Willkommen im User-Forum von mailbox.org
 

Mailbox.org SMTP Server stellt Mails mit gefakten Absender zu

Thomas91 hat dies geteilt, 16 Monaten her
veröffentlicht

Der Mailbox.org SMTP Server scheint keine Überprüfung der Absender Emailadresse vorzunehmen. So kann ich beliebige andere Email Adressen, insb. auch andere mailbox.org Adressen als Absender angeben und die Mails werden 1:1 zugestellt.


So konnte ich mit meiner Adresse (userA@mailbox.org) in Thunderbird als Absenderadresse userB@mailbox.org einstellen und die Email wurde so zugestellt inkl. gültiger mailbox.org DKIM Signatur. Der Empfänger konnte nicht herausfinden, dass die mail nicht von userB@mailbox.org kam. Ich konnte auch andere nicht mailbox.org Domains als Absender einstellen, wenn diese Domains ebenfalls über mailbox.org laufen, dann wird auch die korrekte DKIM Signatur der externen Domain angehängt.


Das sieht für mich nach einer deutlichen Sicherheitslücke aus. Jeder kann andere Identitäten annehmen und in deren Namen Emails verschicken.

Meine Erwartung war: Der Mailbox.org SMTP Server überprüft bei der Annahme der Mail ob ich berechtigt bin den angegebenen Absender zu verwenden und lehnt die Mail dann ggf. ab.


Ich kann bei Bedarf gerne ein par Beispielmails inkl. Header zur Verfügung stellen.

Kommentare (45)

Foto
1

Das Thema wurde hier schon mal diskutiert.

Foto
3

Danke für den Link. Leider wird in dem Thread auch nicht wirklich ersichtlich, warum die SMTP Server so eingestellt sind. Ich sehe darin noch immer ein deutliches Risiko, jeder kann sich eine beliebige andere von mailbox.org verwaltete Adresse als Absender angeben und die Mail ist für den Empfanger nicht von einer "echten" zu unterscheiden.


Alle Schutzmechanismin wie SPF oder DKIM werden volkommen unterlaufen.

Foto
1

Meines Wissens (ich kann mich täuschen) sehen die einschlägigen Regeln (RFC) für das SMTP-Protokoll eine solche Prüfung nicht vor. Deshalb wird die Prüfung auch bei vielen anderen Providern nicht gemacht. Geprüft wird nur anhand von Benutzeranmeldung und Passwort, ob der Betreffende generell versenden darf.

Möglicherweise würden dann auch Dienste wie Mail-Extensions erschwert.

Ich persönlich würde eine Prüfung der Versandadresse befürworten. Im Webmailer wird zumindest bei externen Adressen beim Anlegen einmalig eine Prüfung vorgenommen.

Foto
1

Genau das hätte ich erwrtete. Dass nur die Aliases (und von mir aus externe Adressen) verwendet werden dürfen die im Webmail eingerichtet wurden.


Aktuell kann sich hier jeder ein Probekonto einrichten und in meinem Namen Emails verschicken. Diese Emails haben meine gültige DKIM Signatur (obwohl ich meine eigene Domain nutze) und selbst die strengsten SPF Einstellungen helfen nichts. Nicht mal aus den Headern ist ersichtlich, dass die Mail von einem nicht autorisierten Nutzer kommt.


Auch wenn es ggf. nicht im SMTP-Protokoll vorgesehen ist, überprüfen andere Provider durchaus ob der Nutzer überhaupt berechtigt ist von der angegeben Absenderadresse aus Mails zu verschicken.

Foto
Foto
1

Da hier und in dem verlinkten Thread der Support noch nicht erkläutert hat warum die SMTP Server wie besprochen konfiguriert sind werde ich mal unverbindlich beim Support nachfragen. Vielleicht gibt es auch gute Gründe, die mir/uns nicht eingefallen sind.


Das Thema ist mir wichtig und in meinen Augen eine echte Sicherheitslücke.


Wenn ich eine Antwort erhalte werde ich diese hier posten.

Foto
3

Also. Eine solche Diskussion würde, wenn ich alle Argumente bringe, eine gute Stunde einnehmen. Soviel Raum geben wir dem teilweise in unseren Postmaster-Schulungen an der Akademie.

Kurzfassung am Abend:


