Viele Mail-Programme anfällig für neue Spam-Tricks

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
21 messages Options
12
Reply | Threaded
Open this post in threaded view
|

Viele Mail-Programme anfällig für neue Spam-Tricks

Daniel-6

Durch spezielle Kodierung lassen sich Anti-Spam-Techniken austricksen. Spammer können dem Empfänger damit einen beliebigen, vertrauensfördernden Absender vorgaukeln. Ein Forscher demonstriert das ausgerechnet mit Trumps "[hidden email]".

Eines der zentralen Probleme von E-Mail ist, dass deren Absenderadressen nicht wirklich vertrauenswürdig sind, sondern sich sogar recht leicht fälschen lassen. Mit Hilfe von Anti-Spam-Techniken wie DMARC (DKIM/SPF) können Mail-Server solche Tricksereien jedoch mittlerweile oft entlarven und die Mails als Spam erkennen oder gleich ganz abweisen. Durch zusätzliche Tricks könnten Spammer das jedoch umgehen...

Quelle: https://www.heise.de/security/meldung/Viele-Mail-Programme-anfaellig-fuer-neue-Spam-Tricks-3909230.html


smime.p7s (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Patrick Ben Koetter-2

Wir werden alle sterben!


Am 05.12.2017 um 23:36 schrieb Daniel:

Durch spezielle Kodierung lassen sich Anti-Spam-Techniken austricksen. Spammer können dem Empfänger damit einen beliebigen, vertrauensfördernden Absender vorgaukeln. Ein Forscher demonstriert das ausgerechnet mit Trumps "[hidden email]".

Eines der zentralen Probleme von E-Mail ist, dass deren Absenderadressen nicht wirklich vertrauenswürdig sind, sondern sich sogar recht leicht fälschen lassen. Mit Hilfe von Anti-Spam-Techniken wie DMARC (DKIM/SPF) können Mail-Server solche Tricksereien jedoch mittlerweile oft entlarven und die Mails als Spam erkennen oder gleich ganz abweisen. Durch zusätzliche Tricks könnten Spammer das jedoch umgehen...

Quelle: https://www.heise.de/security/meldung/Viele-Mail-Programme-anfaellig-fuer-neue-Spam-Tricks-3909230.html


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 

smime.p7s (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Ralf Hildebrandt
* Patrick Ben Koetter <[hidden email]>:
> *Wir werden alle sterben!*

Das ist ein ECHTES Problem in Firmen...

Microsoft Outlook 2016 MACOS WINDOWS

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Christian Felsing-2
Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt:
> Das ist ein ECHTES Problem in Firmen...
>

Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer
S/MIME Signatur?

Das würde übrigens auch das CEO Fraud Thema zumindest bei E-Mails
weitgehend erledigen, sofern alle Mails von Mitarbeitern und
Geschäftsleitung ohne gültige Signatur verworfen werden.

Viele Grüße
Christian

BTW: So etwas wie Let's Encrypt müsste auch mal für S/MIME kommen.

smime.p7s (6K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Bjoern Meier
hi,

Am 6. Dezember 2017 um 13:14 schrieb Christian Felsing <[hidden email]>:

BTW: So etwas wie Let's Encrypt müsste auch mal für S/MIME kommen.


Es würde doch schon genügen, wenn man gegenseitig der Root-CA vertraut. 

Mit freundlichem Gruss
Bjoern Meier




Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Andreas Schulze
In reply to this post by Christian Felsing-2
Am 06.12.2017 um 13:14 schrieb Christian Felsing:
> BTW: So etwas wie Let's Encrypt müsste auch mal für S/MIME kommen.

zumindest wird schon an den Grundlagen gearbeitet:

https://tools.ietf.org/html/draft-ietf-acme-email-smime-01

--
A. Schulze
DATEV eG
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Werner Flamme
In reply to this post by Christian Felsing-2
Christian Felsing [06.12.2017 13:14]:
> Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt:
>> Das ist ein ECHTES Problem in Firmen...
>>
>
> Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer
> S/MIME Signatur?

Meine Firma bietet das jedem User an, meine Dienstmails gehen so auch
raus. Aber die Masse will nicht:
 * man muss alle alten Zertifikate aufbewahren, weil man sonst seine
alten Mails selbst nicht mehr entschlüsseln kann.
 * man hat Einrichtungsaufwand (bei uns arbeiten Wissenschaftler, die
haben für so einen IT-Kram keine Zeit) *haarerauf*.
  * man hat bei vielen Mailclients das Problem, dass sie mit S/MIME
nicht umgehen können und entweder nur garbled content zeigen oder die
Anzeige ganz unterlassen. Unter iOS mag es gehen, aber Android?

