Willkommen im User-Forum von mailbox.org
 

Mailbox.org SMTP Server stellt Mails mit gefakten Absender zu

Thomas91 hat dies geteilt, 15 Monaten her
veröffentlicht

Der Mailbox.org SMTP Server scheint keine Überprüfung der Absender Emailadresse vorzunehmen. So kann ich beliebige andere Email Adressen, insb. auch andere mailbox.org Adressen als Absender angeben und die Mails werden 1:1 zugestellt.


So konnte ich mit meiner Adresse (userA@mailbox.org) in Thunderbird als Absenderadresse userB@mailbox.org einstellen und die Email wurde so zugestellt inkl. gültiger mailbox.org DKIM Signatur. Der Empfänger konnte nicht herausfinden, dass die mail nicht von userB@mailbox.org kam. Ich konnte auch andere nicht mailbox.org Domains als Absender einstellen, wenn diese Domains ebenfalls über mailbox.org laufen, dann wird auch die korrekte DKIM Signatur der externen Domain angehängt.


Das sieht für mich nach einer deutlichen Sicherheitslücke aus. Jeder kann andere Identitäten annehmen und in deren Namen Emails verschicken.

Meine Erwartung war: Der Mailbox.org SMTP Server überprüft bei der Annahme der Mail ob ich berechtigt bin den angegebenen Absender zu verwenden und lehnt die Mail dann ggf. ab.


Ich kann bei Bedarf gerne ein par Beispielmails inkl. Header zur Verfügung stellen.

Kommentare (18)

Foto
1

Das Thema wurde hier schon mal diskutiert.

Foto
3

Danke für den Link. Leider wird in dem Thread auch nicht wirklich ersichtlich, warum die SMTP Server so eingestellt sind. Ich sehe darin noch immer ein deutliches Risiko, jeder kann sich eine beliebige andere von mailbox.org verwaltete Adresse als Absender angeben und die Mail ist für den Empfanger nicht von einer "echten" zu unterscheiden.


Alle Schutzmechanismin wie SPF oder DKIM werden volkommen unterlaufen.

Foto
1

Meines Wissens (ich kann mich täuschen) sehen die einschlägigen Regeln (RFC) für das SMTP-Protokoll eine solche Prüfung nicht vor. Deshalb wird die Prüfung auch bei vielen anderen Providern nicht gemacht. Geprüft wird nur anhand von Benutzeranmeldung und Passwort, ob der Betreffende generell versenden darf.

Möglicherweise würden dann auch Dienste wie Mail-Extensions erschwert.

Ich persönlich würde eine Prüfung der Versandadresse befürworten. Im Webmailer wird zumindest bei externen Adressen beim Anlegen einmalig eine Prüfung vorgenommen.

Foto
1

Genau das hätte ich erwrtete. Dass nur die Aliases (und von mir aus externe Adressen) verwendet werden dürfen die im Webmail eingerichtet wurden.


Aktuell kann sich hier jeder ein Probekonto einrichten und in meinem Namen Emails verschicken. Diese Emails haben meine gültige DKIM Signatur (obwohl ich meine eigene Domain nutze) und selbst die strengsten SPF Einstellungen helfen nichts. Nicht mal aus den Headern ist ersichtlich, dass die Mail von einem nicht autorisierten Nutzer kommt.


Auch wenn es ggf. nicht im SMTP-Protokoll vorgesehen ist, überprüfen andere Provider durchaus ob der Nutzer überhaupt berechtigt ist von der angegeben Absenderadresse aus Mails zu verschicken.

Foto
Foto
1

Da hier und in dem verlinkten Thread der Support noch nicht erkläutert hat warum die SMTP Server wie besprochen konfiguriert sind werde ich mal unverbindlich beim Support nachfragen. Vielleicht gibt es auch gute Gründe, die mir/uns nicht eingefallen sind.


Das Thema ist mir wichtig und in meinen Augen eine echte Sicherheitslücke.


Wenn ich eine Antwort erhalte werde ich diese hier posten.

