ubuntuusers.de

Hi, aufgrund der geringen Verbreitung von PGP/GPG sträuben sich einige Leute ihre Mails zu verschlüsseln. Da ich meine Mails soweit es geht verschlüssle, aber nicht möchte dass jemand durch unverschlüsselte Mails die an mich gesendet werden an vertrauliche Informationen gelangt, stellt sich mir die Frage wie man das unterbinden kann. Am besten wäre es wohl wenn der Mailserver den man benutzt automatisch alle unverschlüsselten Mails ablehnen würde und ggf. eine Mail mit dem öffentlichen Schlüssel und der Aufforderungen diesen zu benutzen zurücksenden würde. Gibt es soetwas bereits?

Merkuras schrieb:

Am besten wäre es wohl wenn der Mailserver den man benutzt automatisch alle unverschlüsselten Mails ablehnen würde und ggf. eine Mail mit dem öffentlichen Schlüssel und der Aufforderungen diesen zu benutzen zurücksenden würde. Gibt es soetwas bereits?

Jein. Es gibt eine Vielzahl von Spam-Filter, die man entsprechend anpassen könnte.

Wenn aber aller PGP/GPG benutzen - wie sollen sie dann in Zukunft Spam ausfiltern? Dann bliebe als einziges Merkmal nur noch die Herkunft und die Größe der Emails über. Der Rest wäre ja verschlüsselt und erst auf deinem Rechner als Spam erkennbar.

Außerdem: Willst du das wirklich? Es gibt sehr viele DAUs, die mit solchen technischen Dingen verschlüsselt sind. Willst du mit solchen Menschen nicht in Kontakt bleiben? Und was ist mit den ganzen unverschlüsselten Emails von amazon, ebay, oder was auch immer,...

Red Radish schrieb:

Wenn aber aller PGP/GPG benutzen - wie sollen sie dann in Zukunft Spam ausfiltern? Dann bliebe als einziges Merkmal nur noch die Herkunft und die Größe der Emails über. Der Rest wäre ja verschlüsselt und erst auf deinem Rechner als Spam erkennbar.

Das würde man in Kauf nehmen, da der lokale E-Mailclient die Nachrichten dann entschlüsseln und auf Spam prüfen könnte. Alternativ könnte man das Entschlüsselungs-Passwort auf dem Mailserver hinterlegen, was aber ein zu großes Sicherheitsrisiko wäre.

Red Radish schrieb:

Willst du mit solchen Menschen nicht in Kontakt bleiben? Und was ist mit den ganzen unverschlüsselten Emails von amazon, ebay, oder was auch immer,...

Nein, eigentlich nicht. Wieso sollte ich auf unsicher Weiße mit Leuten kommunizieren die zu faul sind einen virtuellen Briefumschlag zu benutzen? Normale Briefpost wäre das trotz alle Nachteile sicherer. Amazon, Ebay, usw. würden sicher auch verschlüsselte Mails versenden wenn das allgemein Standard wäre, das Problem ist dass es nur von wenigen genutzt wird.

Die Idee dahinter ist, dass es technisch weniger bewanderten Menschen gegenüber leichter ist mit der technischen Unmöglichkeit(auch wenn die künstlich erzeugt wird) unverschlüsselte Mails anzunehmen zu argumentieren, als mit dem schlichten Unwillen dies zu tun. Außerdem kann man so auch recht einfach die Entscheidung ob eine Kommunikation mit de jeweiligen Person Sinn macht auf diese Abwälzen.

Ich frage mich nur, warum du deine Mails verschlüsseln willst, oder besser gesagt, nur verschlüsselte Mails erhalten willst.

Bei vertraulichen Daten wäre die Verschlüsselung verständlich, aber ansonsten? Angst von jemandem abgehört zu werden?

Falls es dir darum geht, dass niemand unterwegs die Mails manipulieren kann, sollte ja eine Signierung reichen, aber offensichtlich willst du nicht, dass jemand deine Nachrichten überhaupt lesen kann.

Und nochwas, PGP/GPG-Verschlüsselung hat mit einem reellen Briefumschlag nicht wirklich was zu tun. Deinen Briefumschlag kann auf dem Postweg jeder beliebige aufmachen, ihn lesen, vielleicht sogar manipulieren, und ihn dann wieder schließen und weiterschicken.