Die IT-Abteilung sendet komplett mit S/MIME. Das kleine Flag, das beim
Thunderbird dann angezeigt wird, wird von den übrigen Usern aber ignoriert.

> Das würde übrigens auch das CEO Fraud Thema zumindest bei E-Mails
> weitgehend erledigen, sofern alle Mails von Mitarbeitern und
> Geschäftsleitung ohne gültige Signatur verworfen werden.

Ja. Aber auch der GL ist das einmalige Einrichten und der Austausch des
Zertifikats alle 3 Jahre zu umständlich. Und CEO Fraud wird hier fast
täglich gemeldet.

> BTW: So etwas wie Let's Encrypt müsste auch mal für S/MIME kommen.

Verschlüsselung krankt hauptsächlich an der Einrichtung, weniger an den
Zertifikaten. Aber das wäre schon gut, ja.

Werner

--



signature.asc (484 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Ralf Hildebrandt
* Werner Flamme <[hidden email]>:

> Christian Felsing [06.12.2017 13:14]:
> > Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt:
> >> Das ist ein ECHTES Problem in Firmen...
> >>
> >
> > Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer
> > S/MIME Signatur?
>
> Meine Firma bietet das jedem User an, meine Dienstmails gehen so auch
> raus. Aber die Masse will nicht:

>  * man muss alle alten Zertifikate aufbewahren, weil man sonst seine
> alten Mails selbst nicht mehr entschlüsseln kann.

Daran scheitern die meisten schon (Rechner reinstall,Rechner verloren
etc.)

>  * man hat Einrichtungsaufwand (bei uns arbeiten Wissenschaftler, die
> haben für so einen IT-Kram keine Zeit) *haarerauf*.

Außerdem ist es nichtganz einfach. Wenn es schwerer als Arschabwischen
ist, geht die Bereitschaft gegen 0.

>   * man hat bei vielen Mailclients das Problem, dass sie mit S/MIME
> nicht umgehen können und entweder nur garbled content zeigen oder die
> Anzeige ganz unterlassen. Unter iOS mag es gehen, aber Android?

Stimmt, da gibt es einige.
 
> Verschlüsselung krankt hauptsächlich an der Einrichtung, weniger an den
> Zertifikaten.

Stimmt.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Bjoern Meier
hi,

Am 6. Dezember 2017 um 16:44 schrieb Ralf Hildebrandt <[hidden email]>:
* Werner Flamme <[hidden email]>:
> Christian Felsing [06.12.2017 13:14]:
> > Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt:
> >> Das ist ein ECHTES Problem in Firmen...
> >>
> >
> > Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer
> > S/MIME Signatur?
>
> Meine Firma bietet das jedem User an, meine Dienstmails gehen so auch
> raus. Aber die Masse will nicht:

>  * man muss alle alten Zertifikate aufbewahren, weil man sonst seine
> alten Mails selbst nicht mehr entschlüsseln kann.

Daran scheitern die meisten schon (Rechner reinstall,Rechner verloren
etc.)

Darum find ich ciphermail so gut. Kommt mit automatischem Backup der PKI (inklusive keys).
auch mit CSR. Kann man Zertifikate hinterlegen. Der ganze Einrichtungsprozess bleibt administrativ.

 
>  * man hat Einrichtungsaufwand (bei uns arbeiten Wissenschaftler, die
> haben für so einen IT-Kram keine Zeit) *haarerauf*.

Außerdem ist es nichtganz einfach. Wenn es schwerer als Arschabwischen
ist, geht die Bereitschaft gegen 0.


s. o. 

 
>   * man hat bei vielen Mailclients das Problem, dass sie mit S/MIME
> nicht umgehen können und entweder nur garbled content zeigen oder die
> Anzeige ganz unterlassen. Unter iOS mag es gehen, aber Android?

Stimmt, da gibt es einige.

Das ist allerdings ein trauriges Thema.
 

> Verschlüsselung krankt hauptsächlich an der Einrichtung, weniger an den
> Zertifikaten.

Stimmt.

Präziser: es krankt an der Einrichtung beim Benutzer. Deswegen wollte ich diesen Prozessteil abkoppeln.