Foto
3

Also. Eine solche Diskussion würde, wenn ich alle Argumente bringe, eine gute Stunde einnehmen. Soviel Raum geben wir dem teilweise in unseren Postmaster-Schulungen an der Akademie.

Kurzfassung am Abend:


  • Das SMTP-Protokoll sieht absichtlich (!) keine Überprüfung des Absenders vor.
  • Auch im normalen Leben kann ich Briefe mit beliebigen Absendern in beliebige gelbe Briefkästen werfen. Hey, da gibt es gar keinen Unterschied.
  • Es war früher geradezu *Absicht* und Design des SMTP-Protokolls dass Absender ihre Mail beim nächstgelegenen SMTP-Server abliefern (der nicht der SMTP-Server des Postfachproviders sein muß). Genauso, wie ich heute Briefe in den nächsten gelben Kasten und nicht bei meinem Heimatwort einwerfe.
  • mailbox.org könnte prinzipiell eine Absenderprüfung implementieren, doch würde das nicht verhindern, daß 8 Milliarden andere Menschen irgendwo auf der Welt bei beliebigen anderen SMTP-Servern beliebige Absender erzeugen (auch mailbox.org).
  • Ich bin ein großer Anhänger von der These, daß eine gefühlte vermeindliche Sicherheit eine große Gefährdung darstellt. Es ist sicherer, wenn Leute sich unsicher fühlen wenn sie sich unsicher fühlen sollten. Es ist unsicher, wenn sie sich sicher fühlen, obwohl sie sich unsicher fühlen sollten. Nutzer müssen kapieren (und wissen das auch) daß Absender im Internet willkürlich frei gewählt und gefaked werden können. Ja, ich kann sofort und ganz beliebig Mails von merkel@bundestag.de erzeugen, kein Problem und das ist auch keine Sicherheitslücke. (In den 90er Jahren lief das auf der CeBIT noch als "Hackervortrag", aber das ist natürlich Blödsinn.).
  • Es ist richtig, daß heutige Techniken wie DKIM -- die ich ja selbst seit rund 13 Jahren massiv propagiere -- dem einen gewissen Einhalt gebieten könnten, weil man zumindest dann schonmal nachweisen könnte, daß die Mail über den jeweiligen Domainprovider gelaufen ist. -Richtig.
  • Es ist aber leider auch Fakt, daß das Wissen um DKIM & Co zu gering ist und Leute dann in der "vermeindlichen" Sicherheit auf nicht-DKIM-signierte Mails reinfallen würden, wenn sie nicht lernen, wissen und verstehen, daß Absender im analogen wie im digitalen Leben nichts anderes als willkürlicher Text sind. Und dann gilt für mich eben meine These von oben: "Gefühlte Sicherheit ist die größere Gefahr als gewußte Unsicherheit."
  • Es ist au0ßerdem so, daß weiterhin an unendlich vielen Stellen im Internet beliebige andere Absender erzeugt werden: Mailinglisten, Forenbeiträge, Notifications, SaaS-Plattformen und und und. Es ist absurd irgendwie anzunehmen, ein Absender sei verifiziert.
  • Wir haben damals diskutiert, ob wir eine entsprechende Limitierung einbauen und ich will auch nicht sagen, daß wir das nie tun werden. Dinge und Zeiten ändern sich, Techniken entwickeln sich und die zunehmende Verbreitung von DKIM und DMARC wird vielleicht dazu führen, daß man Dinge anders bewerten muß. Wir haben die Frage, ob wir unsere Politik hier ändern, auch jetzt im Januar auf der Agenda zu unserer halbjährlichen Abstimmung. Ich sage also "niemals 'nie'".
  • Technisch ist es nicht trivial die Absender zu prüfen. "Out of the box" kann die weltweit eingesetzte Standard-Software das nur für fix hinterlegte Mailadressen. Wir erlauben aber beispielsweise auch catch-all-Adressen. Dafür müssen wir aufwändig eigene Dämon-Software erstellen, die diese Überprüfung durchführt, die catch-alls erkennt und ausrechnet, ob ein User einen bestimmten Absender nutzen darf -- denn der reine Textvergleich der Datenbank gibt das ja nicht her. Ich gebe zu, daß dieser Programmieraufwand damals durchaus ein Argument ist, warum wir im Zweifel nicht limitieren. Und zusätzliche Software-Komponenten machen ein System immer auch komplexer und fehleranfälliger und natürlich haben hier auch Admins und Nutzer Interesse an einem stabilen Systembetrieb. Wir haben heute schon zwei Dutzend Sonderlocken verbaut, die immer wieder mal für Effekte sorgen.
  • Heute haben wir bereits für eine anderer Stelle eine sehr vergleichbare ähnliche Software programmiert, so daß wir das in wenigen Tagen umschreiben könnten, um diesen Kontroll-Dämon zu haben. Genau das diskutieren wir jetzt mal im Januar ob wir das machen wollen und wie wir das sehen. Unser Hauptgrund wäre dann allerdings nicht die (nicht-existente) Sicherheit für User bzw. diese vermeindliche Sicherheitslücke, sondern der Umstand, daß wir viel mit Spammern und anderen Missbrauchsfällen zu tun haben und wir an verschiedenen Stellen unattraktiver für dieses Klientel wären und uns massiv Arbeit durch Missbrauchsfälle sparen könnten. Also Egoismus. :-)
  • Aber mit "Sicherheit" und "Sicherheitslücken" hat das alles nun wirklich echt nichts zu tun. Doof aber, uns das Öffentlichkeitswirksam vorgehalten wird. Da lacht der Profi, aber der Laie denkt sich "HuiHui" und das schadet uns.