Verboten ist das Abfangen von Daten im Internet genauso, wie auf dem Postweg, aber wie willst du es beweisen...

Aber zu deiner Frage: Ja, es ist mit diversen Mailfiltern möglich (z.B. procmail).

Ich frage mich nur, warum du deine Mails verschlüsseln willst, oder besser gesagt, nur verschlüsselte Mails erhalten willst.

Ich möchte hier eigentlich nicht über den Sinn des ganzen streiten, da das ganze wahrscheinlich sowieso nicht praxistauglich ist. Wenn man nur vertrauliche Inhalte verschlüsselt kennzeichnet man solche ja schon als vertraulich, wenn alles verschlüsselt ist kann man von außen nicht erkennen was vertraulich und was belanglos ist.

Und nochwas, PGP/GPG-Verschlüsselung hat mit einem reellen Briefumschlag nicht wirklich was zu tun.

Ich weiß, der Vergleich ist nicht wirklich gut, aber ein Briefumschlag bietet dennoch mehr Sicherheit als eine unverschlüsselte Mail, die von jedem "Postboten" gelesen werden kann.

Verboten ist das Abfangen von Daten im Internet genauso, wie auf dem Postweg

Wenn es erlaubt wäre würde das auch nichts an der Tatsache ändern dass eine Verschlüsselung bei vertraulichen Inhalten sinnvoll wäre.

Merkuras schrieb:

Ich frage mich nur, warum du deine Mails verschlüsseln willst, oder besser gesagt, nur verschlüsselte Mails erhalten willst.

Ich möchte hier eigentlich nicht über den Sinn des ganzen streiten, da das ganze wahrscheinlich sowieso nicht praxistauglich ist. Wenn man nur vertrauliche Inhalte verschlüsselt kennzeichnet man solche ja schon als vertraulich, wenn alles verschlüsselt ist kann man von außen nicht erkennen was vertraulich und was belanglos ist.

Na und? Dann erkennt man von außen, dass die unverschlüsselten belanglos sind und die verschlüsselten vertraulich sind. Und nun? Die belanglosen Sachen interessieren nicht und die vertraulichen kann ich ohne den private Key eh nicht lesen. Also muss ich die Relevanz einer vollständigen Verschlüsselung aller Mails in Frage stellen. De facto ist das ganze eh nicht umsetzbar, wie du es schon so schön gesagt hast. Ständiges Passphrase-Getippe ist für den klassischen DAU, der einfach nur seine Mail schreiben will nicht umbedingt wünschenswert.

Aber zurück zur Frage: Willst du nun Hilfe bei der Erstellung eines solchen Filters?

Merkuras schrieb:

Hi, aufgrund der geringen Verbreitung von PGP/GPG sträuben sich einige Leute ihre Mails zu verschlüsseln.

Das ist ja wohl die Untertreibung des Jahrhunderts. Wenn ich einen solchen Filter benutzen würde, hätte ich noch mit genau einer Person mailkontakt.

patlkli schrieb:

Aber zurück zur Frage: Willst du nun Hilfe bei der Erstellung eines solchen Filters?

Es wird zwar nicht wirklich von nutzen sein, aber es wäre nicht uninteressant zu wissen wie man das macht. Kann man da ähnlich wie bei ganz normalen Spam die Black- oder Whitelist mit bestimmten Begriffen füttern?

Merkuras schrieb:

Es wird zwar nicht wirklich von nutzen sein, aber es wäre nicht uninteressant zu wissen wie man das macht. Kann man da ähnlich wie bei ganz normalen Spam die Black- oder Whitelist mit bestimmten Begriffen füttern?

Begriffe? Wenn du die Mail verschlüsselst wirds mit filterbaren Begriffen knapp werden. Außer dem Betreff wirst du da wohl kaum was finden...

Die Aussortierung der nicht-verschlüsselten Mails wird grundsätzlich nur über die PGP-Marker "BEGIN PGP MESSAGE" und "END PGP MESSAGE" erfolgen.