Mit freundlichem Gruss
Bjoern Meier


Reply | Threaded
Open this post in threaded view
|

AW: Viele Mail-Programme anfällig für neue Spam-Tricks

Daniel-6
In reply to this post by Werner Flamme
Gebe dir da völlig recht. Wer anders meinte ja, man könne gegenseitig ja CA vertrauen? Ganz sich nicht, zu Aufwändig, denn müsste in jedem Gerät passieren, Desktop, Mobil und dass nach jeder neuen Einrichtung, ggf. für jeden einzelnen User ect.

Da wäre wohl smimea noch besserer Weg.

Gruß Daniel


-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Werner Flamme
Gesendet: Mittwoch, 6. Dezember 2017 15:33
An: [hidden email]
Betreff: Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Christian Felsing [06.12.2017 13:14]:
> Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt:
>> Das ist ein ECHTES Problem in Firmen...
>>
>
> Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer
> S/MIME Signatur?

Meine Firma bietet das jedem User an, meine Dienstmails gehen so auch
raus. Aber die Masse will nicht:
 * man muss alle alten Zertifikate aufbewahren, weil man sonst seine
alten Mails selbst nicht mehr entschlüsseln kann.
 * man hat Einrichtungsaufwand (bei uns arbeiten Wissenschaftler, die
haben für so einen IT-Kram keine Zeit) *haarerauf*.
  * man hat bei vielen Mailclients das Problem, dass sie mit S/MIME
nicht umgehen können und entweder nur garbled content zeigen oder die
Anzeige ganz unterlassen. Unter iOS mag es gehen, aber Android?

Die IT-Abteilung sendet komplett mit S/MIME. Das kleine Flag, das beim
Thunderbird dann angezeigt wird, wird von den übrigen Usern aber ignoriert.

> Das würde übrigens auch das CEO Fraud Thema zumindest bei E-Mails
> weitgehend erledigen, sofern alle Mails von Mitarbeitern und
> Geschäftsleitung ohne gültige Signatur verworfen werden.

Ja. Aber auch der GL ist das einmalige Einrichten und der Austausch des
Zertifikats alle 3 Jahre zu umständlich. Und CEO Fraud wird hier fast
täglich gemeldet.

> BTW: So etwas wie Let's Encrypt müsste auch mal für S/MIME kommen.

Verschlüsselung krankt hauptsächlich an der Einrichtung, weniger an den
Zertifikaten. Aber das wäre schon gut, ja.

Werner

--



smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Bjoern Meier
hi,


Am 6. Dezember 2017 um 21:04 schrieb Daniel <[hidden email]>:
Gebe dir da völlig recht. Wer anders meinte ja, man könne gegenseitig ja CA vertrauen? Ganz sich nicht, zu Aufwändig, denn müsste in jedem Gerät passieren, Desktop, Mobil und dass nach jeder neuen Einrichtung, ggf. für jeden einzelnen User ect.

Da wäre wohl smimea noch besserer Weg.

Gruß Daniel


wait what? Du würdest das manuell machen? Okay. Dann habe ich natürlich nichts gesagt, für sowas hätte ich definitiv keine Zeit. 

Mit freundlichem Gruss
Bjoern Meier



Reply | Threaded
Open this post in threaded view
|

AW: Viele Mail-Programme anfällig für neue Spam-Tricks

Daniel-6
Der Client muss ja das selbst signierte Zertifikat verifizieren können, und dazu muss halt an jedem Gerät wo Client verwendet wird dieses installiert werden.

Warnmeldungen will der Benutzer erst recht nicht, ist ja eh alles denen schon zu Aufwändig. ;-)

Klar man könnte Zertifikate auch teils via Skripte im Windows Profil vom Server laden oder sonst was, aber willst ganzen Aufwand wirklich.

Und dass ganze dann für jeden Absender den man verwendet, also für ein persönlich, dann noch eins ggf. fürs team Postfach, oder Vertretung von dessen noch usw.

Man muss die Leute teils einfach zu zwingen, beim Benutzer Login verzichtet man doch auch nicht mehr wirklich komplett auf Passwörter weils einfacher ist.