Foto
2

vielen Dank für die ausführliche Antwort! Da kann ich mein Support Ticket ja gleich wieder schließen :)


Zum Thema:


Die Argumentation ist nachvollziehbar und trifft im Wesentlichen Punkte die ich so auch schon erkannt bzw. angesprochen hatte. Allerdings stimme ich bei der Bewertung des Thmea DKIM nicht überein.


Mir ist durchaus bewusst, dass Mails per Design von jedem auf der Welt mit jeder beliebigen Absenderadresse verschickt werden können.Allerdings wurde DKIM explizit geschaffen um Mails mit gefälschten Absendern vorzubeugen. Wenn ich meinen DMARC Record entsprechend setzte, dann kann ich davon ausgehen, dass Mails ohne korrekte DKIM Signatur beim Empfänger direkt im SPAM landen ohne dass dieser wissen muss was DKIM oder DMARC ist. Wenn die gefäschte Mail aber vom "richtigem" Server kommt dann wird der durch DKIM gewährte Schutz völlig unterlaufen.


Ich stimme auch der These zu, nicht nur gefühlte Sicherheit verbreiten zu wollen volkommen zu, muss aber sagen, dass gerade das bei mir wohl der Fall war. Dadurch das mailbox.org DKIM anbietet hatte ich mich eigentlich sicher gefühlt vor mit meinem Absender gefakten Emails. Deshalb war ich so überrascht, dass es beim SMTP Server keinen Check gibt. Ob es jetzt eine "Sicherheitslücke" ist oder nicht hängt dann sicherlich von der Ausgangslage ab, hierüber möchte ich nicht streiten.


Ein Versenden von einer catchall-Adresse wäre natürlich schön hatte ich aber ehrlich gesagt nicht erwartet. Ich hätte gedacht, dass ein Versand nur mir explizit registrierten Alias Adresen möglich ist. Man kann aktuell ja auch nicht nach catchall-Adressen filtern, nur nach echten Aliasen.


Den Part mit dem (Outbound-)Spamschutz kann ich ebenfalls sehr gut nachvollziehen. Durch die aktuelle Policy lockt man sicherlich die falschen Leute an und es kommt zu Blacklisting der Mailserver. Wenn es über diese Tür zu einer Überprüfung kommt wäre ja schon gewonnen :)


Zusammengefasst: Ich kann die Argumentation verstehen. Komme aber zu einer anderen Bewertung und möchte ausdrücklich dafür werben in Zukunft eine Überprüfung einzubauen.