  • Das SMTP-Protokoll sieht absichtlich (!) keine Überprüfung des Absenders vor.
  • Auch im normalen Leben kann ich Briefe mit beliebigen Absendern in beliebige gelbe Briefkästen werfen. Hey, da gibt es gar keinen Unterschied.
  • Es war früher geradezu *Absicht* und Design des SMTP-Protokolls dass Absender ihre Mail beim nächstgelegenen SMTP-Server abliefern (der nicht der SMTP-Server des Postfachproviders sein muß). Genauso, wie ich heute Briefe in den nächsten gelben Kasten und nicht bei meinem Heimatwort einwerfe.
  • mailbox.org könnte prinzipiell eine Absenderprüfung implementieren, doch würde das nicht verhindern, daß 8 Milliarden andere Menschen irgendwo auf der Welt bei beliebigen anderen SMTP-Servern beliebige Absender erzeugen (auch mailbox.org).
  • Ich bin ein großer Anhänger von der These, daß eine gefühlte vermeindliche Sicherheit eine große Gefährdung darstellt. Es ist sicherer, wenn Leute sich unsicher fühlen wenn sie sich unsicher fühlen sollten. Es ist unsicher, wenn sie sich sicher fühlen, obwohl sie sich unsicher fühlen sollten. Nutzer müssen kapieren (und wissen das auch) daß Absender im Internet willkürlich frei gewählt und gefaked werden können. Ja, ich kann sofort und ganz beliebig Mails von merkel@bundestag.de erzeugen, kein Problem und das ist auch keine Sicherheitslücke. (In den 90er Jahren lief das auf der CeBIT noch als "Hackervortrag", aber das ist natürlich Blödsinn.).
  • Es ist richtig, daß heutige Techniken wie DKIM -- die ich ja selbst seit rund 13 Jahren massiv propagiere -- dem einen gewissen Einhalt gebieten könnten, weil man zumindest dann schonmal nachweisen könnte, daß die Mail über den jeweiligen Domainprovider gelaufen ist. -Richtig.
  • Es ist aber leider auch Fakt, daß das Wissen um DKIM & Co zu gering ist und Leute dann in der "vermeindlichen" Sicherheit auf nicht-DKIM-signierte Mails reinfallen würden, wenn sie nicht lernen, wissen und verstehen, daß Absender im analogen wie im digitalen Leben nichts anderes als willkürlicher Text sind. Und dann gilt für mich eben meine These von oben: "Gefühlte Sicherheit ist die größere Gefahr als gewußte Unsicherheit."
  • Es ist au0ßerdem so, daß weiterhin an unendlich vielen Stellen im Internet beliebige andere Absender erzeugt werden: Mailinglisten, Forenbeiträge, Notifications, SaaS-Plattformen und und und. Es ist absurd irgendwie anzunehmen, ein Absender sei verifiziert.
  • Wir haben damals diskutiert, ob wir eine entsprechende Limitierung einbauen und ich will auch nicht sagen, daß wir das nie tun werden. Dinge und Zeiten ändern sich, Techniken entwickeln sich und die zunehmende Verbreitung von DKIM und DMARC wird vielleicht dazu führen, daß man Dinge anders bewerten muß. Wir haben die Frage, ob wir unsere Politik hier ändern, auch jetzt im Januar auf der Agenda zu unserer halbjährlichen Abstimmung. Ich sage also "niemals 'nie'".
  • Technisch ist es nicht trivial die Absender zu prüfen. "Out of the box" kann die weltweit eingesetzte Standard-Software das nur für fix hinterlegte Mailadressen. Wir erlauben aber beispielsweise auch catch-all-Adressen. Dafür müssen wir aufwändig eigene Dämon-Software erstellen, die diese Überprüfung durchführt, die catch-alls erkennt und ausrechnet, ob ein User einen bestimmten Absender nutzen darf -- denn der reine Textvergleich der Datenbank gibt das ja nicht her. Ich gebe zu, daß dieser Programmieraufwand damals durchaus ein Argument ist, warum wir im Zweifel nicht limitieren. Und zusätzliche Software-Komponenten machen ein System immer auch komplexer und fehleranfälliger und natürlich haben hier auch Admins und Nutzer Interesse an einem stabilen Systembetrieb. Wir haben heute schon zwei Dutzend Sonderlocken verbaut, die immer wieder mal für Effekte sorgen.
  • Heute haben wir bereits für eine anderer Stelle eine sehr vergleichbare ähnliche Software programmiert, so daß wir das in wenigen Tagen umschreiben könnten, um diesen Kontroll-Dämon zu haben. Genau das diskutieren wir jetzt mal im Januar ob wir das machen wollen und wie wir das sehen. Unser Hauptgrund wäre dann allerdings nicht die (nicht-existente) Sicherheit für User bzw. diese vermeindliche Sicherheitslücke, sondern der Umstand, daß wir viel mit Spammern und anderen Missbrauchsfällen zu tun haben und wir an verschiedenen Stellen unattraktiver für dieses Klientel wären und uns massiv Arbeit durch Missbrauchsfälle sparen könnten. Also Egoismus. :-)
  • Aber mit "Sicherheit" und "Sicherheitslücken" hat das alles nun wirklich echt nichts zu tun. Doof aber, uns das Öffentlichkeitswirksam vorgehalten wird. Da lacht der Profi, aber der Laie denkt sich "HuiHui" und das schadet uns.

Foto
2

vielen Dank für die ausführliche Antwort! Da kann ich mein Support Ticket ja gleich wieder schließen :)


Zum Thema:


Die Argumentation ist nachvollziehbar und trifft im Wesentlichen Punkte die ich so auch schon erkannt bzw. angesprochen hatte. Allerdings stimme ich bei der Bewertung des Thmea DKIM nicht überein.