Und wenn es wem egal ist, hänge seine Abrechnung an Pinnwand/schwarze Brett, ungeschützt Kommunikation scheinen dem Mitarbeiter ja egal zu sein. ;-)

Leider setzen zuwenige smime ein, obwohl es sämtliche Mail Clienten können ohne Plugins ect. . Schaffen teils ja nicht mal Banken oder so ihre Mails zu signieren geschweige zu verschlüsseln, und erwarten dann halt den Postweg.

Beim ursprünglichen Beitrag ging es aber eher um gefälschte Absender durch base64 Codierung, und nicht um Zertifikate.

Gruß Daniel

Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Bjoern Meier
Gesendet: Mittwoch, 6. Dezember 2017 21:40
An: Diskussionen und Support rund um Postfix
Betreff: Re: Viele Mail-Programme anfällig für neue Spam-Tricks

hi,


Am 6. Dezember 2017 um 21:04 schrieb Daniel <[hidden email]>:
Gebe dir da völlig recht. Wer anders meinte ja, man könne gegenseitig ja CA vertrauen? Ganz sich nicht, zu Aufwändig, denn müsste in jedem Gerät passieren, Desktop, Mobil und dass nach jeder neuen Einrichtung, ggf. für jeden einzelnen User ect.

Da wäre wohl smimea noch besserer Weg.

Gruß Daniel


wait what? Du würdest das manuell machen? Okay. Dann habe ich natürlich nichts gesagt, für sowas hätte ich definitiv keine Zeit.


Mit freundlichem Gruss
Bjoern Meier




smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Winfried Neessen
Hi,

Am 06.12.2017 um 22:25 schrieb Daniel <[hidden email]>:

> Und wenn es wem egal ist, hänge seine Abrechnung an Pinnwand/schwarze Brett, ungeschützt
> Kommunikation scheinen dem Mitarbeiter ja egal zu sein. ;-)
>
Sinnvoller waere es m. E. solche Dokumente nicht ueber ein Protokoll zu verteilen, das aus den 80ern
stammt und keine sichere Kommunikation bietet.

> Leider setzen zuwenige smime ein, obwohl es sämtliche Mail Clienten können ohne Plugins ect. .
>
Und dann sind da wieder die Firmen, die keine "Clients" nutzen, sondern auf Webmail Interfaces
setzen und dann wieder keinen S/MIME Support haben. Den Einwand mit dem S/MIME Support
unter Android hatten wir ja schon...


Winni

smime.p7s (1K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Andreas Czerniak
Moin Winni,

>> Leider setzen zuwenige smime ein, obwohl es sämtliche Mail Clienten können ohne Plugins ect. .
>>
>Und dann sind da wieder die Firmen, die keine "Clients" nutzen, sondern auf Webmail Interfaces
>setzen und dann wieder keinen S/MIME Support haben. Den Einwand mit dem S/MIME Support
>unter Android hatten wir ja schon...

Die Aussage kann ich aktuell nicht unterstützen, da ich in etlichen Kollaborations-Projekten zusammen mit Kunden drauf achte, dass S/MIME von PC/Notebook über Mobile Devices und WebMail-Interfaces Unterstütztung findet. Die Einschränkung findet aktuell in Browsern auf mobilen Devices statt. Hier existiert mir noch keine bekannte Lösung, die dies unterstützt.

bis dann
Andreas.


--
"multihoming is like driving your own car rather than taking the bus" - Iljitsch van Beijnum
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Winfried Neessen
Hi Andreas,

Am 07.12.2017 um 07:32 schrieb Andreas Czerniak <[hidden email]>:

>> Und dann sind da wieder die Firmen, die keine "Clients" nutzen, sondern auf Webmail Interfaces
>> setzen und dann wieder keinen S/MIME Support haben. Den Einwand mit dem S/MIME Support
>> unter Android hatten wir ja schon...
>
> Die Aussage kann ich aktuell nicht unterstützen, da ich in etlichen Kollaborations-Projekten zusammen
> mit Kunden drauf achte, dass S/MIME von PC/Notebook über Mobile Devices und WebMail-Interfaces
> Unterstütztung findet. Die Einschränkung findet aktuell in Browsern auf mobilen Devices statt. Hier
> existiert mir noch keine bekannte Lösung, die dies unterstützt.
>

Hier wird z. B. Zimbra eingesetzt. Das unterstuetzt generell auch S/MIME, benoetigt dafuer aber Java
6 oder 7 aktiviert im Browser- was quasi einem Schuss in den Fuss gleichkommt.