Foto
2

Hallo Thomas 91,


Aaaalso: Man kann (natürlich) auch nach catchall-Adressen filtern und nicht nur nach Aliasen. Man kann nicht (mehr) nach Envelope-Adressen filtern, aber Header-Filter würden gehen. Das ist natürlich unvollständig und ein Problem (Diskussion in den 90er Jahren: "Fetchmail multidrop" & Co.) aber viele machen das halt so. Und gerade viele unserer Geschäftskunden schicken halt auch mit wechselnden Absendern Shopbestätigungen & Co raus.


Zu DKIM: Die Theorie, daß DKIM den Mißbrauch von Absendern unterbindet, teile ich nur bedingt. Zu allererst ist DKIM aufgrund von Implementierungsfehlern allenfalls geeignet ein Reputationssystem für Mailserver (nicht Absender-Domains) aufzubauen, da ich mit validenm gültigen DKIM-Signaturen weiterhin beliebige fremde Absender erzeugen kann.


Richtig ist aber, daß das mit DMARC repariert wurde und dieses Problem bei validen DMARC-Records nicht mehr besteht. Allerdings ist es für Unternehmen ("Postbank", "Paypal", "VISA") oder Plattformen ("Facebook") durchaus möglich mittels DMARC eine 100%ige Signierung zu fordern, weil sie dann intern auch dafür sorgen können, daß tatsäcjhlich alles signiert ist (wir betreuen diese Fälle ja und führen DKIM/DMARC für Unternehmen ein -- das ist durchaus viel Aufwand und kann locker ein Jahr dauern bis man alle Mailquellen beisammen und ausgemerzt hat).


Für Mailprovider ist das nicht so einfach möglich. Ich könnte allenfalls noch fordern, daß mailbox.org-Absender nur über unsere Systeme kommt, aber a) widerspricht das dem Sinn des SMTP-Protokolls und b) wird das spätestens bei der Nutzung eigener Domains (die ja bei uns möglich sind) kompliziert bis unmöglich.


Insofern muß man bei DKIM/DMARC immer auch unterscheiden, ob man hier davon redet das für ein potentielles Phishing-Objekt einzuführen, oder für einen normalen Provider mit normalem Mailverkehr.

Foto
1

welche Art der Überprüfung meinst Du hier?

dass, wenn jemand sich mit Hugo@mailbox.org am SMTP ausweist,

auch nur Hugo@mailbox.org im From stehen haben darf?

Foto
1

@4842591 wenn du mich meinst, dann ja genau das.

Also dass du nur deine Hauptemailadresse und die im Webinterface registrierten Alias verwenden kannst. Alle anderen Emails würden vom SMTP Server abgelehnt.


@Peer:

Ich glaube wir sind da beide schon auf der gleichen Seite. Klar ist DKIM nicht das Allheilmittel insbesondere weil ihr als öffentlicher Mailanbieter den DMARC Record nicht beliebig streng setzen könnt, ohne dass euch die Türen des Supports eingerannt werden.

Allerdings ist die Tatsache das jeder mit einem eigenen VPS Emails mit gefälschtem Absender zustellen kann und DKIM/DMARC nur begrenzt dagegen schützt für mich kein ausreichender Grund "die eigenen Tore so weit offen zu lassen". Bzw. auf eine Kontrolle der Absender bei angenommen Emails komplett zu verzichten.

Auch im Sinne der von dir angesprochenen Mailserver Reputation per DKIM wäre es ja von Vorteil Spam zu reduzieren indem Emails mit gefälschten Absender abgelehnt werden.