Mir ist durchaus bewusst, dass Mails per Design von jedem auf der Welt mit jeder beliebigen Absenderadresse verschickt werden können.Allerdings wurde DKIM explizit geschaffen um Mails mit gefälschten Absendern vorzubeugen. Wenn ich meinen DMARC Record entsprechend setzte, dann kann ich davon ausgehen, dass Mails ohne korrekte DKIM Signatur beim Empfänger direkt im SPAM landen ohne dass dieser wissen muss was DKIM oder DMARC ist. Wenn die gefäschte Mail aber vom "richtigem" Server kommt dann wird der durch DKIM gewährte Schutz völlig unterlaufen.


Ich stimme auch der These zu, nicht nur gefühlte Sicherheit verbreiten zu wollen volkommen zu, muss aber sagen, dass gerade das bei mir wohl der Fall war. Dadurch das mailbox.org DKIM anbietet hatte ich mich eigentlich sicher gefühlt vor mit meinem Absender gefakten Emails. Deshalb war ich so überrascht, dass es beim SMTP Server keinen Check gibt. Ob es jetzt eine "Sicherheitslücke" ist oder nicht hängt dann sicherlich von der Ausgangslage ab, hierüber möchte ich nicht streiten.


Ein Versenden von einer catchall-Adresse wäre natürlich schön hatte ich aber ehrlich gesagt nicht erwartet. Ich hätte gedacht, dass ein Versand nur mir explizit registrierten Alias Adresen möglich ist. Man kann aktuell ja auch nicht nach catchall-Adressen filtern, nur nach echten Aliasen.


Den Part mit dem (Outbound-)Spamschutz kann ich ebenfalls sehr gut nachvollziehen. Durch die aktuelle Policy lockt man sicherlich die falschen Leute an und es kommt zu Blacklisting der Mailserver. Wenn es über diese Tür zu einer Überprüfung kommt wäre ja schon gewonnen :)


Zusammengefasst: Ich kann die Argumentation verstehen. Komme aber zu einer anderen Bewertung und möchte ausdrücklich dafür werben in Zukunft eine Überprüfung einzubauen.

Foto
2

Hallo Thomas 91,


Aaaalso: Man kann (natürlich) auch nach catchall-Adressen filtern und nicht nur nach Aliasen. Man kann nicht (mehr) nach Envelope-Adressen filtern, aber Header-Filter würden gehen. Das ist natürlich unvollständig und ein Problem (Diskussion in den 90er Jahren: "Fetchmail multidrop" & Co.) aber viele machen das halt so. Und gerade viele unserer Geschäftskunden schicken halt auch mit wechselnden Absendern Shopbestätigungen & Co raus.


Zu DKIM: Die Theorie, daß DKIM den Mißbrauch von Absendern unterbindet, teile ich nur bedingt. Zu allererst ist DKIM aufgrund von Implementierungsfehlern allenfalls geeignet ein Reputationssystem für Mailserver (nicht Absender-Domains) aufzubauen, da ich mit validenm gültigen DKIM-Signaturen weiterhin beliebige fremde Absender erzeugen kann.


Richtig ist aber, daß das mit DMARC repariert wurde und dieses Problem bei validen DMARC-Records nicht mehr besteht. Allerdings ist es für Unternehmen ("Postbank", "Paypal", "VISA") oder Plattformen ("Facebook") durchaus möglich mittels DMARC eine 100%ige Signierung zu fordern, weil sie dann intern auch dafür sorgen können, daß tatsäcjhlich alles signiert ist (wir betreuen diese Fälle ja und führen DKIM/DMARC für Unternehmen ein -- das ist durchaus viel Aufwand und kann locker ein Jahr dauern bis man alle Mailquellen beisammen und ausgemerzt hat).


Für Mailprovider ist das nicht so einfach möglich. Ich könnte allenfalls noch fordern, daß mailbox.org-Absender nur über unsere Systeme kommt, aber a) widerspricht das dem Sinn des SMTP-Protokolls und b) wird das spätestens bei der Nutzung eigener Domains (die ja bei uns möglich sind) kompliziert bis unmöglich.


Insofern muß man bei DKIM/DMARC immer auch unterscheiden, ob man hier davon redet das für ein potentielles Phishing-Objekt einzuführen, oder für einen normalen Provider mit normalem Mailverkehr.

Foto
1

welche Art der Überprüfung meinst Du hier?

dass, wenn jemand sich mit Hugo@mailbox.org am SMTP ausweist,

auch nur Hugo@mailbox.org im From stehen haben darf?

Foto
1

@4842591 wenn du mich meinst, dann ja genau das.

Also dass du nur deine Hauptemailadresse und die im Webinterface registrierten Alias verwenden kannst. Alle anderen Emails würden vom SMTP Server abgelehnt.


@Peer:

Ich glaube wir sind da beide schon auf der gleichen Seite. Klar ist DKIM nicht das Allheilmittel insbesondere weil ihr als öffentlicher Mailanbieter den DMARC Record nicht beliebig streng setzen könnt, ohne dass euch die Türen des Supports eingerannt werden.

