Willkommen im User-Forum von mailbox.org
 

Mailbox.org SMTP Server stellt Mails mit gefakten Absender zu

Thomas91 hat dies geteilt, 21 Monaten her
veröffentlicht

Der Mailbox.org SMTP Server scheint keine Überprüfung der Absender Emailadresse vorzunehmen. So kann ich beliebige andere Email Adressen, insb. auch andere mailbox.org Adressen als Absender angeben und die Mails werden 1:1 zugestellt.


So konnte ich mit meiner Adresse (userA@mailbox.org) in Thunderbird als Absenderadresse userB@mailbox.org einstellen und die Email wurde so zugestellt inkl. gültiger mailbox.org DKIM Signatur. Der Empfänger konnte nicht herausfinden, dass die mail nicht von userB@mailbox.org kam. Ich konnte auch andere nicht mailbox.org Domains als Absender einstellen, wenn diese Domains ebenfalls über mailbox.org laufen, dann wird auch die korrekte DKIM Signatur der externen Domain angehängt.


Das sieht für mich nach einer deutlichen Sicherheitslücke aus. Jeder kann andere Identitäten annehmen und in deren Namen Emails verschicken.

Meine Erwartung war: Der Mailbox.org SMTP Server überprüft bei der Annahme der Mail ob ich berechtigt bin den angegebenen Absender zu verwenden und lehnt die Mail dann ggf. ab.


Ich kann bei Bedarf gerne ein par Beispielmails inkl. Header zur Verfügung stellen.

Kommentare (56)

Foto
1

Das Thema wurde hier schon mal diskutiert.

Foto
3

Danke für den Link. Leider wird in dem Thread auch nicht wirklich ersichtlich, warum die SMTP Server so eingestellt sind. Ich sehe darin noch immer ein deutliches Risiko, jeder kann sich eine beliebige andere von mailbox.org verwaltete Adresse als Absender angeben und die Mail ist für den Empfanger nicht von einer "echten" zu unterscheiden.


Alle Schutzmechanismin wie SPF oder DKIM werden volkommen unterlaufen.

Foto
1

Meines Wissens (ich kann mich täuschen) sehen die einschlägigen Regeln (RFC) für das SMTP-Protokoll eine solche Prüfung nicht vor. Deshalb wird die Prüfung auch bei vielen anderen Providern nicht gemacht. Geprüft wird nur anhand von Benutzeranmeldung und Passwort, ob der Betreffende generell versenden darf.

Möglicherweise würden dann auch Dienste wie Mail-Extensions erschwert.

Ich persönlich würde eine Prüfung der Versandadresse befürworten. Im Webmailer wird zumindest bei externen Adressen beim Anlegen einmalig eine Prüfung vorgenommen.

Foto
1

Genau das hätte ich erwrtete. Dass nur die Aliases (und von mir aus externe Adressen) verwendet werden dürfen die im Webmail eingerichtet wurden.


Aktuell kann sich hier jeder ein Probekonto einrichten und in meinem Namen Emails verschicken. Diese Emails haben meine gültige DKIM Signatur (obwohl ich meine eigene Domain nutze) und selbst die strengsten SPF Einstellungen helfen nichts. Nicht mal aus den Headern ist ersichtlich, dass die Mail von einem nicht autorisierten Nutzer kommt.


Auch wenn es ggf. nicht im SMTP-Protokoll vorgesehen ist, überprüfen andere Provider durchaus ob der Nutzer überhaupt berechtigt ist von der angegeben Absenderadresse aus Mails zu verschicken.

Foto
Foto
1

Da hier und in dem verlinkten Thread der Support noch nicht erkläutert hat warum die SMTP Server wie besprochen konfiguriert sind werde ich mal unverbindlich beim Support nachfragen. Vielleicht gibt es auch gute Gründe, die mir/uns nicht eingefallen sind.


Das Thema ist mir wichtig und in meinen Augen eine echte Sicherheitslücke.