Foto
1

ja Thomas91, wobei die andere Variante - siehe mein anderer Beitrag - auch möglich sein muss; d.h. wenn Du eine derart rigorose Prüfung willst, dann gilt auch eigentlich:

if ( ( ( envelope-sender == authenticated-user-on-smtp ) &&

( mail-header-from == authenticated-user-on-smtp ) ) ||

( envelope-recipient == authenticated-user-on-smtp ) ) {

...

} else {

access-denied;

}

Foto
Foto
1

Hallo,

das https://userforum.mailbox.org/topic/grundsatzfrage

dürfte genau in diese Richtung gehen, nur etwas anders von der Logik;

wie Perr Heinlein oben sagte, ich zitiere:


"Auch im normalen Leben kann ich Briefe mit beliebigen Absendern in beliebige gelbe Briefkästen werfen. Hey, da gibt es gar keinen Unterschied."


ich hätte es von der Umkehrlogik so betrachtet


"Auch im normalen Leben kann ich Briefe mit bestimmten Empfängern in denjenigen f. diesen Empfänger vorgesehen Postkasten werfen, egal welchen Inhalt der Brief auch ist und dieser auch wirklich f. diesen Empfänger vorgesehen ist¹ "


und genau dieses "Feature" funktioniert und wird von mir benötigt und verwendet;


¹ hatte es selbst erlebt, daß ich einen Brief öffnete, welcher am Kuvert zwar meinen Namen und meine Adresse hatte, aber dessen Inhalt f. jemand anders bestimmt war;

war vom Absender einfach falsch kuvertiert;

Foto
2

Hi,

Das sind aber zwei unterschiedliche Dinge. Bei dem angesprochenen Problem geht es darum, dass jeder "Briefe" mit beliebigen Absenderangaben verschicken kann. Deshalb Peers Briefkasten Analogie zum echten Leben.

In diesem Fall ist es aber so, dass eben nicht einfach jeder "Briefe" in den "Briefkasten" von mailbox.org werfen kann, man muss vorher "seinen Personalausweis zeigen" (Authentifikation beim SMTP Server). Wenn man das geschaft hat, kann man aber so viele Briefe an wen man wil und eben auch mit beliebigen Absender einwerfen. Auch klebt mailbox.org an dem Brief kein Zettel "Da steht zwar A als Absender drauf, aber der Brief wurde von B eingeworfen" (Mailheader). Alle "Briefe" im mailbox.org "Briefkasten" werden dann mit einem "Siegel" (DKIM) versehen und vom mailbox.org Boten persönlich zugestellt.

Ich bin zwar vorher zu allen potentiellen Empfängern gegangen und habe gesagt "Die Welt ist böse und voller Fälscher. Bitte glaubt meinen Briefen nur, wenn Sie von dem mailbox.org Boten persönlich übergeben werden (SPF) und dessen Siegel tragen (DKIM)" Allerdings hat diese Ansprache nichts gebracht, da die "Briefe" ja wirklich von mailbox.org kommen und auch das korrekte Siegel tragen.

So richtig sicher kann man sich also nur sein, wenn man die Mails konsequent per PGP signiert. Leider ist das halt wirklich nicht weit verbreitet....

Foto
1

zwei unterschiedliche Dinge welche aber dann doch gleich sind;


Beispiel: angenommen Du hast A@mailbox.org und ich habe B@mailbox.org; ich kann zwar eine Mail mit A@mailbox.org im Mail-Header From versenden, aber da ich mich beim SMTP mich ausweisen muss, wird im Mail-Envelope trotzdem B@mailbox.org verwendet;

nimm nur an Du hast eine Alias-Adresse C@mailbox.org, dann produzierst Du selbst diesen Konflikt, weil im Mail-Header From C@mailbox.org steht, aber im Mail-Envelope A@mailbox.org verwendet wird ...


und in meinem Fall, steht im Mail-Header gar nichts, das erahnen ließe, daß die Mail f. mich ist - bei Mailing-listen immer der Fall;

da steht im im From meist derjenige der es versendet hat, und im To die Adresse der Mailingliste; und ich denke es ist Ok, wenn per SMTP-Auth. man so eine Mail sich selbst in seine Mailbox "schieben" kann ...