Allerdings ist die Tatsache das jeder mit einem eigenen VPS Emails mit gefälschtem Absender zustellen kann und DKIM/DMARC nur begrenzt dagegen schützt für mich kein ausreichender Grund "die eigenen Tore so weit offen zu lassen". Bzw. auf eine Kontrolle der Absender bei angenommen Emails komplett zu verzichten.

Auch im Sinne der von dir angesprochenen Mailserver Reputation per DKIM wäre es ja von Vorteil Spam zu reduzieren indem Emails mit gefälschten Absender abgelehnt werden.

Foto
1

ja Thomas91, wobei die andere Variante - siehe mein anderer Beitrag - auch möglich sein muss; d.h. wenn Du eine derart rigorose Prüfung willst, dann gilt auch eigentlich:

if ( ( ( envelope-sender == authenticated-user-on-smtp ) &&

( mail-header-from == authenticated-user-on-smtp ) ) ||

( envelope-recipient == authenticated-user-on-smtp ) ) {

...

} else {

access-denied;

}

Foto
Foto
1

Hallo,

das https://userforum.mailbox.org/topic/grundsatzfrage

dürfte genau in diese Richtung gehen, nur etwas anders von der Logik;

wie Perr Heinlein oben sagte, ich zitiere:


"Auch im normalen Leben kann ich Briefe mit beliebigen Absendern in beliebige gelbe Briefkästen werfen. Hey, da gibt es gar keinen Unterschied."


ich hätte es von der Umkehrlogik so betrachtet


"Auch im normalen Leben kann ich Briefe mit bestimmten Empfängern in denjenigen f. diesen Empfänger vorgesehen Postkasten werfen, egal welchen Inhalt der Brief auch ist und dieser auch wirklich f. diesen Empfänger vorgesehen ist¹ "


und genau dieses "Feature" funktioniert und wird von mir benötigt und verwendet;


¹ hatte es selbst erlebt, daß ich einen Brief öffnete, welcher am Kuvert zwar meinen Namen und meine Adresse hatte, aber dessen Inhalt f. jemand anders bestimmt war;

war vom Absender einfach falsch kuvertiert;

Foto
2

Hi,

Das sind aber zwei unterschiedliche Dinge. Bei dem angesprochenen Problem geht es darum, dass jeder "Briefe" mit beliebigen Absenderangaben verschicken kann. Deshalb Peers Briefkasten Analogie zum echten Leben.

In diesem Fall ist es aber so, dass eben nicht einfach jeder "Briefe" in den "Briefkasten" von mailbox.org werfen kann, man muss vorher "seinen Personalausweis zeigen" (Authentifikation beim SMTP Server). Wenn man das geschaft hat, kann man aber so viele Briefe an wen man wil und eben auch mit beliebigen Absender einwerfen. Auch klebt mailbox.org an dem Brief kein Zettel "Da steht zwar A als Absender drauf, aber der Brief wurde von B eingeworfen" (Mailheader). Alle "Briefe" im mailbox.org "Briefkasten" werden dann mit einem "Siegel" (DKIM) versehen und vom mailbox.org Boten persönlich zugestellt.

Ich bin zwar vorher zu allen potentiellen Empfängern gegangen und habe gesagt "Die Welt ist böse und voller Fälscher. Bitte glaubt meinen Briefen nur, wenn Sie von dem mailbox.org Boten persönlich übergeben werden (SPF) und dessen Siegel tragen (DKIM)" Allerdings hat diese Ansprache nichts gebracht, da die "Briefe" ja wirklich von mailbox.org kommen und auch das korrekte Siegel tragen.

So richtig sicher kann man sich also nur sein, wenn man die Mails konsequent per PGP signiert. Leider ist das halt wirklich nicht weit verbreitet....

Foto
1

zwei unterschiedliche Dinge welche aber dann doch gleich sind;


Beispiel: angenommen Du hast A@mailbox.org und ich habe B@mailbox.org; ich kann zwar eine Mail mit A@mailbox.org im Mail-Header From versenden, aber da ich mich beim SMTP mich ausweisen muss, wird im Mail-Envelope trotzdem B@mailbox.org verwendet;

nimm nur an Du hast eine Alias-Adresse C@mailbox.org, dann produzierst Du selbst diesen Konflikt, weil im Mail-Header From C@mailbox.org steht, aber im Mail-Envelope A@mailbox.org verwendet wird ...


und in meinem Fall, steht im Mail-Header gar nichts, das erahnen ließe, daß die Mail f. mich ist - bei Mailing-listen immer der Fall;

da steht im im From meist derjenige der es versendet hat, und im To die Adresse der Mailingliste; und ich denke es ist Ok, wenn per SMTP-Auth. man so eine Mail sich selbst in seine Mailbox "schieben" kann ...


daher gilt beim Empfang von Mails, nicht auf das From zu sehen, sondern den E-mail-Envelope zu beachten ...