Wenn ich eine Antwort erhalte werde ich diese hier posten.

Foto
3

Also. Eine solche Diskussion würde, wenn ich alle Argumente bringe, eine gute Stunde einnehmen. Soviel Raum geben wir dem teilweise in unseren Postmaster-Schulungen an der Akademie.

Kurzfassung am Abend:


  • Das SMTP-Protokoll sieht absichtlich (!) keine Überprüfung des Absenders vor.
  • Auch im normalen Leben kann ich Briefe mit beliebigen Absendern in beliebige gelbe Briefkästen werfen. Hey, da gibt es gar keinen Unterschied.
  • Es war früher geradezu *Absicht* und Design des SMTP-Protokolls dass Absender ihre Mail beim nächstgelegenen SMTP-Server abliefern (der nicht der SMTP-Server des Postfachproviders sein muß). Genauso, wie ich heute Briefe in den nächsten gelben Kasten und nicht bei meinem Heimatwort einwerfe.
  • mailbox.org könnte prinzipiell eine Absenderprüfung implementieren, doch würde das nicht verhindern, daß 8 Milliarden andere Menschen irgendwo auf der Welt bei beliebigen anderen SMTP-Servern beliebige Absender erzeugen (auch mailbox.org).
  • Ich bin ein großer Anhänger von der These, daß eine gefühlte vermeindliche Sicherheit eine große Gefährdung darstellt. Es ist sicherer, wenn Leute sich unsicher fühlen wenn sie sich unsicher fühlen sollten. Es ist unsicher, wenn sie sich sicher fühlen, obwohl sie sich unsicher fühlen sollten. Nutzer müssen kapieren (und wissen das auch) daß Absender im Internet willkürlich frei gewählt und gefaked werden können. Ja, ich kann sofort und ganz beliebig Mails von merkel@bundestag.de erzeugen, kein Problem und das ist auch keine Sicherheitslücke. (In den 90er Jahren lief das auf der CeBIT noch als "Hackervortrag", aber das ist natürlich Blödsinn.).
  • Es ist richtig, daß heutige Techniken wie DKIM -- die ich ja selbst seit rund 13 Jahren massiv propagiere -- dem einen gewissen Einhalt gebieten könnten, weil man zumindest dann schonmal nachweisen könnte, daß die Mail über den jeweiligen Domainprovider gelaufen ist. -Richtig.
  • Es ist aber leider auch Fakt, daß das Wissen um DKIM & Co zu gering ist und Leute dann in der "vermeindlichen" Sicherheit auf nicht-DKIM-signierte Mails reinfallen würden, wenn sie nicht lernen, wissen und verstehen, daß Absender im analogen wie im digitalen Leben nichts anderes als willkürlicher Text sind. Und dann gilt für mich eben meine These von oben: "Gefühlte Sicherheit ist die größere Gefahr als gewußte Unsicherheit."
  • Es ist au0ßerdem so, daß weiterhin an unendlich vielen Stellen im Internet beliebige andere Absender erzeugt werden: Mailinglisten, Forenbeiträge, Notifications, SaaS-Plattformen und und und. Es ist absurd irgendwie anzunehmen, ein Absender sei verifiziert.
  • Wir haben damals diskutiert, ob wir eine entsprechende Limitierung einbauen und ich will auch nicht sagen, daß wir das nie tun werden. Dinge und Zeiten ändern sich, Techniken entwickeln sich und die zunehmende Verbreitung von DKIM und DMARC wird vielleicht dazu führen, daß man Dinge anders bewerten muß. Wir haben die Frage, ob wir unsere Politik hier ändern, auch jetzt im Januar auf der Agenda zu unserer halbjährlichen Abstimmung. Ich sage also "niemals 'nie'".
  • Technisch ist es nicht trivial die Absender zu prüfen. "Out of the box" kann die weltweit eingesetzte Standard-Software das nur für fix hinterlegte Mailadressen. Wir erlauben aber beispielsweise auch catch-all-Adressen. Dafür müssen wir aufwändig eigene Dämon-Software erstellen, die diese Überprüfung durchführt, die catch-alls erkennt und ausrechnet, ob ein User einen bestimmten Absender nutzen darf -- denn der reine Textvergleich der Datenbank gibt das ja nicht her. Ich gebe zu, daß dieser Programmieraufwand damals durchaus ein Argument ist, warum wir im Zweifel nicht limitieren. Und zusätzliche Software-Komponenten machen ein System immer auch komplexer und fehleranfälliger und natürlich haben hier auch Admins und Nutzer Interesse an einem stabilen Systembetrieb. Wir haben heute schon zwei Dutzend Sonderlocken verbaut, die immer wieder mal für Effekte sorgen.
  • Heute haben wir bereits für eine anderer Stelle eine sehr vergleichbare ähnliche Software programmiert, so daß wir das in wenigen Tagen umschreiben könnten, um diesen Kontroll-Dämon zu haben. Genau das diskutieren wir jetzt mal im Januar ob wir das machen wollen und wie wir das sehen. Unser Hauptgrund wäre dann allerdings nicht die (nicht-existente) Sicherheit für User bzw. diese vermeindliche Sicherheitslücke, sondern der Umstand, daß wir viel mit Spammern und anderen Missbrauchsfällen zu tun haben und wir an verschiedenen Stellen unattraktiver für dieses Klientel wären und uns massiv Arbeit durch Missbrauchsfälle sparen könnten. Also Egoismus. :-)
  • Aber mit "Sicherheit" und "Sicherheitslücken" hat das alles nun wirklich echt nichts zu tun. Doof aber, uns das Öffentlichkeitswirksam vorgehalten wird. Da lacht der Profi, aber der Laie denkt sich "HuiHui" und das schadet uns.

