Trauriger bic fragwürdiger e-Mailsicherheit

Es gibt 7 Antworten in diesem Thema, welches 1.090 mal aufgerufen wurde. Der letzte Beitrag () ist von bic.

    bic

    Bevor du ein anderes Thema vollspamst:


    Du kannst natürlich für dich in Frage stellen, ob es eine Transportverschlüsselung bei e-Mails braucht. Warum man das bei Webseiten, Bankgeschäften und anderer Kommunikation nun durchgängig nutzt, wenn´s ja niemand abfangen und auslesen kann, kannst du mir bestimmt in deiner unerschöpflichen Weisheit bestimmt erzählen.


    Wie du deine Kommunikation mit deinen Kunden gestaltest, ist deine Sache. Wie schon gesagt, habe ich kein Mitleid mehr, wenn Leute gehackt werden, weil sie auf eine falsche Mail bzw. deren Anhang geklickt haben.

    Es ist auch davon auszugehen, das du bzw. dein Kunde gerne Papier (Vertrag, Angebot, Auftrag, Protokolle, usw.) unterschrieben, das ganze einscannen und per Mail versenden. Dann hast du ein Dokument z.B. als PDF das du / er wieder ausdruckt oder digital speichert, die Mail ist dann nur der Transportweg. Alleine schon deswegen sollte eine e-Mail mit dem Best Practice (oder wie es so schön heißt: dem stand der Technik) abgesichert werden.

    Andernfalls wäre eine E-Mail im geschäftlichen Bereich völlig untauglich und du und dein Kunde hätte sich per Mail nichts zu schreiben, da nichts verbindlich ist. Dann hätten die wenigsten Firmen aber e-Mail-Adressen, da sie sinnlos sind.

    Auch so lustige Sachen wie Accounts mit 2fa und das wieder herstellen von vergessenen Passwörtern wird in der Regel per Mail gemacht, die du wohl in jeder erdenklichen Form von jedem annimmst ohen den Absender zu validieren.


    Vielleicht solltest du mit deinem Kunden auch mal darüber reden, wer für Schäden aufkommt, wenn was passiert (ach was, ist ja noch nie was passiert und wird auch nie was passieren). Diese Überlegungen bekommen Firmen erst, wenn etwas passiert ist. Ist ja nicht so, das es immer mehr Firmen "erwischt" und es deshalb mittlerweile auch auf EU ebene entsprechende Richtlinien geben wird.

    Du kannst dich natürlich darauf hinausreden, das du zu klein bist oder das es immer die anderen trifft. Mag alles sein, einen Sicherheitsgurt oder Helm legst du auch nicht an, weil die Fahrt dann angenehmer ist.


    Bei deiner "Herangehensweise" ist es wohl aber besser, wenn du und dein Kunde keine Mails versenden. Hoffentlich bezieht sich auch keiner von auch jemals wieder auf eine Mail vom...


    Aber gut, ich bin auf die allwissende Weisheit des bic gespannt.

    Zitat

    Nun, dagegen hilft auch nicht, wenn ich meine zu versendende Mails verschlüssle, denn die Gefahr, dass "der Angreifer" mitliest, geht ohnehin gegen Null (an welcher Stelle sollte er dies auch tun?) Helfen würde lediglich, nicht verifizierbare Mails abzulehnen. Dies würde jedoch bedeuten, mal gleich die Kommunikation mit bestimmt 3/4 meiner Geschäftspartner abzulehnen. Hier mal das Ergebnis der Header-Analyse eines meiner nicht so ganz unbedeuteten Geschäftspartners:

    Das Internet wird automatisch mitgelesen und das nicht zu knapp. Das geht sogar so extrem simpel, dass man das gerade in einem Netzwerkforum verstehen sollte: Mirror Port

    Damit kann man ganze Telefongespräche mithören und abspeichern, ohne dass das irgendjemand mitbekommt. Früher(tm) gab es noch wenigstens ein Knacken in der Leitung ....


    Ich blockiere Mails ohne gültigen SPF, fehlerhaften rDNS und ohne TLS. Die Kunden, die sich deswegen beschweren, sind gegen Null bei uns.

    Weiterführende Checks nehme ich mit, schmeiße die Mails dann aber in Quarantäne.


    Ideal wären ja saubere Übertragungswege UND verschlüsselte Nachrichten, aber dieses Wunschdenken habe ich aufgegeben.


    Ich bin ehrlich gesagt schockiert, wie man so ein Verhalten verteidigen will, obwohl insb. in den letzten Jahren extreme Vorfälle und dass massenhaft eingeschlagen sind.