Also zum Beispiel mit procmail als Filter mögliche .procmailrc's:

:0B
* !^-----BEGIN PGP MESSAGE-----$
/dev/null
:0B
* !^-----END PGP MESSAGE-----$
/dev/null

Löscht alle nicht-verschlüsselten Mails unwiderruflich

:0B
* !^-----BEGIN PGP MESSAGE-----$
.unverschluesselt/
:0B
* !^-----END PGP MESSAGE-----$
.unverschluesselt/

Schiebt alle unverschlüsselten Mails in den Mail-Ordner "unverschluesselt"

Zum Rücksenden einer Verschlüsselungsaufforderung mit dem öffentlichen Schlüssel müsste man sich dann wohl besser ein Skript schreiben und das dann per Procmail füttern. Wenn du daran Interesse hast, sag Bescheid, sollte nur ne Sache von 5 Minuten sein.

Ja, eine Verschlüsselungsaufforderung zurück zu senden wäre sicher nicht schlecht. Schon mal vielen Dank für die Erklärungen und die procmail-Regeln.

Nun gut, damit du deinen öffentlichen Schlüssel anhängen kannst, musst du ihn erstmal als *.asc irgendwo speichern. Da sich die Schlüssel ja aber auch ändern können, würde ich vorschlagen, den Key direkt vor dem Senden per Skript zu exportieren. Außerdem brauchst du einen konsolenbasierten Mail-Client, der Anhänge unterstützt. Dazu installiere bitte mutt:

sudo apt-get install mutt

Allerdings werde ich in dem Skript hier die Verschlüsselungsaufforderung NICHT signieren, erstens aus dem Grund, dass Mutt mit PGP/MIME nicht ganz ohne ist, und zweitens, weil viele populäre Mail-Clients PGP/MIME standardmäßig nicht unterstützen. Sie dann also nur "This is an OpenPGP/MIME encrypted message (RFC 2440 and 3156)" sehen können. Ohne PGP/MIME sieht die Mail allerdings sehr abschreckend aus und wird gerne als Spam gewertet oder einfach direkt gelöscht.

Sprich: Wir sind in diesem Fall nicht das ideale Beispiel, aber nur zum Wohle des GPG/PGP-DAUs. 😉

Nun denn, hier das Skript:

#!/bin/sh

full_mail=$(cat -)
to_header=$(echo "$full_mail" | egrep "^To:" | cut -c 5-)
from_header=$(echo "$full_mail" | egrep "^From:" | cut -c 7-)
mail_body=$(echo "$full_mail" | egrep -A 2140000000 "^$" | sed 's/^/> /g' | sed 's/$/\\n/g' | sed 's/^ *//g')

english="English: Your message to \"$to_header\" has been delivered, but we want to let you know that we strongly prefer PGP/GPG encrypted or at least PGP/GPG signed messages.\nSo please encrypt future messages to this email address with the attached public key.\nThank You!"
german="Deutsch: Ihre Nachricht an \"$to_header\" wurde zugestellt, allerdings wollen wir sie darüber informieren, dass wir PGP/GPG verschlüsselte oder zumindest PGP/GPG signierte Nachrichten sehr vorziehen würden.\nAlso bitten wir sie darum, zukünftige Nachrichten an diese EMail-Adresse mit dem angehängten öffentlichen Schlüssel zu verschlüsseln.\nDanke!"

answer_text="$english \n\n$german \n\nOriginale Nachricht / Original Message:\n $mail_body"

gpg -a --output /tmp/mail-gpg-key.asc --export <Schlüssel-ID oder Name>
echo $answer_text | mutt -a /tmp/mail-gpg-key.asc -s "Bitte verschlüsseln... / Please encrypt..." '$from_header'
rm /tmp/mail-gpg-key.asc

In der vorletzten Zeile bitte die gewünschte mitzuschickende Key-ID angeben.

Dann muss noch die .procmailrc angepasst werden:

:0B
* !^-----BEGIN PGP MESSAGE-----$
| sh /pfad/zum/skript
:0BE
* !^-----END PGP MESSAGE-----$
| sh /pfad/zum/skript

Hier muss noch der Pfad zum Skript angepasst werden.

Und nun viel Spaß mit dem Skript. Garantie geb ich dir keine. 😉 Und Gewährleistung auch nicht. ☺

Vielen Dank dass du dir die Zeit dazu genommen hast. ☺ 👍

Kein Problem, allerdings weiß ich nicht ganz, ob die procmailrc so richtig funktioniert. Hast du sie ausprobiert?