Foto
2

vielen Dank für die ausführliche Antwort! Da kann ich mein Support Ticket ja gleich wieder schließen :)


Zum Thema:


Die Argumentation ist nachvollziehbar und trifft im Wesentlichen Punkte die ich so auch schon erkannt bzw. angesprochen hatte. Allerdings stimme ich bei der Bewertung des Thmea DKIM nicht überein.


Mir ist durchaus bewusst, dass Mails per Design von jedem auf der Welt mit jeder beliebigen Absenderadresse verschickt werden können.Allerdings wurde DKIM explizit geschaffen um Mails mit gefälschten Absendern vorzubeugen. Wenn ich meinen DMARC Record entsprechend setzte, dann kann ich davon ausgehen, dass Mails ohne korrekte DKIM Signatur beim Empfänger direkt im SPAM landen ohne dass dieser wissen muss was DKIM oder DMARC ist. Wenn die gefäschte Mail aber vom "richtigem" Server kommt dann wird der durch DKIM gewährte Schutz völlig unterlaufen.


Ich stimme auch der These zu, nicht nur gefühlte Sicherheit verbreiten zu wollen volkommen zu, muss aber sagen, dass gerade das bei mir wohl der Fall war. Dadurch das mailbox.org DKIM anbietet hatte ich mich eigentlich sicher gefühlt vor mit meinem Absender gefakten Emails. Deshalb war ich so überrascht, dass es beim SMTP Server keinen Check gibt. Ob es jetzt eine "Sicherheitslücke" ist oder nicht hängt dann sicherlich von der Ausgangslage ab, hierüber möchte ich nicht streiten.


Ein Versenden von einer catchall-Adresse wäre natürlich schön hatte ich aber ehrlich gesagt nicht erwartet. Ich hätte gedacht, dass ein Versand nur mir explizit registrierten Alias Adresen möglich ist. Man kann aktuell ja auch nicht nach catchall-Adressen filtern, nur nach echten Aliasen.


