reiner Fischer40
WELCHE DIENSTE BIETET DASRRZE IM BEREICH E-MAIL AN?Relay-, Postfach-, Groupware-DiensteList Services
E-Mail-Struktur der FAU07.02.2018 E-Mail-Grundlagen Reiner Fischer42
E-Mail-Dienste des RRZE: Übersicht (1)§ FAU-Mailrelay (Postfix AMaViS SpamAssassin)§ Blockierung der Einlieferung durch Hosts, die sich nichtprotokollkonform verhalten oder keinen PTR-Record habenoder auf globalen Blacklists (Spamhaus) stehen§ Greylisting, Viren-/Phishingfilter, Spamanalyse/–markierung§ Recipient Address Validation07.02.2018 E-Mail-Grundlagen Reiner Fischer43
E-Mail-Dienste des RRZE: Übersicht (2)§ List Server (Mailman) lists.fau.de (Stand: 09.01.2018)§ IdM-provisionierte rspezifisch) und Mitarbeiterlisten› 1.218 Listen in Betrieb§ Manuell zu pflegende Listen für Forschung und Lehre› 1.728 Listen in Betrieb07.02.2018 E-Mail-Grundlagen Reiner Fischer44
E-Mail-Dienste des RRZE: Übersicht (3)§ Postfach-Dienst FAUMail (Dovecot)§ Angebot für Studierende sowie für Beschäftigte von Einrichtungender FAU mit Bedarf an reiner E-Mail-Funktionalität§ POP3-/IMAP-/Webmail-Zugang§ Speicherplatz: 2 GB (Beschäftigte), 1 GB (Studierende)§ Backend-Server: Dovecot, Web-Frontend: Roundcube§ Groupware-Dienst (MS Exchange)§ Angebot für Beschäftigte von Einrichtungen der FAU mit Bedarf anKalenderfunktionalität, Terminverwaltung etc.07.02.2018 E-Mail-Grundlagen Reiner Fischer45
E-Mail-Dienste des RRZE: FAU-Mail-Relay (1)§ Hintergrunddienste (für Nutzer weitgehend unsichtbar)§ Zentraler Eintrittspunkt für E-Mail aus dem Internet in die FAU§ „Schutzwall“ für die Mailsysteme innerhalb der FAU undexterner Kunden (blockiert ca. 70% aller Einlieferungsversuchevon extern)§ Verhältnis angenommener zu abgelehnter E-Mails pro Tag§ ca. 90 Tsd. / 217 Tsd. (Jahresmittel 2017)07.02.2018 E-Mail-Grundlagen Reiner Fischer46
E-Mail-Dienste des RRZE: FAU-Mail-Relay (2)„Smart-Relays“:§ für Mail-Server innerhalb FAU-Netz: mailhub.rrze.uni-erlangen.de§ für Mail-Clients§ innerhalb FAU-Netz: smtp.fau.de§ weltweit: smtp-auth.fau.de (nur mit Authentifizierung undVerbindungsverschlüsselung TLS/SSL)§ Systeme, die nur ohne Authentifizierung versenden können,müssen bei [email protected] registriert werden (z.B. Scanner,Kopierer, Faxgeräte etc.) und können dann über smtp.fau.deversenden07.02.2018 E-Mail-Grundlagen Reiner Fischer47
E-Mail-Dienste am RRZE: SMTP/AUTH§ FAU-Mail-Relay kann mit SMTP/AUTH von FAU-Mitgliedernauch bei Internetanbindung über beliebige Provider zumEinliefern von E-Mails genutzt werden§ Konfigurationsdaten für Mailprogramm:§ Postausgangsserver: smtp-auth.fau.de§ Port 587, TLS bzw. STARTTLS aktiviert (bevorzugt)§ Port 465, SSL aktiviert (alternativ)§ Benutzername: IdM-Benutzerkennung oder E-Mail-Adresse§ Passwort: IdM-Passwort07.02.2018 E-Mail-Grundlagen Reiner Fischer48
E-Mail-Dienste des RRZE: POP3-/IMAP-ServerFAUMail-Postfächer› Posteingangsserver: faumail.fau.de› Zugangsdaten: E-Mail-Adresse, E-Mail-Passwort› Port 110 (POP3) bzw. 143 (IMAP) mit TLS/STARTTLS (bevorzugt)› Port 995 (POP3) bzw. 993 (IMAP) mit SSLExchange-Postfächer› Posteingangsserver: groupware.fau.de› Zugangsdaten: Exchange-Benutzerkennung/-Passwort› Port 110 (POP3) bzw. 143 (IMAP) mit TLS/STARTTLS (bevorzugt)› Port 995 (POP3) bzw. 993 (IMAP) mit SSLEmpfohlene Variante für FAUMail: IMAP07.02.2018 E-Mail-Grundlagen Reiner Fischer49