genau das hast Du ja im kommerziellen Umfeld;

im Mail-Header steht im From office@company.net aber tatsächlich absenden tut es die Sekretärin, und das ist dann im Envelope z.B. name@company.net und meist im Header mittels des Sender Feldes;


und PGP ist eine Variante, ich bevorzuge S/MIME da PGP momentan eher den Status von selbst signiert hat, und damit zwar die Integrität nicht aber die Authentizität gewärleistet ist;

Foto
1

Ich würde dir ja gerne zustimmen, aber leider ist es mailbox.org so, dass es kein Envelope-From übertragen wird bzw. dort die From: Adresse eingetragen wrid. Das wird Absicht sein um die von dir angesprochene Offenlegung der "echten" Email Adresse bei Verwendung eines Alias zu unterbinden.


Leider führt es aber auch dazu, dass es keinen Weg gibt zu erkennen ob eine Mail wirklich von mir verschickt wurde oder von einem anderen Mailbox.org Nutzer der meine Adresse als Absender verwendet.


Ich bin ja auch dafür Aliases komplett zu unterbinden. Ich hatte halt nur erwartet, dass lediglich die im Webinterface registrierten Alias (und ggf. alle der eigenen Domain) als Absender zugelassen sind.


Klar hat PGP Schwächen, ich veröffentliche zB. den FIngerprint meines Keys auf meiner Website die per SSL Zertifikat gesichert ist. Aber der Hautpunkt ist eine die schlechte mobile Unterstützung und die kaum nennenswerte Verbreitung.

Foto
1

"Leider führt es aber auch dazu, dass es keinen Weg gibt zu erkennen ob eine Mail wirklich von mir verschickt wurde oder von einem anderen Mailbox.org Nutzer der meine Adresse als Absender verwendet."


das kannst Du auf ganz anderem Weg lösen; ich kann wenn ich auch eine E-mail mit Deiner Mailadresse absende diese aber nicht digital signieren, weil ich kein Zertifikat habe, welches zu Deiner E-mail Adresse passt ...

darum ja auch der Einwand dass PGP nur die Integrität nicht aber die Authentizität sichert; um beides zu sichern führt kein Weg an S/MIME vorbei ...

wobei die vielen CAs ist ein anderes Kapitel ...

Foto
Foto
2

Hi Zusammen,


nachdem ich mir da einmal länger Gedanken drüber gemacht habe, würde ich hier auch nochmal das Thema auf die Liste bringen.

Ich verstehe die Aussage, dass man Mails ja mehr oder weniger mit Postbriefen vergleichen kann/will/muss.

Aber Mails können ja durchaus weit mehr als wie ein normaler Postbrief ;-)


Gibt es denn einen Grund, warum man nicht (gerne auch optional) eine zusätzliche Sicherheit einbaut, dass erst geprüft wird, ob der Alias überhaupt in einem Account existiert, bevor man darüber Mails versenden kann?! Wenn er nicht existiert, dann dürfen keine Mails verschickt werden.

Das würde doch einen sehr enormen Sicherheitsgewinn bringen. Andere Anbieter machen das auch (z.T. auch optional).

Ich finde das eine sehr gute Sache - und wenn es dann nur optional ist, dann schadet es ja auch keinem. ;-)

Foto
1

Ich habe vor ca. ein bis zwei Wochen über verschiedene Maildienste (auch über meine Mailbox-Adresse) Scam-Mails erhalten, die mir per Spoofing untergejubelt wurden. Die Absenderadresse war also meine eigene Mailadresse. Normalerweise ist mir klar, dass ich solche Mails getrost wegwerfen kann, aber zum gleichen Zeitpunkt verhielt sich mein Modem irgendwie merkwürdig und ich kam kurz ins Grübeln, ob ggf. doch an irgendeiner Stelle ein Sicherheitsleck bestand.

Foto
1

Was haltet Ihr von der Idee einer "optionalen" SMTP-Überprüfung integriert in Mailbox.org?


Standardmäßig muss es ja nicht aktiviert sein, aber es wäre wirklich schön, wenn man es aktivieren könnte/dürfte. Einen richtigen Nachteil erkenne ich hier nicht - eher nur Vorteile (und für mailbox.org wäre das doch auch ein Zugewinn an Sicherheit/Vertrauen, oder?)

Foto
1

Kannst Du kurz erklären, wie konkret Du diese 'optionale' SMTP-Überprüfung veranstalten willst ...

(technische Erkl. nicht oberfl.)


sprich: Du hast ja bereits die Hürde Dich am SMTP authentifizieren zu müssen; es wäre mit dieser 'optionalen' SMTP-Überprüfung nicht ausgeschlossen, daß Du dabei nicht nur mein Setup sondern auch das von anderen kaputt machst, wenn nicht sogar unbrauchbar machst;

Foto
1

Hi und guten Morgen,


ich selbst bin ja (Gott sei Dank) nur ein User. Dementsprechend kann ich wenig über techn. Erklärungen sagen.