Ich glaube zusammenfassend kann man sagen, dass S/MIME eine nette Idee ist, aber bei Client
Integrationen halt das Ganze nicht wartbar ist und bei Server Integrationen halt der Sicherheitsgedanke
kompromittiert wird.

Winni


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Werner Flamme
In reply to this post by Bjoern Meier
Bjoern Meier [06.12.2017 16:53]:

> hi,
>
> Am 6. Dezember 2017 um 16:44 schrieb Ralf Hildebrandt <
> [hidden email]>:
>
>> * Werner Flamme <[hidden email]>:
>>> Christian Felsing [06.12.2017 13:14]:
>>>> Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt:
>>>>> Das ist ein ECHTES Problem in Firmen...
>>>>>
>>>>
>>>> Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer
>>>> S/MIME Signatur?
>>>
>>> Meine Firma bietet das jedem User an, meine Dienstmails gehen so auch
>>> raus. Aber die Masse will nicht:
>>
>>>  * man muss alle alten Zertifikate aufbewahren, weil man sonst seine
>>> alten Mails selbst nicht mehr entschlüsseln kann.
>>
>> Daran scheitern die meisten schon (Rechner reinstall,Rechner verloren
>> etc.)
>
>
> Darum find ich ciphermail so gut. Kommt mit automatischem Backup der PKI
> (inklusive keys).
> auch mit CSR. Kann man Zertifikate hinterlegen. Der ganze
> Einrichtungsprozess bleibt administrativ.
Ja. Und die Benutzeroberfläche ein Rätsel. Das ist keine Software für
Otto Normaluser.

>>>   * man hat bei vielen Mailclients das Problem, dass sie mit S/MIME
>>> nicht umgehen können und entweder nur garbled content zeigen oder die
>>> Anzeige ganz unterlassen. Unter iOS mag es gehen, aber Android?
>>
>> Stimmt, da gibt es einige.
>>
>
> Das ist allerdings ein trauriges Thema.

Das fing schon beim Webclient zur Maillösung an. Oracle Communication
Suite kann mit S/MIME umgehen, aber das integrierte Webfrontend konnte
es lange nicht.

>>> Verschlüsselung krankt hauptsächlich an der Einrichtung, weniger an den
>>> Zertifikaten.
>>
>> Stimmt.
>
>
> Präziser: es krankt an der Einrichtung beim Benutzer. Deswegen wollte ich
> diesen Prozessteil abkoppeln.

Das geht mit vertretbarem Aufwand maximal bei der Erstinstallation. Es
ist aber ein Heidenaufwand, das Ablaufen der Zertifikate zu überwachen
und die "administrativ" zu tauschen. Zumal wenn Deine User zwar in der
Regel, aber nicht ausschließlich, ein bestimmtes Frontend benutzen
(Thunderbird), und das auf Windows (7-10), MacOS, Linux. Es gibt bei uns
nur Empfehlungen für alles, keine Vorschriften.

Ich bin in solchen Momenten heilfroh, nur für SAP zuständig zu sein und
nicht für die Enduserbetreuung ;)

Werner

--



signature.asc (484 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Werner Flamme
In reply to this post by Andreas Czerniak
Andreas Czerniak [07.12.2017 07:32]:

> Moin Winni,
>
>>> Leider setzen zuwenige smime ein, obwohl es sämtliche Mail
>>> Clienten können ohne Plugins ect. .
>>>
>> Und dann sind da wieder die Firmen, die keine "Clients" nutzen,
>> sondern auf Webmail Interfaces setzen und dann wieder keinen S/MIME
>> Support haben. Den Einwand mit dem S/MIME Support unter Android
>> hatten wir ja schon...
>
> Die Aussage kann ich aktuell nicht unterstützen, da ich in etlichen
> Kollaborations-Projekten zusammen mit Kunden drauf achte, dass S/MIME
> von PC/Notebook über Mobile Devices und WebMail-Interfaces
> Unterstütztung findet. Die Einschränkung findet aktuell in Browsern
> auf mobilen Devices statt. Hier existiert mir noch keine bekannte
> Lösung, die dies unterstützt.
Wenn ich von meinem Androiden über einen Browser auf das Webfrontend
unserer Mailanwendung (Oracle Communications Suite) zugreife, kann ich
die Mails inzwischen sehen. Und wenn sie nur unterschrieben sind, kann
ich sie auch lesen. Nur wenn sie verschlüsselt sind... das Webfrontend
hat ja zum Glück meinen privaten Schlüssel nicht ;) (und kann m. W. auch
nicht damit umgehen).