Den Part mit dem (Outbound-)Spamschutz kann ich ebenfalls sehr gut nachvollziehen. Durch die aktuelle Policy lockt man sicherlich die falschen Leute an und es kommt zu Blacklisting der Mailserver. Wenn es über diese Tür zu einer Überprüfung kommt wäre ja schon gewonnen :)


Zusammengefasst: Ich kann die Argumentation verstehen. Komme aber zu einer anderen Bewertung und möchte ausdrücklich dafür werben in Zukunft eine Überprüfung einzubauen.

Foto
2

Hallo Thomas 91,


Aaaalso: Man kann (natürlich) auch nach catchall-Adressen filtern und nicht nur nach Aliasen. Man kann nicht (mehr) nach Envelope-Adressen filtern, aber Header-Filter würden gehen. Das ist natürlich unvollständig und ein Problem (Diskussion in den 90er Jahren: "Fetchmail multidrop" & Co.) aber viele machen das halt so. Und gerade viele unserer Geschäftskunden schicken halt auch mit wechselnden Absendern Shopbestätigungen & Co raus.


Zu DKIM: Die Theorie, daß DKIM den Mißbrauch von Absendern unterbindet, teile ich nur bedingt. Zu allererst ist DKIM aufgrund von Implementierungsfehlern allenfalls geeignet ein Reputationssystem für Mailserver (nicht Absender-Domains) aufzubauen, da ich mit validenm gültigen DKIM-Signaturen weiterhin beliebige fremde Absender erzeugen kann.


Richtig ist aber, daß das mit DMARC repariert wurde und dieses Problem bei validen DMARC-Records nicht mehr besteht. Allerdings ist es für Unternehmen ("Postbank", "Paypal", "VISA") oder Plattformen ("Facebook") durchaus möglich mittels DMARC eine 100%ige Signierung zu fordern, weil sie dann intern auch dafür sorgen können, daß tatsäcjhlich alles signiert ist (wir betreuen diese Fälle ja und führen DKIM/DMARC für Unternehmen ein -- das ist durchaus viel Aufwand und kann locker ein Jahr dauern bis man alle Mailquellen beisammen und ausgemerzt hat).


Für Mailprovider ist das nicht so einfach möglich. Ich könnte allenfalls noch fordern, daß mailbox.org-Absender nur über unsere Systeme kommt, aber a) widerspricht das dem Sinn des SMTP-Protokolls und b) wird das spätestens bei der Nutzung eigener Domains (die ja bei uns möglich sind) kompliziert bis unmöglich.


Insofern muß man bei DKIM/DMARC immer auch unterscheiden, ob man hier davon redet das für ein potentielles Phishing-Objekt einzuführen, oder für einen normalen Provider mit normalem Mailverkehr.

Foto
1

welche Art der Überprüfung meinst Du hier?

dass, wenn jemand sich mit Hugo@mailbox.org am SMTP ausweist,

auch nur Hugo@mailbox.org im From stehen haben darf?

Foto
1

@4842591 wenn du mich meinst, dann ja genau das.

Also dass du nur deine Hauptemailadresse und die im Webinterface registrierten Alias verwenden kannst. Alle anderen Emails würden vom SMTP Server abgelehnt.


@Peer:

Ich glaube wir sind da beide schon auf der gleichen Seite. Klar ist DKIM nicht das Allheilmittel insbesondere weil ihr als öffentlicher Mailanbieter den DMARC Record nicht beliebig streng setzen könnt, ohne dass euch die Türen des Supports eingerannt werden.

Allerdings ist die Tatsache das jeder mit einem eigenen VPS Emails mit gefälschtem Absender zustellen kann und DKIM/DMARC nur begrenzt dagegen schützt für mich kein ausreichender Grund "die eigenen Tore so weit offen zu lassen". Bzw. auf eine Kontrolle der Absender bei angenommen Emails komplett zu verzichten.