Ich selbst würde es aber sehr begrüßen, wenn die Standard-Einstellung so bleibt wie sie aktuell ist und man "optional" aktivieren kann, dass eine Überprüfung vorgenommen wird, ob es entsprechende Aliase überhaupt unter diesem Konto gibt.

Sprich, dass die Server überprüfen, ob es sich wirklich um einen Alias (alternativen Absender) handelt, welcher sich hinter diesem Konto verbirgt, wenn man via SMTP eine Nachricht versendet.


Da das ganze optional zu sehen ist, macht man auch bei anderen nichts kaputt. Wobei ich da nicht verstehe, was man da groß kaputt machen soll/kann (es sei denn, die versendest Mails als eine andere Person - was ja so nicht sein soll).

Foto
1

stellen wir die Frage anders: was f. eine Überprüfung erwartest Du hier, welche Du denkst, daß jetzt nicht gemacht wird?

Foto
3

Peer Heinlein hat diesbezüglich einmal in einem Thread erklärt, dass mailbox.org sich bei SMTP streng nach RFC-Standard verhält und der Standard eben keine entsprechende Plausibilitätsprüfung vorsieht. Dies bedeutet jedoch nicht, dass ein Mailprovider keine Prüfung einbauen dürfte oder diese optional vorsieht. Ich fände es auch gut und enorm wichtig, dass eine Prüfung eingebaut wird, da in der jetztigen Form keinerlei Schutz vor Missbrauch vorhanden ist. Derzeit kann "Hinz und Kunz" in meinem Namen, mit meiner E-Mail-Adresse (auch eigene Domain) E-Mails versenden, welche durch den einheitlichen Gebrauch desselben DKIM-Keys auch noch korrekt signiert werden! Dies hinterläßt, zumindest bei mir, ein komisches Gefühl...

Eine Prüfung könnte doch so aussehen...

- User versendet via SMTP (oder Webmailer) E-Mails und muss sich mittels seiner Zugangsdaten authentifizieren

- Der MDA checkt, ob im entsprechenden User-Account ein Alias oder ein alternativer Versender hinterlegt ist, welcher zu dem Envelope-From passt

- Wenn Postitivprüfung erfolgt ist, wird die Mail versendet, wenn nicht, eben nicht


Welche Aufwände hier dahinterstecken, könnte sicherlich nur Herr Heinlein prognostizieren.

Foto
1

Danke @7842928

Perfekt geschrieben. Und genau das meine ich, bzw. geht es ja auch genau um die Sache hier im Thread.

Foto
1

ich denke jetzt muss ich etwas ausholen (ich bin auch nur User) - da ich aber auch meinen eigenen Mail server f. meine Domain betreibe - wird schnell klar, dass diese Prüfung eigentlich nichts bringt;


@7842928 Du verifizierst eigentlich nur den Envelope und läßt den Mail Header links liegen ...

und genau hier beginnt das Problem;


nicht der Mail Envelope ist hier relevant, sondern der Mail Header;

und genau damit würdest z.B. mein Setup kaputt machen;


die RFCs und sämtliche Mechanismen sind schon gut; es müssen sich nur alle an die Spielregeln halten;


@8708058: 'Die Absenderadresse war also meine eigene Mailadresse.' hier sprichst Du von der Mailadresse im Mail Header, auch von einer mailbox.org-Adresse?

Foto
1

Dann streiche Envelope und setze Mail-Header ... was würde da kaputtgehen? Du müsstest nur sämtliche "alternativen Absender" in deinem Mail-Account hinterlegen. Klar, dies macht Arbeit, aber die alternativen Absender werden auch erst zugelassen, wenn diese durch eine Verifizierungs-Mail bestätigt werden konnten. Genau dies ist doch der eigentliche Sicherheitsgewinn, oder nicht?

Foto
1

ich will jetzt nicht mein Setup breittreten¹; aber soviele 'alternative Absender' wie ich da brauchen würde und nebenbei gar nicht eintragen kann, weil noch gar nicht bekannt, ist einfach unmöglich;


¹ nur soviel; mein Mail server ist nur ein vorgeschaltetes Relay f. meine Domains; und genau dann wenn im To meine E-mailadresse explizit aufscheint wird dies an mein mailbox.org-Postfach per SMTP-Authentication weitergeleitet ...

Foto
1

@Walter H. Ja, die Absender- und Empfängeradresse der Spoofing-Mail entsprach meiner Mailbox-Mailadresse.

Foto
1

@8708058 und diese kam nicht von außerhalb des mailbox.org-Netzes?

oder anders: kannst den Mail-Header public machen, Deine Mailadresse darfst mit ### verschleiern

Foto
1

Also ich stelle mir die Identifizierung wie folgt vor (bzw. kenne ich das so in der Umsetzung bei anderen Anbietern):

Lokaler Client:

- ich erstelle in meinem lokalen neben meinem Haupt-Account weitere Absender-Adressen.