E-Mail-Dienste des RRZE: Webmail-ServerFAUMail§ Webmail-Portal https://faumail.fau.de§ Zugangsdaten: E-Mail-Adresse, E-Mail-PasswortExchange§ Outlook Web App https://groupware.fau.de§ Zugangsdaten: Exchange-Benutzerkennung/-Passwort07.02.2018 E-Mail-Grundlagen Reiner Fischer50
„Gruppen-Mail“ (1)Oberbegriff für die Adressierung mehrerer Empfänger über eineeinzige E-Mail-AdresseVom RRZE angebotene Varianten§ Funktionsverteiler am FAU-Mailrelay / Distribution List unterMS Exchange§ Verteilung an Einzeladressen - ggf. Mehrfachspeicherung07.02.2018 E-Mail-Grundlagen Reiner Fischer51
„Gruppen-Mail“ (2)§ Funktionspostfach unter FAUMail/Shared Mailboxunter MS Exchange§ Speichernde Stelle mit verantwortlicher Person§ Freigabemöglichkeit an weitere Personen§ Funktionalität wie persönliches Postfach§ Vermeidung von „Password Sharing“§ Mailingliste§ Listenverwaltungssystem Mailman (Open Source)§ Mail- und Webinterface für Administratoren und Nutzer§ Umfangreiche Zugriffsschutzmechanismen§ Archiv (öffentlich oder nur für Mitglieder zugänglich)07.02.2018 E-Mail-Grundlagen Reiner Fischer52
Nachrichtenfilter: Übersicht (1)§ Ausführen bestimmter Aktionen mit E-Mails, die vorgegebeneKriterien bzgl. bestimmter Kopfzeilen und/oder Inhalte erfüllen§ Anwendungen§ Spam-Filter, siehe -spam/spam-analyse/§ Sortierfilter› Ordnen der Mail nach Funktionsbereich des Adressaten anhandklassifizierender Zeichenfolgen in Betreffzeile und/oder weiterer Kopfzeilenetc.§ Abwesenheitsnotiz07.02.2018 E-Mail-Grundlagen Reiner Fischer53
Nachrichtenfilter: Übersicht (2)§ Serverseitige Filter (Delivery Filters)§ werden vor der Ablage im Serverpostfach ausgeführt§ FAUMail (Dovecot) unterstützt die Filtersprache ‘Sieve’ (RFC 5228)› erlaubt komplexe serverseitige Filterung, nutzbar über› FAUMail-Webinterface (Einstellungen - Filter)› Sieve-Plugin für Thunderbird (Extras - Sieve-Filter)§ Clientseitige Filter§ werden vom Mailprogramm beim Zugriff auf das Serverpostfachausgeführt§ Beispiel: Mozilla Thunderbird (Extras - Filter)07.02.2018 E-Mail-Grundlagen Reiner Fischer54
Nachrichtenfilter: AbwesenheitsnotizBeispiel: FAUMail (Dovecot)§ Webinterface https://faumail.fau.de§ Menü „Einstellungen“ - „Filter“ - Filtervorlage „Urlaub“› Betreff und Text der Autoantwort eingeben› Datum und Uhrzeit für Beginn und Ende der Autoantwort angeben› Reiter „Erweiterte Einstellungen“› Eigene E-Mail-Adressen, für die der Autoresponder ansprechen soll,mit Komma getrennt eintragen› Antwortintervall in Tagen angeben07.02.2018 E-Mail-Grundlagen Reiner Fischer55
E-Mail-Einstellungen im IdM-Self-Service (1)Beantragung / Verwaltung von Dienstleistungenfür FAU-Mitglieder§ IdM-Portal https://www.idm.fau.de§ Persönliche @fau.de-Adresse beantragen / ändern› Menü „Anfragen / Aufgaben“ - „Dienstleistung“§ Postfach beantragen07.02.2018 E-Mail-Grundlagen Reiner Fischer56
E-Mail-Einstellungen im IdM-Self-Service (2)§ Zustelloptionen (Postfachzustellung / Weiterleitung) ändern§ Menü „Einstellungen“ - „E-Mail“ - Rubrik „E-Mail-Adressen“› Schaltfläche „ “ links neben der E-Mail-Adresse anklicken› „Anzeigen“› Gewünschtes Postfach auswählen und/oder E-Mail-Adresse im Feld„Weiterleitung an eine andere E-Mail-Adresse“ eintragen§ Abonnieren von E-Mail-Themengebieten (Newsletter)§ 02.2018 E-Mail-Grundlagen Reiner Fischer57