Auch im Sinne der von dir angesprochenen Mailserver Reputation per DKIM wäre es ja von Vorteil Spam zu reduzieren indem Emails mit gefälschten Absender abgelehnt werden.

Foto
1

ja Thomas91, wobei die andere Variante - siehe mein anderer Beitrag - auch möglich sein muss; d.h. wenn Du eine derart rigorose Prüfung willst, dann gilt auch eigentlich:

if ( ( ( envelope-sender == authenticated-user-on-smtp ) &&

( mail-header-from == authenticated-user-on-smtp ) ) ||

( envelope-recipient == authenticated-user-on-smtp ) ) {

...

} else {

access-denied;

}

Foto
Foto
1

Hallo,

das https://userforum.mailbox.org/topic/grundsatzfrage

dürfte genau in diese Richtung gehen, nur etwas anders von der Logik;

wie Perr Heinlein oben sagte, ich zitiere:


"Auch im normalen Leben kann ich Briefe mit beliebigen Absendern in beliebige gelbe Briefkästen werfen. Hey, da gibt es gar keinen Unterschied."


ich hätte es von der Umkehrlogik so betrachtet


"Auch im normalen Leben kann ich Briefe mit bestimmten Empfängern in denjenigen f. diesen Empfänger vorgesehen Postkasten werfen, egal welchen Inhalt der Brief auch ist und dieser auch wirklich f. diesen Empfänger vorgesehen ist¹ "


und genau dieses "Feature" funktioniert und wird von mir benötigt und verwendet;


¹ hatte es selbst erlebt, daß ich einen Brief öffnete, welcher am Kuvert zwar meinen Namen und meine Adresse hatte, aber dessen Inhalt f. jemand anders bestimmt war;

war vom Absender einfach falsch kuvertiert;

Foto
2

Hi,

Das sind aber zwei unterschiedliche Dinge. Bei dem angesprochenen Problem geht es darum, dass jeder "Briefe" mit beliebigen Absenderangaben verschicken kann. Deshalb Peers Briefkasten Analogie zum echten Leben.

In diesem Fall ist es aber so, dass eben nicht einfach jeder "Briefe" in den "Briefkasten" von mailbox.org werfen kann, man muss vorher "seinen Personalausweis zeigen" (Authentifikation beim SMTP Server). Wenn man das geschaft hat, kann man aber so viele Briefe an wen man wil und eben auch mit beliebigen Absender einwerfen. Auch klebt mailbox.org an dem Brief kein Zettel "Da steht zwar A als Absender drauf, aber der Brief wurde von B eingeworfen" (Mailheader). Alle "Briefe" im mailbox.org "Briefkasten" werden dann mit einem "Siegel" (DKIM) versehen und vom mailbox.org Boten persönlich zugestellt.

Ich bin zwar vorher zu allen potentiellen Empfängern gegangen und habe gesagt "Die Welt ist böse und voller Fälscher. Bitte glaubt meinen Briefen nur, wenn Sie von dem mailbox.org Boten persönlich übergeben werden (SPF) und dessen Siegel tragen (DKIM)" Allerdings hat diese Ansprache nichts gebracht, da die "Briefe" ja wirklich von mailbox.org kommen und auch das korrekte Siegel tragen.

So richtig sicher kann man sich also nur sein, wenn man die Mails konsequent per PGP signiert. Leider ist das halt wirklich nicht weit verbreitet....