- wenn ich da auf Senden klicke überprüft er, ob diese Absender-Adresse bei mir in den definierten Absender-Adressen enthalten ist (falls ja, dann sendet er die Mail, falls nein, dann sagt der Mail-Client, dass ich nicht autorisiert bin)

Im Web-Interface von mailbox.org:

- kann man ja glaube ich als Absender-Adresse nur eben solche Mail-Adressen auswählen


Da ich das Ganze als "Optional" wählbar ansehe, würden auch keine komplexen Setups wie Walter H. sie benutzt nicht zerstört werden.

Bei "normaler" Nutzung würde es aber durchaus ein mehr an Sicherheit bedeuten/bringen.

Foto
1

genau hier ist auch der Pferdefuß, eine derartige tiefgreifende Sache geht nicht 'optional' und würde mein Setup auf jeden Fall kaputt machen ...


Beispiel: ein mailbox.org-Kunde hat customer@mailbox.org mit Alias hugo.cabreth@mailbox.org

sowie ich selbst mickey.mouse@mailbox.org


angenommen dieser Kunde würde das aktivieren,dann hieße das, daß dieser Kunde mir kein Mail mehr schicken kann;

warum?

mails an meine Domain können ja nur noch mit den Absenderadressen

an mein mailbox.org-Postfach relayed werden, welche nicht in der Menge derer sind,

welche dies aktiviert haben; sprich diese wollen ja verhindern, daß der SMTP-Server von mailbox.org

Mails annimmt, welche deren Absender-Adresse haben, aber z.B. mit meinen Account-Daten an den SMTP-Server übergeben werden;

derartig tiefgreifendes halte ich f. keine gute Idee ...

Foto
1

Hallo Walter, klingt megakompliziert, isses sicherlich auch :-)


Ich fasse mal zusammen, was aus Account-Sicht möglich sein sollte und was nicht:

- Der Empfang von E-Mails funktioniert - jetzt schon - nur, wenn die angeschriebene E-Mail-Adresse zum Account gehört. Das heißt, ich kann nur E-Mails empfangen, wenn ich der rechtmäßige Besitzer der E-Mail-Adresse bin.

- Jetzt neu - der Versand über eine E-Mail-Adresse sollte nur möglich sein, wenn die Versand-Adresse auch tatsächlich dem versendenden Account gehört. Ich möchte ehrlich gesagt nicht, dass du oder jemand anders Mails in meinem Namen mit meiner E-Mail-Adresse versenden kann. Hier spreche ich nur vom Zuständigkeitsbereich "mailbox.org". Wenn jemand über andere Mail-Server spooft, dann isses halt so, dann bekomme ich aber keine DKIM-signierte E-Mail von mailbox.org.

- Wenn du mittels eines Mail-Relays den Empfang regelst, sollte/kann es doch dabei keine Probleme geben, oder?

- Wenn du über das Relay versendest, benötigst du doch keine Adressen, welche eigentlich anderen Kunden gehören?!? Wieso solltest du fremde Adressen benötigen?

Foto
1

@7842928

"Wenn du mittels eines Mail-Relays den Empfang regelst, sollte/kann es doch dabei keine Probleme geben, oder?"

doch die gibt es, genau diese zeigte ich auf ...

"Wenn du über das Relay versendest, benötigst du doch keine Adressen, welche eigentlich anderen Kunden gehören?!? Wieso solltest du fremde Adressen benötigen?"

hierzu schau Dir die anderen schönen Dinge wie SPF und Co. mal genauer an, dann erklärt das Deine Fragen

wie gesagt, ich wollte mein Setup nicht in die Breite treten; aber es muss erlaubt sein sich selbst JEDE Mail zu senden - genau das ist beim Empfang notwendig;

Foto
1

Also ich verstehe nicht wirklich was Walter H. da mit den Mails anstellt. Aber es hat den Anschein, dass das doch ein sehr seltener Ausnahmefall ist.


Aber es sollte doch möglich sein, dass man definiert, dass man eben nur Mails versenden darf, wenn einem doch auch die Adressen gehören. Alles andere ist doch eine Sache, die nicht sein muss und nur Probleme bereitet und Spam und Mail-Aufkommen in die Höhe treibt.

Mir geht es hier einzig und allein um das Absichern dass nicht Gott und die Welt über meinen Mailbox.org Account (und meinen eingebundenen Domains) Nachrichten verschicken kann, als ob ich es selbst wäre?!

