RalphS schrieb:
Wird hier nicht bissel zuviel durcheinandergeworfen? 🤔
Ich glaube dir ist gerade das passiert....du wirfst hier sehr merkwürdige Dinge durch die Gegend - die zwar nicht falsch sind, aber irgendwie komplett am Thema vorbei...
RalphS schrieb:
2. SMTP ist natürlich NICHT die Authentifizierung. SMTP kann keine Authentifizierung. Es gab mal irgendwann angeflanschte Erweiterungen. Aber SMTP ist und bleibt Klartext.
Also Punkt 1: Was hat Authentifizierung mit Klartext zu tun? Punkt 2: Ja, das original RFC 1982 hat keine Authentication in SMTP vorgesehen, da hast Recht, d.h. jeder Mailserver hat alle Mails ausgeliefert. Dass das eine schlechte Idee ist, hat man schnell erkannt und deswegen gab es ja früher schon Mechanismen wie Pop-before-SMTP und auch im SMTP RFC von 2008 ist Authentication erwähnt.
"
If these rules are followed, the example in
RFC 821 that shows "550
access denied to you" in response to an EXPN command is incorrect
unless an EHLO command precedes the EXPN or the denial of access is
based on the client's IP address or other authentication or
authorization-determining mechanisms."
Also das hat nichts mit Klartext zu tun
RalphS schrieb:
SMTP ist, wenn man so will, auf derselben Stufe wie HTTP zu suchen. Kann jeder reinlangen. Eventuelle Integritätsprüfungen und andere "Vorkehrungen" sind ausschließlich am Endpunkt definierbar und sind dort wegen Interopabilität optional.
Ich weiß zwar was du meinst, aber darum geht es doch überhaupt nicht. Davon abgesehen, kannst du deinen SMTP Server natürlich dazu verpflichten, nur TLS zu sprechen um den Transportweg zu verschlüsseln. Dürfte in der Realität halt noch ein paar Probleme geben. Aber es geht nicht um den Transportweg von E-Mails und es geht auch nicht um E-Mailverschlüsselung hier.
RalphS schrieb:
Am Ende wird die Mail spätestens am nächsten Hop entschlüsselt, auch über TLS egal in welcher Implementierung. Jeder(!) mit Zugriff auf die Maildaten an einem Unterwegsbahnhof hat Zugriff auf die Mails und kann sie ändern --- was meint ihr wohl, warum Mails per se kein rechtssicheres Kommunikationsmittel sind?
Es geht hier nicht um E-Mails oder um rechtssichere Kommunikation. Es geht einzig und allein darum wie sich ein Client (Programm, Mensch, Script) bei einem SMTP authentifiziert, damit er E-Mails über diesen SMTP Server verschicken darf. Ob die E-Mail verschlüsselt ist mit PGP, ob der Transportweg verschlüsselt ist, das spielt alles keine Rolle. Es geht einzig und allein um die Authentifizierung des Clients gegenüber dem Mailserver. Und wir sprechen hier auch nur vom versenden - hat mit IMAP und POP3 auch nichts zu tun.
Sind ja auch getrennte Komponenten auf einem Mailserver.