home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / protocol / tcpip / 3891 < prev    next >
Encoding:
Internet Message Format  |  1992-07-29  |  3.3 KB
  1. Path: sparky!uunet!dtix!darwin.sura.net!mips!swrinde!elroy.jpl.nasa.gov!lll-winken!ptavv.llnl.gov!oberman
  2. From: oberman@ptavv.llnl.gov
  3. Newsgroups: comp.protocols.tcp-ip
  4. Subject: Re: SMTP mail
  5. Message-ID: <1992Jul29.083024.1@ptavv.llnl.gov>
  6. Date: 29 Jul 92 16:30:24 GMT
  7. References: <92209.190519KKEYTE@ESOC.BITNET> <92211.092548KKEYTE@ESOC.BITNET>
  8. Sender: usenet@lll-winken.LLNL.GOV
  9. Lines: 62
  10. Nntp-Posting-Host: ptavv.llnl.gov
  11.  
  12. In article <92211.092548KKEYTE@ESOC.BITNET>, KKEYTE@ESOC.BITNET (Karl Keyte) writes:
  14. >   14rticle <1992Jul29.021534.6708@mp.cs.niu.edu>, rickert@mp.cs.niu.edu (Neil
  15. > Rickert) says:
  16. >>
  17. >>In article <92209.190519KKEYTE@ESOC.BITNET> Karl Keyte <KKEYTE@ESOC.BITNET>
  18. >>writes:
  19. >>>
  20. >>>The SMTP has recently been removed at our site because of its well-known
  21. >>>security hole.
  22. >>
  23. >>  Would you like to enlighten us as to the nature of this "well known
  24. >>security hole".
  25. >>
  26. >>  It is well known that email can be forged.  Most people don't consider
  27. >>this a security problem, although it may present an identification
  28. >>problem.  If you consider email forgery a security hole, then I presume
  29. >>you have also shut off all paper mail, which can just as easily be
  30. >>forged.
  31. >>
  33. > & that's not a security hole?  It is if you want to believe mail that you
  34. > receive.  Paper mail is usually signed.  The point is, SMTP is stupidly
  35. > simple (as we all know) in it's "authentication".  My question still
  36. > stands.
  37.  
  38. It's hardly a security hole in SMTP. It is a nearly universal problem in
  39. networking and common to virtually all protocols. This INCLUDES paper mail. I
  40. get at least a dozen letters and "official memos" a day of which probably one a
  41. week is signed.
  42.  
  43. SMTP is rapidly becoming the lingua franca of electronic mail. With the
  44. deployment of MIME, it is likely to displace X.400 in short order. To remove
  45. SMTP because of the possibility of forgery is cutting off ones node to spite
  46. ones face. It's not going away and it doesn't look like anything will replace
  47. it in the next several years. And, because it works so well, noone is even
  48. looking at a replacement (except OSI folk who are pushing X.400).
  49.  
  50. Now, lets try to look at fixing the problem instead of shooting the messenger!
  51. The only real way to do this is PEM. There are a number of RFCs on the subject
  52. (1113, 1114, and 1115. PEM allows mail to be "signed" digitally to preclude
  53. forgery. It also allows encryption to gaurantee privacy. PEM is available
  54. commercially from at least one source, Trusted Information Systems. While this
  55. is not exportable, I know there are foreign sources which eliminate the
  56. silliness of the US Government.
  57.  
  58. Please note that all of this still uses SMTP.
  59.  
  60. And, since the vast volume of mail requires neither privacy or authentication,
  61. I doubt that most E-Mail will use privacy options for some time to come. So
  62. cutting off SMTP merely cuts off your users from 99% of the world. If my sysop
  63. did this in the name of security, I'd wring his neck. (No possibility of this
  64. since I am the sysop.) It's simply stupid.
  65.  
  66. And, while you're at it, ban paper mail too. After all, it works when it's not
  67. signed, so it may be forged!
  68.  
  69. R. Kevin Oberman            Lawrence Livermore National Laboratory
  70. Internet: koberman@llnl.gov        (510) 422-6955
  71.  
  72. Disclaimer: Don't take this too seriously. I just like to improve my typing
  73. and probably don't really know anything useful about anything.
  74.