[Eisfair] Domain-Handling

Rolf Bensch azubi at bensch-net.de
Di Nov 6 14:19:33 CET 2018 

Hallo Marcus,

Am 05.11.18 um 18:21 schrieb Marcus Roeckrath:
> Hallo Rolf,
> 
> Rolf Bensch wrote:
> 
>> Ich verstehe das so, dass ein DynDNS-Provider für einen DNS-Namen einen
>> MX-Record registrieren kann und man darüber einen eigenen Eisfair-Server
>> als Mailserver erreichbar machen kann. Was ist da der Vorteil gegenüber
>> dem direkten Zugriff auf den Server über den DynDNS-Namen? Eine feste IP
>> und damit verbunden ein dauerhaft gültiges Zertifikat? Oder gibt es
>> weitere Vorteile?
> 
> Wenn du einen dyndns-Service nutzt, der auch MX-Records erlaubt, hast du
> deswegen keine feste internationale IP.

das ist klar.

> Auch der MX-Record zeigt dann auf deine gerade aktuelle IP und wird bei
> deren Änderung schlicht nachgeführt - das macht ja gerade ein
> dyndns-Dienst.

Das war mir so nicht klar. Ich hatte vermutet, dass der Domain-Provider 
ein redirect auf meinen Server durchführt. Jetzt erscheint mir das so, 
dass der MX-Record direct auf öffentliche DNS-Server wirkt, d.h. mein 
Home-Server auch immer direkt angesprochen wird. Damit erklärt sich dann 
auch der Umgang mit dem Zertifikat.

Wie verhält es sich dann aber mit den sendenden Clients oder Servern? 
Wird das durchgängig akzeptiert, dass ein anderer Server antwortet als 
man angerufen hat?

> Mit einem Zertifikat hat das auch nichts zu tun; du kannst dir problemlos
> ein letencrypt-Zertifikat für einen dyndns-Namen erstellen lassen, auf
> welche IÜ das dann verweist ist egal.
> 
>> Gleichzeitig ist aber auch
>> das Thema Sicherheit mehr und mehr gewachsen. Wieviel Sicherheit kann
>> man im privaten Bereich noch selbst stemmen? Oder überlässt man Teile
>> davon einem Provider seines Vertrauens?
> 
> Wenn dann, dem Provider des geringsten Misstrauens.

:-))

> Ich würde einer lokalen Lösung da sicherheitstechnisch den Vorzug geben;
> welcher Provider war denn noch nicht in den Schlagzeilen, weil er Daten
> seiner Kunden verloren hat?

Die kleinen und die ganz kleinen Provider. Wohl zum einen weil die 
mögliche Schadensfläche für Angreifer zu gering wird, zum anderen aber 
sicher auch, weil die Presse sich nicht drauf stürzt. Vermutlich ist 
aber die Angriffsfläche auf Clients ohnehin um ein vielfaches höher.

Grüße Rolf

Mehr Informationen über die Mailingliste Eisfair