Naja, Android-Handys sind ja auch keine von der Firma vorgegebene
Ausstattung, hier gibt es nur eiPhones.

Werner
--



signature.asc (484 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Bjoern Meier
In reply to this post by Werner Flamme
Hi,

bisher finde ich die Argumentionen hier ziemlich traurig. Alles was ich lese ist ein rumgeweine darüber, dass Benutzer sich nicht den Aufwand machen sich mit Verschlüsselung auseinanderzusetzen und zur selben Zeit äußern sich die Mail-Admins hier auf der Liste, dass Sie nicht gewillt sind, selbst den Aufwand zu betreiben. Kein Wunder also, dass Encryption nicht vorrankommt und auf Heise Whatsapp als trauriges, aber positives (Es ist traurig, weil es ein Beispiel ist, dass mit der eigentlich Problematik - der Diversitität - nichts zu tun hat)  Beispiel herhalten muss.

Ich finde es erschütternd, dass es hier Admins gibt, die ein Problem darin sehen das Ablaufdatum zu überwachen. Mal davon ab, dass das super einfach per Skript zu überwachen wäre, erinnert mich z. B. die PSW Group automatisch daran.  Ab einer gewissen Menge würde ich dann die Zertifikate eh 3 Jahre laufen lassen. Wenn man einen effizienten Prozess hat, kann man das alle 3 Jahre schon mal machen. Ich verstehe schon, wer mehr als 500 Benutzer hat, der steht vor einem komplexen - aber lösbaren -  Problem. 

Mir ist klar, dass S/MIME alles andere als elegant ist. Das Problem ist nicht S/MIME, sondern der "Trust-Path". Teures Schlangenöl ohne echten Mehrwert für die Ende-zu-Ende Verschlüsselung.

Lediglich meine subjektive Meinung dazu.

Was die mobilen Geräte betrifft: funktioniert SCEP mit einer MDM für euch überhaupt nicht? Bisher hatte ich damit nur gute Erfahrung.

Mit freundlichem Gruss
Bjoern Meier






Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Werner Flamme
Bjoern Meier [07.12.2017 10:01]:

> Hi,
>
> bisher finde ich die Argumentionen hier ziemlich traurig. Alles was ich
> lese ist ein rumgeweine darüber, dass Benutzer sich nicht den Aufwand
> machen sich mit Verschlüsselung auseinanderzusetzen und zur selben Zeit
> äußern sich die Mail-Admins hier auf der Liste, dass Sie nicht gewillt
> sind, selbst den Aufwand zu betreiben. Kein Wunder also, dass Encryption
> nicht vorrankommt und auf Heise Whatsapp als trauriges, aber positives (Es
> ist traurig, weil es ein Beispiel ist, dass mit der eigentlich Problematik
> - der Diversitität - nichts zu tun hat)  Beispiel herhalten muss.
Ich bin in dieser Firma kein Mailadmin.

> Ich finde es erschütternd, dass es hier Admins gibt, die ein Problem darin
> sehen das Ablaufdatum zu überwachen. Mal davon ab, dass das super einfach
> per Skript zu überwachen wäre, erinnert mich z. B. die PSW Group
> automatisch daran.  Ab einer gewissen Menge würde ich dann die Zertifikate
> eh 3 Jahre laufen lassen. Wenn man einen effizienten Prozess hat, kann man
> das alle 3 Jahre schon mal machen. Ich verstehe schon, wer mehr als 500
> Benutzer hat, der steht vor einem komplexen - aber lösbaren -  Problem.

Das Ablaufdatum zu überwachen ist trivial. Die darauf folgende nötige
Aktion ist es nicht.

Das Problem ist sicher technisch lösbar. Ich schrieb von einem
vertretbaren Aufwand. Wir haben einen Mailadmin, der nebebei auch
Webadmin und LDAP-Verantwortlicher ist. Und Gruppenleiter
RZ-Basisdienste. Der hat ganz sicher andere Sorgen, als den Usern den
A... abzuwischen. Das ist bei knapp 1500 Personen (= Usern) hier im Haus
ohnehin etwas aufwändiger.