    Gott sei dank...

    ich dachte schon, ich bin der einzige der Wert auf eine sichere Kommunikation legt.

    ganz sicher nicht!

    Und im Geschäftlichen Umfeld muss man das Thema ernst nehmen. Im privaten sollte man.


    Aber wenn Du mich fragst: E-Mail ist eigentlich eine Krücke mit vielen Krankheiten an der seit Jahrzehnten jedes Medikament versucht wird. Gesund wird sie aber nie mehr werden.

    Zitat von awmst4

    kannst du mir bestimmt in deiner unerschöpflichen Weisheit bestimmt erzählen.

    Nun bleib mal auf dem Teppich und werde nicht persönlich - das steht Dir nicht zu.


    An sonst - Dein und LachCraft Sicherheitsbedürfnis in allen Ehren, nur kollidiert dies -zugegebener Weise- leider mit dem der restlichen Welt und wenn man meint, dies machen zu können:

    Zitat von LachCraft

    Ich blockiere Mails ohne gültigen SPF, fehlerhaften rDNS und ohne TLS. Die Kunden, die sich deswegen beschweren, sind gegen Null bei uns.

    scheint man ja nicht auf Kunden angeweisen zu sein - mit einem Schlüsselkunden machst Du das ganz sicher nicht. Der kommt nämlich ganz schnell auf die Idee zu schauen, ober er am Markt Ersatz für Dich findet und den findet er auch. Dann hast du zwar blitzsaubere Mails, aber Mieße auf dem Konto.

    Ich bin mir ja nach Lektüre des anderen Themas noch immer nicht sicher, ob ihr wirklich vom gleichen redet.

    Nur mal so als Beispiel, Transportverschlüsselung bei Mails ist Standard und machen 98(?)%. E-Mail-Verschlüsselung ist eine Nische, machen 5(?)%.


    Einen eigenen MX zu betreiben ist das eine, einem Mail-Adresse mit eigener Domain zu haben, was anderes.

    Uwe ich habe beides, ich denke auch, das bic ebenfalls beides als Firma hat.


    bic

    Der Sarkasmus kommt bei deiner Einstellung und den ausreden zum Thema Sicherheit einfach mit, Sorry.

    Du wirst doch auch (hoffe ich zumindest) kritische Worte für deinen Kunden finden, wenn dieser mit dir auf eine Baustelle fahren will und das zu nutzende Auto essentielle Sicherheitsdefizite hat. Oder setzt du dich einfach rein und sagst wird schon nicht schief gehen?!


    Man kann einen Kunden auch auf technische Mängel in deren System ansprechen und ggf. einen Kontakt vermitteln, im die Situation zu verbessern. Wenn nicht, sagt das sehr viel über die Kundenbeziehung aus.

    Mir geht es auch nicht darum, das du mit deinen Kunden irgendwie mailst wie 1985. Mir geht es darum, das du diese Haltung, das dies ok wäre, auf biegen und brechen verteidigst, sogar eine Diskussion mit mir dazu anfängst und etablierte Sicherheitstechniken wie TLS in Frage stellst.


    Der Schaden der durch Spam und Phishingmails entstehen kann ist real und er kann ganze Firmen in den Ruin treiben.

    LachCraft hat es schön wiedergegeben! Ein derartiges verhalten ist legitim für die heutige Zeit und kann von einem Mailserver auch eingefordert werden!

    Zitat von awmst4

    Der Sarkasmus kommt bei deiner Einstellung und den ausreden zum Thema Sicherheit einfach mit, Sorry.

    Nix mit sorry, wir sind hier nicht auf Twitter und was den Sarkasmus anbelangt, solltest Du mal noch bißchen üben - das, was du da von Dir gegeben hast, war einfach nur unverschämt - aber sei es drum.

    Zitat von awmst4

    Man kann einen Kunden auch auf technische Mängel in deren System ansprechen und ggf. einen Kontakt vermitteln, im die Situation zu verbessern. Wenn nicht, sagt das sehr viel über die Kundenbeziehung aus.

    Ich glaube, da leben wir in verschiedenen Welten und ohne das nun näher ausführen zu wollen, meine Kunden -besser Auftraggeber- sind i.d.R. sehr empfindlich gegenüber Ratschlägen, für welche sie nicht (fürstlich) bezahlen. Da hat Dich wohl das Wort "Baustellenprrotokoll" auf eine falsche Fährte gesetzt.