Foto
2

Ich weiß, dass nach RFC eine solche Überprüfung nicht vorgesehen/vorgeschrieben ist. Beobachtet habe ich bei unterschiedl. Providern bisher 3 Verhaltensweisen: Mail werden mit "falschem" Absender trotzdem verschickt, die Absender-Adresse wird auf die gültige Haupt-Adresse umgeschrieben (z.B. t-online.de) und der Versand wird abgelehnt. Alle drei haben Vor- und Nachteile. Vielleicht kann ja der Support oder Peer Heinlein mal einen Satz dazu sagen, warum es mailbox.org so macht und nicht anders. ;-)

Foto
1

@Den ich stelle gar nichts an,


ich nutze mein mailbox.org-Postfach wie jeder andere auch,

mit dem Zusatz, daß ich es auf der Heizflosse mittels K-9 Mail im Zugriff habe, und eben, von meinem Mail server (MX-Record meiner Domain verweisen darauf) und dort ausgesiebt wird, was wichtig ist und was nicht; wichtiges wird zusätzlich per SMTP auf mein mailbox.org-Postfach relayed; alles wichtig + unwichtig landet auf einem anderen POP3 Konto (Hoster), welches per fetchmail regelmäßig abgeholt wird und zu Hause abgelegt wird - local hosted IMAP;

zu Hause habe ich meinen Mail client (= Thunderbird) mit 2 IMAP Konten verbunden, das vom mailbox.org-Postfach und das von local hosted IMAP


wie gesagt, so wie es jetzt funktioniert ist es gut;


vielleicht solltest mal das Passwort ändern, wenn Du den Verdacht hast, daß jemand mißbräuchlich Deinen Account verwendet - nur mal so als Gedanke;

Foto
1

@Walter: Du kannst beruhigt sein. MIt dem von dir beschriebenen Szenario wärst du von der diskutierten Sicherheitsimplementierung nicht betroffen.

Foto
1

So schaut es aus. Ich glaube, wir reden einfach aneinander vorbei und Walter hat mit seiner Heizflosse und seinem Konstrukt ganz andere Dinge vor, welche hier einfach keine Rolle spielen.


Und es geht nicht um mein Passwort - das spielt überhaupt keine Rolle. ;-) Ich brauche ja auch gar nicht Dein Passwort um Mails als Walter zu verschicken... Genau darum geht es ja hier.

Foto
1

@7842928 wie kannst Du Dir da so sicher sein?

@Den 'keine Rolle spielen' ist gut, daß mein Setup damit ganz sicher kaputt geht hat Relevanz

Foto
1

Walter, Du weißt ja gar nicht, ob "Dein" Setup dadurch zerstört wird...

Aber nachdem was Du so schreibst, geht es bei Dir ja primär nicht um die Überprüfung von SMTP bei mailbox.org Accounts, wenn ich (und denke ich auch 7842928) das richtig verstanden haben.

Foto
1

@Den doch, weil mein Mailserver ja nichts anderes macht, nur eben automatisiert;

- melde dich mit xxx@mailbox.org und password $$$ an

- sende mail von xxx@mailbox.org an xxx@mailbox.org (jeweils nur im Mail-Envelope)

und das mit jedem beliebigen empfangenen Mail, sprich die Mails haben im From irgendwas im im To eine meine E-mail Adressen von meinen Domain(s)

und sobald Du das vom SMTP-Server prüfen läßt, ist mein Setup zerstört;


wieso seid ihr nur so ungläubig und wollt mein Setup wirklich des langen und breite erklärt haben ...

Foto
1

Hm. Ich glaube ich verstehe einfach nicht, was Du da tust....

Aber darum geht es hier ja auch gar nicht, bzw. interessiert mich das wohl doch sehr einmalige Setup auch gar nicht. (bitte nicht persönlich nehmen).


Ich bin weiter dafür, dass es eine (gerne auch optionale) Erweiterung hinsichtlich Absender-Überprüfung via SMTP gibt, so wie es hier schon mehrfach genannt wurde.

Würde mich freuen, wenn mailbox.org das in zukünftige Planungen mit aufnimmt und evtl. auch umsetzen wird.

Foto
1

@Den ich bin gegen diese Überprüfung, weil es mein Setup kaputt macht; wenn Du Dir wirklich sorgen machst, daß jemand - Da Du ja von eingebundenen Domains sprichst - dies faked, wieso entkoppelst Du das nicht?

sprich: Mailadressen von meinen Domain(s) kann keiner faken, weil SPF verbietet es, und an meinen Mailserver kommt niemand 'ran ...

Foto
1

@Walter: Optional ist das Stichwort... Da macht es Dein Setup auch nicht kaputt. ;-)

Sollte es mandatorisch werden, dann wärst Du glaube ich der einzige Verfechter, dass es das nicht geben soll, weil es dein einmaliges Setup zerstört... ;-)Dann könntest Du ja einfach entkoppeln, da Du ja eigene Mailserver hast/betreibst und alle anderen freuen sich über einen enormen Sicherheitsgewinn bei mailbox.org.

Aber das soll jetzt auch kein Machtkampf zwischen Dir und mir werden. Ich bin einfach für die Sache wie erwähnt - und da bin ich glaube ich nicht allein auf weiter Flur.

Foto
1

@Den das hatte ich bereits oben erklärt was es bedeutet wenn es optional wäre, sprich mir kann dann keiner ein Mail schicken, der diese nicht RFC konforme Sache aufdreht ...

und NEIN ich kann nicht entkoppeln, weil es ja bereits entkoppelt ist, mein Mailserver ist nur ein geschlossenes Relay OHNE irgend einem Mailstore;

und nein es handelt sich hier um keinen wirklichen Sicherheitsgewinn;

Foto