Willkommen im User-Forum von mailbox.org
 

HKPS-Server für eigene Domains verwenden - setzen eines DNS-Eintrages für eigene Domain

7842928 hat dies geteilt, 2 Jahren her
beantwortet

mailbox.org schreibt:

Wer seine eigene Domain auf mailbox.org umgelenkt hat kann PGP-Clients
ermöglichen, den zuständigen PGP-Server von mailbox.org automatisch
finden zu können, um Keys von dort zu beziehen. Dazu muß ein spezieller
SRV-DNS-Record werden, hier am Beispiel der Domain example.com:


_hkps._tcp.example.com. IN SRV 1 1 443 pgp.mailbox.org.
Kann mir jemand erklären, wie das in der Praxis abläuft? Also die DNS-Einstellung wurde für die eigene Domain getätigt, ich schreibe jemandem über meine PGP-Adresse eine Mail und was macht dann sein Client? Wie wird was beim PGP-Server von mailbox.org abgeglichen?

Vielen Dank :-)

Kommentare (6)

Foto
1

> ... und was macht dann sein Client?...

Garnichts.

Es gibt keine PGP-Tools, die automatisch aus dem DNS-Eintrag den HKP-Server wählen und dort nach einem passenden Key schauen. Es wäre möglich, soetwas zu programmieren, aber leider hat das noch keiner gemacht.

Außerdem wird "Auto-Key-Locate" (egal welches Verfahren) von vielen Security Experten kritsich gesehen, da es ein Web-Bug ähnliches Tracking von E-Mail Empfängern ermöglicht. Man kann dem Empfänger eine signierte E-Mail schicken und dafür einen neuen Key verwenden. Wenn der Empfänger ein Auto-Key-Locate Verfahren nutzt, würde er automatisch beim Lesen der E-Mail den Key vom Keyserevr abrufen und wenn der Angreifer den Keyserver kontrolliert, kann er erkennen, wann und wo die Mail gelesen wurde. Somit stellt sich für viele Security Experten die Frage, ob man das automatische fetchen von Keys wirklich will - bisher warnt man meist davor.

Foto
1

Super, vielen Dank für die schnelle und ausführliche Antwort!!

Dann sehe ich in dem DNS-Eintrag aktuell keinen Mehrwert...

Foto
1

Ein kleiner Nachtrag:

Ich hab grad getestet, wie die Verschlüsselung im Webmailer umgesetzt ist. Beim Verfassen einer Mail und klicken auf das Schlosssymbol oben recht wird, wenn im OX-Guard kein offentlicher PGP-key vorhanden ist, eine erste Guard-Willkommensnachricht mit Passwort sowie eine zweite Nachricht mit Link auf den OX-Guard an den Empfänger verschickt. Dieser kann sich dann in seiner "eigenen" Guard-Oberfläche über den Link via Eingabe des Passwortes einloggen und die Nachricht lesen.

Wäre es denn ein Mehrwert, wenn zumindest der Webmailer automatisiert auf dem mailbox.org-keyserver nach public-keys der Empfänger-Mailadresse sucht und diese automatisiert importiert?? Wenn der keyserver auch von Nicht-mailbox.org-Kunden genutzt werden könnte hätten wir doch hier einen erheblichen Mehrwert, oder?? Ich weiß, dies passt nicht so 100%ig auf meinen Eingangsthread, geht aber irgendwie in die gleiche Richtung der automatischen Suche nach dem keyserver und automatischen keyimports...

Ist dies evtl. eine Idee wert??

Foto
1

Das funktioniert bereits. Der Webmailer sucht automatisiert nach den Keys von anderen mailbox.org Kunden und findet diese auch (anhand der E-Mail Adresse).

Man kann nur einen Key verwenden, wenn der empfänger zwar den Guard nutzt, Ihnen aber als Kontakt einen E-Mail Alias sendet, für den kein Key hinterlegt ist, dann wird auch nichts gefunden.

Foto
2

Sehr gut! Es freut mich, dass dies bereits Webmailer so umgesetzt ist.

Schicke ich jedoch eine Mail an einen Empfänger (mailbox.org oder woanders) und klicke auf das Schlosssymbol, bekomme ich kein Feedback welche Verschlüsselung letztlich verwendet wird (Guard-Zugang mit Passwort oder PGP-Mail). Theoretisch könnte doch jeder, auch Nicht-Kunden, seinen key auf dem mailbox.org-Server veröffentlichen, oder? Wenn ich also PGP-Mail präferiere und die sichere Guard-Mail gar nicht haben möchte, könnte ich dies nicht erkennen.

Foto
1

Doch, das ist erkennbar, siehe Artikel zum Guard: Verschlüsselte E-Mail versenden

Nicht-Kunden könne keine Schlüssel auf dem mailbox.org Keyserver veröffentlichen.

Wenn sie im Webinterface eine verschlüsselte E-Mail schreiben, dann werden die Keys für die Verschlüsselung in mehreren Keyrings in folgender Reihenfolge gesucht:

1) Ihr individueller Public Keyring

2) Die freigebenen Public Keys von anderen Nutzern in Ihrem Context (nur für Familien-Accounts)

3) Die Public Keys anderer mailbox.org Nutzer

Nur die Keys von Punkt 3. werden auch von unserem Keyserver bereitgestellt.

Foto