Foto
1

zwei unterschiedliche Dinge welche aber dann doch gleich sind;


Beispiel: angenommen Du hast A@mailbox.org und ich habe B@mailbox.org; ich kann zwar eine Mail mit A@mailbox.org im Mail-Header From versenden, aber da ich mich beim SMTP mich ausweisen muss, wird im Mail-Envelope trotzdem B@mailbox.org verwendet;

nimm nur an Du hast eine Alias-Adresse C@mailbox.org, dann produzierst Du selbst diesen Konflikt, weil im Mail-Header From C@mailbox.org steht, aber im Mail-Envelope A@mailbox.org verwendet wird ...


und in meinem Fall, steht im Mail-Header gar nichts, das erahnen ließe, daß die Mail f. mich ist - bei Mailing-listen immer der Fall;

da steht im im From meist derjenige der es versendet hat, und im To die Adresse der Mailingliste; und ich denke es ist Ok, wenn per SMTP-Auth. man so eine Mail sich selbst in seine Mailbox "schieben" kann ...


daher gilt beim Empfang von Mails, nicht auf das From zu sehen, sondern den E-mail-Envelope zu beachten ...

genau das hast Du ja im kommerziellen Umfeld;

im Mail-Header steht im From office@company.net aber tatsächlich absenden tut es die Sekretärin, und das ist dann im Envelope z.B. name@company.net und meist im Header mittels des Sender Feldes;


und PGP ist eine Variante, ich bevorzuge S/MIME da PGP momentan eher den Status von selbst signiert hat, und damit zwar die Integrität nicht aber die Authentizität gewärleistet ist;

Foto
1

Ich würde dir ja gerne zustimmen, aber leider ist es mailbox.org so, dass es kein Envelope-From übertragen wird bzw. dort die From: Adresse eingetragen wrid. Das wird Absicht sein um die von dir angesprochene Offenlegung der "echten" Email Adresse bei Verwendung eines Alias zu unterbinden.


Leider führt es aber auch dazu, dass es keinen Weg gibt zu erkennen ob eine Mail wirklich von mir verschickt wurde oder von einem anderen Mailbox.org Nutzer der meine Adresse als Absender verwendet.


Ich bin ja auch dafür Aliases komplett zu unterbinden. Ich hatte halt nur erwartet, dass lediglich die im Webinterface registrierten Alias (und ggf. alle der eigenen Domain) als Absender zugelassen sind.


Klar hat PGP Schwächen, ich veröffentliche zB. den FIngerprint meines Keys auf meiner Website die per SSL Zertifikat gesichert ist. Aber der Hautpunkt ist eine die schlechte mobile Unterstützung und die kaum nennenswerte Verbreitung.

Foto
1

"Leider führt es aber auch dazu, dass es keinen Weg gibt zu erkennen ob eine Mail wirklich von mir verschickt wurde oder von einem anderen Mailbox.org Nutzer der meine Adresse als Absender verwendet."


das kannst Du auf ganz anderem Weg lösen; ich kann wenn ich auch eine E-mail mit Deiner Mailadresse absende diese aber nicht digital signieren, weil ich kein Zertifikat habe, welches zu Deiner E-mail Adresse passt ...

darum ja auch der Einwand dass PGP nur die Integrität nicht aber die Authentizität sichert; um beides zu sichern führt kein Weg an S/MIME vorbei ...

wobei die vielen CAs ist ein anderes Kapitel ...

Foto
1

Hi Zusammen,


um noch einmal den längeren Post von Peer oben aufzugreifen... Wenn man sich den im Detail durchliest, merkt man ja schon, dass er/die Firma eigentlich nicht so ganz abgeneigt ist, so etwas wie SMTP Auth einzuführen.


Ich hätte da noch einmal eine Frage in der Sache... Würde es nicht auch einen großen Vorteil für die Reputation von mailbox.org bringen, wenn nicht mehr jeder der einen kl. 1,- EUR Account hat, mit ext. Domains die er frei wählt Mails durch die Welt schicken kann?!

So würde man doch bestimmt das Mailaufkommen stark eingrenzen und nicht so tolle/legale Aktivitäten minimieren.

Oder ist meine Denkweise hier eine Falsche?


Ich würde es sehr begrüßen, dass man einen "Schalter" hätte, wo man SMTP Auth für sich selbst aktivieren oder deaktivieren kann (das gibt es ja auch bei anderen Anbietern - z.T. deutlich kleiner als mailbox.org).

