aus GenWiki, dem genealogischen Lexikon zum Mitmachen.
Zur Navigation springen
Zur Suche springen
|
|
Zeile 40: |
Zeile 40: |
| Einstellmöglichkeiten in TNG extrem benutzerunfreundlich, weil z.B. die | | Einstellmöglichkeiten in TNG extrem benutzerunfreundlich, weil z.B. die |
| Verschlüsselte Übertragung (siehe b) nicht ausgewählt, sondern das | | Verschlüsselte Übertragung (siehe b) nicht ausgewählt, sondern das |
| Verschlüsselungsverfahren manuell eingetippt werden muss. Hier gibt es | | Verschlüsselungsverfahren manuell eingetippt ("none", "ssl" oder "tls"). Hier gibt es Verbesserungsbedarf. |
| Verbesserungsbedarf. | |
| |rowspan="2" valign="top"| | | |rowspan="2" valign="top"| |
| e) '''Einschränkung der Mailserver-Benutzer'''<br /> | | e) '''Einschränkung der Mailserver-Benutzer'''<br /> |
Version vom 8. März 2019, 20:51 Uhr
a) Verschlüsselung von E-Mails
Hier gibt es die Verschlüsselung, die der Absender vornimmt und die nur der
Empfänger wieder entschlüsseln kann. Dazu muss der Absender für jeden
Empfänger den Schlüssel kennen, mit dem die Mails an diesen Empfänger
verschlüsselt werden muss. In TNG müsste es dazu die Möglichkeit geben, zu
jedem eingetragenen Benutzer einen Schlüssel zu hinterlegen. Da es jedoch
kaum Personen gibt, die einen solchen Schlüssel haben, ist das eher nicht
zielführend. Hinzu kommt, dass selbst bei dieser Verschlüsselung
Absenderadresse, Empfängeradresse und Betreff im Klartext übertragen werden.
Die Verschlüsselung bezieht sich nur auf den Inhalt.
|
b) Verschlüsselte Übertragung von E-Mails
Man kann Mailserver und E-Mail-Programm so einstellen, dass eine Mail
verschlüsselt übertragen wird. Dazu benötigt man keine besonderen Schlüssel.
Dies Verfahren ist heute Standard. Wenn eine Mail über mehrere Server
übertragen wird, dann wird sie vom Mailprogramm verschlüsselt, vom 1.
Mailserver entschlüsselt, vom 1. Mailserver neu verschlüsselt und dem 2.
Mailserver übergeben usw. - Das heißt: Die Mail liegt auf dem jeweiligen
Server unverschlüsselt herum. Daher löst dies auch keines der hier
angesprochenen Probleme.
|
c) Versand über php-Script
Früher war es üblich, dass der Versand von Mails aus
Content-Management-System, Foren usw. mit einem php-Script erledigt wurde.
Dieses Script ist eine Software, die einen eigenen Mini-Mailserver mitbringt
und darüber Mails verschickt. Da diese Art der Verschickung oft von Spammern
missbraucht wird, werden solche Mails oft von scharf eingestellten
Mailservern nicht angenommen. Man muss deshalb davon abraten, Mails auf
diese Art zu verschicken.
|
d) Versand über SMTP
TNG bietet die Möglichkeit, den Mailversand über einen SMTP-Server
abzuwickeln. Dann agiert TNG wie ein normales Mailprogramm. Man gibt seine
E-Mail-Zugangsdaten in TNG ein, TNG loggt sich auf den Mailserver ein und
übergibt die Mail zur weiteren Versendung. Soweit ich das sehe, sind die
Einstellmöglichkeiten in TNG extrem benutzerunfreundlich, weil z.B. die
Verschlüsselte Übertragung (siehe b) nicht ausgewählt, sondern das
Verschlüsselungsverfahren manuell eingetippt ("none", "ssl" oder "tls"). Hier gibt es Verbesserungsbedarf.
|
e) Einschränkung der Mailserver-Benutzer
Man kann bei jeder E-Mail-Domain einstellen, wer Mails von dieser Domain aus
verschicken darf. Die Einstellungen dafür gibt es im DNS-Eintrag der Domain
und nennt sich SPF. Dort werden erlaubte Absender-Server eingetragen. Wenn
der Eintrag nicht gesetzt ist, darf "jeder" Mails mit dieser Domain als
Absender verschicken. Es ist deshalb sinnvoll, den SPF-Eintrag zu setzen.
Gleichwohl gibt es noch viele Mailserver, die den SPF-Eintrag nicht
auswerten und alles verschicken. - Eine weitere Möglichkeit zur
Einschränkung ist DKIM. Dabei wird eine Mail vom ersten Mailserver signiert
und alle anderen Mailserver können anhand der Signatur erkennen, ob diese
Mail tatsächlich vom zuständigen Mailserver verschickt wurde. Auch DKIM wird
nicht von allen Mailservern unterstützt.
|
f) https für die Website
Man kann TNG über https betreiben. Dafür muss aber ein Zertifikat auf dem
Webserver installiert werden. Viele Hoster liefern pro Paket 1 kostenloses
SSL-Zertifikat mit. Bei anderen Hostern kann man mit wenigen Klicks ein
kostenloses "Let's-Encrypt"-Zertifikat einrichten. Es gibt auch Hoster, die
ausschließlich kostenpflichtige SSL-Zertifikate anbieten (ab 20 EUR
jährlich). Solange ein solches Zertifikat nicht für die TNG-Domain
eingerichtet ist, kann man den Stammbaum auch nicht über https aufrufen.
Wenn ein SSL-Zertifikat eingerichtet ist, bedeutet das, dass die Verbindung
zwischen Browser und Webserver verschlüsselt wird. Ohne SSL-Zertifikat kann
z.B. der Besitzer eines öffentlichen WLANs den Datenverkehr zwischen Browser
und Webserver mitlesen. Mit SSL-Zertifikat geht das nicht mehr. - Es gibt
teure SSL-Zertifikate, die dem Besucher einer Website zusichern, dass die
Website von einer bestimmten Person oder Firma betrieben wird. Aber i.d.R.
macht ein SSL-Zertifikat nichts anderes, als die Verbindung zu
verschlüsseln. Damit ist klar, dass die Website selbst durch ein solches
Zertifikat nicht sicherer wird. Es bietet also keinen Schutz davor, dass
jemand ins TNG einbricht und Daten klaut.
|
g) Zugriffe sperren
Man kann in jedes Verzeichnis (oder nur ins Hauptverzeichnis) eine Datei mit
dem Namen ".htaccess" legen. Diese Datei regelt den Zugriff auf den Ordner
bzw. die Website über http und https. Dort lassen sich IP-Bereiche
aussperren, Kennwörter setzen usw.
|
aus TNG-L: unerlaubter Mailversand: Verschlüsselung, SMTP, SPF, https <email>Friedhelm Pielage</email>