Wenn die User sich Gedanken über die Problematik machen, finden sie im
Intranet Schritt-für-Schritt-Anleitungen und bei den zuständigen
Kollegen vom Endpointservice auch erfahrene und geduldige Berater und
Unterstützer. Das Zertifikat selbst ist i.d.R. in wenigen Minuten
ausgestellt. Wir haben eine CA, die über den DFN von Telekom CA2
zertifiziert ist, die Sache mit selbstsigniert und ähnlichem Kram
entfällt also.

Aber wir sind nicht dafür da, den Wissenschaftlern hier im Haus das
Denken abzunehmen. Service anbieten ja, und die Installation ist in
wenigen Minuten erledigt. Aber hinterherrennen und zwangsweise
einrichten gibt es hier nicht.

Wie soll ich denn administrativ auch herausbekommen, welcher der x
installierten Mailclients auf dem Client-Host verwendet wird? Soll ich
das Zertifikat bei jedem Client in den jeweiligen Zertifikatsspeicher
prügeln? Woher weiß ich überhaupt, an welchem Rechner der User arbeitet?
Viele haben einen Laptop mit Linux, was von der aktuellen
Arbeitsplatzerfassungssoftware mangels funktionierendem Agent ignoriert
wird. Da kann ich gar keine zentralen Befehle abschicken. Aber arbeitet
der User überhaupt mit dem Laptop oder verbindet er sich eher mit seiner
Windows-VM? Bzw. wo nutzt er überhaupt den Mailclient?

Sicher, technisch lösbar. Nur: mit vertretbarem Aufwand nicht.

> Mir ist klar, dass S/MIME alles andere als elegant ist. Das Problem ist
> nicht S/MIME, sondern der "Trust-Path". Teures Schlangenöl ohne echten
> Mehrwert für die Ende-zu-Ende Verschlüsselung.

Wer S/MIME macht, ohne eine allgemein anerkannte CA dahinter zu haben,
hat andere Probleme... Alternativ gibt es PGP. Wer einen Mailclient hat,
der beides kann, sieht keinen Unterschied. Wer nicht...

> Lediglich meine subjektive Meinung dazu.
>
> Was die mobilen Geräte betrifft: funktioniert SCEP mit einer MDM für euch
> überhaupt nicht? Bisher hatte ich damit nur gute Erfahrung.

Das funktioniert für die eiFons. Mehr interessiert hier in der Firma nicht.

Ich bin aber kein Firmeneifonbesitzer, also hatte ich den Spaß, mir das
Zertifikat manuell auf Android zu installieren, da ich gelegentlich doch
mal unterwegs Firmenmails lesen muss. Der Spaß bestand zunächst darin,
erst mal eine Software zu finden, die überhaupt mit S/MIME umgehen kann.
Danach musste das Zertifikat in den Zertifikatsspeicher importiert
werden. Und das zu einer Zeit, als Ciphermail noch lange nicht
Ciphermail hieß... Der Aufwand ist für Otto Normaluser nicht zumutbar.



--



signature.asc (484 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viele Mail-Programme anfällig für neue Spam-Tricks

Rainer Wiesenfarth
In reply to this post by Bjoern Meier
Hallo Ihr,

da ich (privat) selbst S/MIME einsetze, verfolge ich die Diskussion mit. Allerdings stelle ich fest, dass all die Vorschläge ziemlich nutzlos sind wenn ein Unternehmen - so wie mein Arbeitgeber - beschließt, die Google Dienste zu nutzen.

Google will kein S/MIME (und auch nichts anderes), weil die Inhalte dann nicht mehr gefiltert werden können. Selbst eine Unterschrift wird nicht geprüft, sondern als unbekanntes Attachment angezeigt. Andere "Große" verfolgen wohl einen ähnlichen Ansatz.

Heißt für mich: Für eine flächendeckende Lösung gibt es keine Lobby, daher ist das vergebene Liebesmüh.

Ich lasse mich aber gerne auch vom Gegenteil überzeugen.

Grüße Rainer

--
Software Engineer | Trimble Imaging Division
Rotebühlstraße 81 | 70178 Stuttgart | Germany
Office +49 711 22881 0 | Fax <a href="tel:+49%20711%202288111" value="+497112288111" target="_blank">+49 711 22881 11
http://www.trimble.com/imaging/ | http://www.inpho.de/

Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim
Eingetragen beim Amtsgericht Darmstadt unter HRB 83893,
Geschäftsführer: Dr. Frank Heimberg, Jürgen Kesper
12