daher gilt beim Empfang von Mails, nicht auf das From zu sehen, sondern den E-mail-Envelope zu beachten ...

genau das hast Du ja im kommerziellen Umfeld;

im Mail-Header steht im From office@company.net aber tatsächlich absenden tut es die Sekretärin, und das ist dann im Envelope z.B. name@company.net und meist im Header mittels des Sender Feldes;


und PGP ist eine Variante, ich bevorzuge S/MIME da PGP momentan eher den Status von selbst signiert hat, und damit zwar die Integrität nicht aber die Authentizität gewärleistet ist;

Foto
1

Ich würde dir ja gerne zustimmen, aber leider ist es mailbox.org so, dass es kein Envelope-From übertragen wird bzw. dort die From: Adresse eingetragen wrid. Das wird Absicht sein um die von dir angesprochene Offenlegung der "echten" Email Adresse bei Verwendung eines Alias zu unterbinden.


Leider führt es aber auch dazu, dass es keinen Weg gibt zu erkennen ob eine Mail wirklich von mir verschickt wurde oder von einem anderen Mailbox.org Nutzer der meine Adresse als Absender verwendet.


Ich bin ja auch dafür Aliases komplett zu unterbinden. Ich hatte halt nur erwartet, dass lediglich die im Webinterface registrierten Alias (und ggf. alle der eigenen Domain) als Absender zugelassen sind.


Klar hat PGP Schwächen, ich veröffentliche zB. den FIngerprint meines Keys auf meiner Website die per SSL Zertifikat gesichert ist. Aber der Hautpunkt ist eine die schlechte mobile Unterstützung und die kaum nennenswerte Verbreitung.

Foto
1

"Leider führt es aber auch dazu, dass es keinen Weg gibt zu erkennen ob eine Mail wirklich von mir verschickt wurde oder von einem anderen Mailbox.org Nutzer der meine Adresse als Absender verwendet."


das kannst Du auf ganz anderem Weg lösen; ich kann wenn ich auch eine E-mail mit Deiner Mailadresse absende diese aber nicht digital signieren, weil ich kein Zertifikat habe, welches zu Deiner E-mail Adresse passt ...

darum ja auch der Einwand dass PGP nur die Integrität nicht aber die Authentizität sichert; um beides zu sichern führt kein Weg an S/MIME vorbei ...

wobei die vielen CAs ist ein anderes Kapitel ...

Foto
Foto
1

Hi Zusammen,


nachdem ich mir da einmal länger Gedanken drüber gemacht habe, würde ich hier auch nochmal das Thema auf die Liste bringen.

Ich verstehe die Aussage, dass man Mails ja mehr oder weniger mit Postbriefen vergleichen kann/will/muss.

Aber Mails können ja durchaus weit mehr als wie ein normaler Postbrief ;-)


Gibt es denn einen Grund, warum man nicht (gerne auch optional) eine zusätzliche Sicherheit einbaut, dass erst geprüft wird, ob der Alias überhaupt in einem Account existiert, bevor man darüber Mails versenden kann?! Wenn er nicht existiert, dann dürfen keine Mails verschickt werden.

Das würde doch einen sehr enormen Sicherheitsgewinn bringen. Andere Anbieter machen das auch (z.T. auch optional).

Ich finde das eine sehr gute Sache - und wenn es dann nur optional ist, dann schadet es ja auch keinem. ;-)

Foto
1

Ich habe vor ca. ein bis zwei Wochen über verschiedene Maildienste (auch über meine Mailbox-Adresse) Scam-Mails erhalten, die mir per Spoofing untergejubelt wurden. Die Absenderadresse war also meine eigene Mailadresse. Normalerweise ist mir klar, dass ich solche Mails getrost wegwerfen kann, aber zum gleichen Zeitpunkt verhielt sich mein Modem irgendwie merkwürdig und ich kam kurz ins Grübeln, ob ggf. doch an irgendeiner Stelle ein Sicherheitsleck bestand.