E-Mail-Funktionen im IdM-Admin-Portal§ Verwaltung von Zugriffsberechtigungen bei gemeinsamgenutzten Postfächern unter Exchange und FAUMail durchPostfach-Verantwortliche§ Mitgliederverwaltung von Mailinglisten durch List Owner§ bei IdM-prov. Listen: für statisch verwaltete Mitglieder07.02.2018 E-Mail-Grundlagen Reiner Fischer58
E-MAIL-SICHERHEIT§§§§Inhaltsverschlüsselung (E2E-Verschlüsselung)Kryptographische SignaturTransportverschlüsselungAusblick: DANE
E-Mail-Sicherheit: Inhaltsverschlüsselung /Kryptograph. Signatur (1)§ Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung)§ Gewährleistet Vertraulichkeit (nur Adressat kann Inhalt lesen)§ Einschränkung: Kopfzeilen der E-Mail bleiben unverschlüsselt!› Absender, Empfänger, Betreff, liegen im Klartext vor§ Kryptographische Signatur§ Gewährleistet Authentizität und Integrität der E-Mail§ Wird erreicht durch Bildung eines Hash-Wertes über den Inhalt unddessen Verschlüsselung mit geheimem Schlüssel des Senders07.02.2018 E-Mail-Grundlagen Reiner Fischer60
E-Mail-Sicherheit: Inhaltsverschlüsselung /Kryptograph. Signatur (2)§ Beide Maßnahmen liegen in der Hand des Nutzers bzw. seinesE-Mail-Programms§ Heutige Standardverfahren: OpenPGP und S/MIME§ Basieren beide auf Public-Key-Kryptographie, sind zueinanderinkompatibel07.02.2018 E-Mail-Grundlagen Reiner Fischer61
E-Mail-Sicherheit: Transportverschlüsselung (1)§ Secure Sockets Layer (SSL) / Transport Layer Security (TLS)§ Hybridverschlüsselung› Identifikation/Authentifikation der Kommunikationspartner sowieAushandlung eines Sitzungsschlüssels erfolgt mittelsPublic-Key-Kryptographie (asymmetrische Verschlüsselung)› Ver- und Entschlüsselung der Nutzdaten erfolgt jeweils mit demSitzungsschlüssel (symmetrische Verschlüsselung)§ Sicherer Datenkanal zwischen potenziell unsicherenTransportknoten07.02.2018 E-Mail-Grundlagen Reiner Fischer62
E-Mail-Sicherheit: Transportverschlüsselung (2)§ I.d.R. nur Einlieferungsweg für E-Mails zwingend verschlüsselt,die Kommunikation der MTAs untereinander nur optional undvom Nutzer nicht beeinflussbar§ Optimal: Kombination aus Transport- undInhaltsverschlüsselung07.02.2018 E-Mail-Grundlagen Reiner Fischer63
E-Mail-Sicherheit: OpenPGP vs. S/MIME (1)§ OpenPGP („Pretty Good Privacy“)§ Für Daten aller Art geeignet§ Basiert auf mit lokaler Software generierbaren Schlüsselpaaren(Public/Private Key)§ Teilnehmer können sich gegenseitig Vertrauen aussprechen undihre Public Keys signieren (Web of Trust)§ In vielen Programmen per Plugin integrierbar› Thunderbird: via Plugin „Enigmail“› Outlook: via Plugin „GpgOL“ (Teil von Gpg4win)07.02.2018 E-Mail-Grundlagen Reiner Fischer64
E-Mail-Sicherheit: OpenPGP vs. S/MIME (2)§ S/MIME§ Nur für E-Mails geeignet§ Basiert auf von offiziellen Zertifizierungsstellen (CAs) ausgestelltenZertifikaten im X.509-Format§ Hierarchische Zertifizierungskette, deren Zertifikate allesamtim Mailprogramm installiert sein müssen§ In vielen Programmen integriert§ Thunderbird: einfach nutzbar§ Outlook: gut integriert07.02.2018 E-Mail-Grundlagen Reiner Fischer65
E-Mail-Sicherheit: OpenPGP§ Standardisiertes Datenformat für verschlüsselte undkryptographisch signierte Daten (RFC 4880, Nov. 2007)§ Hauptanwendung: Signierung und Verschlüsselung von E-Mails§ Prinzipiell zur Verschlüsselung beliebiger Daten geeignet§ Formate bei E-Mail-Verschlüsselung:§ PGP/INLINE› E-Mail wird als Text-Mail erzeugt, welche die Signatur bzw. denverschlüsselten Inhalt in Radix64-kodierter Form ( Base64 Prüfsumme)enthält§ PGP/MIME› Digitale Signatur bzw. verschlüsselter Inhalt wird als eigener MIME-Partin die E-Mail integriert07.02.2018 E-Mail-Grundlagen Reiner Fischer66
E-Mail-Sicherheit: S/MIME§ Secure/MIME (RFC 3851, Juli 2004)§ Zweck: Kryptographische Signierung und Inhaltsverschlüsselungvon E-Mails§ Basiert auf Zertifizierungshierarchie (Wurzelzertifikat - Zwischenzertifikate - Nutzerzertifikat)§ Beispiel: FAU: Telekom Root-CA - DFN-CA - FAU-CA§ Beantragung eines Nutzerzertifikats für dienstliche Belangean der FAU: /07.02.2018 E-Mail-Grundlagen Reiner Fischer67
E-Mail-Sicherheit: OpenPGP mit Thunderbird (1)§ OpenPGP für Thunderbird: Plugin „Enigmail“§ Stellt Menü „Enigmail“ zur Verfügung› Einrichtung über „Einrichtungsassistent“ oder manuell über„Einstellungen“§ Freie OpenPGP-Implementierung GnuPG (Gnu Privacy Guard)§ In Linux-Distributionen bereits enthalten§ Für Windows über http://www.gpg4win.de erhältlich› vom Bundesamt für Sicherheit in der Informationstechnik (BSI)beauftragt07.02.2018 E-Mail-Grundlagen Reiner Fischer68
E-Mail-Sicherheit: OpenPGP mit Thunderbird (2)§ Zunächst Schlüsselpaar erzeugen und geheimen Schlüsselmit Passphrase sichern oder bereits vorhandenesSchlüsselpaar importieren§ Menü „Enigmail“ - „Schlüssel verwalten“§ OpenPGP für E-Mail-Konto aktivieren§ Kontextmenü „Einstellungen“ - „OpenPGP-Sicherheit“§ Schlüssel auswählen› via E-Mail-Adresse oder Empfängerregeln07.02.2018 E-Mail-Grundlagen Reiner Fischer69
E-Mail-Sicherheit: S/MIME mit Thunderbird§ Zertifikat in Thunderbird importieren§ Einstellungen - Erweitert - Zertifikate§ S/MIME für E-Mail-Konto aktivieren§ Konto markieren - Kontextmenü „Einstellungen“- S/MIME-Sicherheit› Digitale Unterschrift› Zertifikat auswählen (falls mehrere vorhanden)› Nachrichten digital unterschreiben (als Standard)› Verschlüsselung› Zertifikat auswählen (falls mehrere vorhanden)› Standard-Verschlüsselung: Nie07.02.2018 E-Mail-Grundlagen Reiner Fischer70
Schwachpunkte bei TLS / OpenPGP / S/MIME (1)§ Schwachpunkte bei TLS§ Aushebeln der Verschlüsselung durch Man-in-the-Middle-Angriffmöglich (Herausfiltern des STARTTLS-Kommandos)§ Zertifikatsausstellung/-prüfung› Jede Zertifizierungsstelle (CA) darf Zertifikate für jeden Hostnamenausstellen› Gefährdung der einwandfreien Identifikation des Kommunikationspartners,sobald eine CA nachlässig arbeitet / prüft§ DNS-Cache-Poisoning (Einschleusen falscher Informationen)07.02.2018 E-Mail-Grundlagen Reiner Fischer71
Schwachpunkte bei TLS / OpenPGP / S/MIME (2)§ Schwachpunkte bei OpenPGP§ Schlüsselverteilung› Jeder kann Schlüssel für jede E-Mail-Adresse auf Schlüsselserverhochladen› Manuelle Schlüsselüberprüfung (Fingerprint) ratsam, aber nichtzwingendFazit: Vermeintlich gesichert übertragene Daten könnenin unbefugte Hände gelangen07.02.2018 E-Mail-Grundlagen Reiner Fischer72
Lösung: DANE (1)DNS-based Authentication of Named Entities§ Protokollfamilie, die DNSSEC-Infrastruktur zur Authentisierungverwendet (RFCs 6698 (2012); Updates: 7218 (2014), 767
REGIONALES RECHENZENTRUM ERLANGEN [RRZE] E-Mail-Grundlagen Netzwerkausbildung – Praxi