Foto
1

@Den

"Ich hätte da noch einmal eine Frage in der Sache... Würde es nicht auch einen großen Vorteil für die Reputation von mailbox.org bringen, wenn nicht mehr jeder der einen kl. 1,- EUR Account hat, mit ext. Domains die er frei wählt Mails durch die Welt schicken kann?!"


ich hoffe Du hast schon mal was von SPF udgl. gehört; sprich hier kann jeder nur so eine Domain verwenden f. die er die Kontrolle hat - DNS-Definition; und das sollte eigentlich einschließen, daß diese auch ihm/ihr gehört;

wieso willst genau das unterbinden - jetzt mal unabhängig davon ob man Mailbox.org-Kunde ist, der 1 EUR im Monat bezahlt od. 10 EUR (sofern es das gibt)?

Foto
1

Hi Walter.

Du drehst mir die Worte im Mund um... so habe ich das nicht gesagt.


Ich will es nicht unterbinden.

Ich würde es als Auswahlmöglichkeit pro Account begrüßen! Großer Unterschied. Ob standardmäßig an oder aus wäre mir egal.


SPF muss man ja nicht nutzen.


Und Peer schreibt ja auch, dass es eigentlich gar nicht unsinnig ist und intern darüber nachgedacht wird. Von daher meine Rückfrage in die Runde.


Es gibt sicherlich noch andere Wege und Methoden. Aber schlecht ist diese Variante ja nicht.

Foto
1

@Den

dann schreib das auch so, wie Du es meinst; es steht nämlich anders da ..., das ist der Unterschied;

und das, ob man SPF nutzt od. nicht kann nur f. eigene Domains entschieden werden; bei fremden ist dies meist ohnehin vorgegeben, und Mails mit solchen Absendern, werden - sobald sie mittels der mailbox.org-Infrastruktur versendet werden ohnehin zurückgeworfen;

Dir ist hoffentlich bewußt, daß das was Du gerne hättest folgendes bedeutet:

willst Du von Postfach n absenden, dann musst Du Dich auch mit Postfach n am SMTP anmelden;(die simple Wahl eines anderen Absenders funktioniert dann nicht mehr, einzig die Wahl eines Alias des SELBEN Postfachs ist noch möglich - f. Kunden mit mehr als 1 Postfach ein Stolperstein)

oder anders: die weit verbreiteten Setups, daß man z.B. beim Postfix je Server UserId und Passwort f. den Relaythost hinterlegt funktioniert dann meist auch nicht mehr;

Foto
1

Hi Walter,


Keine Ahnung, wieso Du die Sachen falsch liest/interpretierst o.ä. Ich habe Folgendes geschrieben. Das ist eigentlich sehr deutlich und nicht missverständlich. Zumindest in meiner kleinen Welt...

Ich würde es sehr begrüßen, dass man einen "Schalter" hätte, wo man SMTP Auth für sich selbst aktivieren oder deaktivieren kann (das gibt es ja auch bei anderen Anbietern - z.T. deutlich kleiner als mailbox.org).

Und zu Deinen Punkten.

Ja genau das ist mir bewusst und so würde ich es Begrüßen. Denn ich für mich finde das eine gute Sache und genau do hätte ich es gerne. Und ich vermute auch, dass ich hier nicht allein bin in der Sache. Viele wissen einfach nicht, dass es aktuell nicht so ist.

Das ist auch der Grund warum ich hier nochmal Nachfrage und an Peers Antwort erkennt man auch, dass das eigentlich keine ganz so dumme Sache ist mit der Absicherung über SMTP.

Und um es hier noch einmal zu schreiben. Ich bin mir dessen bewusst, dass so manches (zum Teil außergewöhnliches) Setup dadurch nicht mehr klappt. Von daher soll es auch „optional“(!) sein.

Durch den „optionalen Schalter“ bleibt Dein Setup auch unberührt und Du kannst dich beruhigt zurücklehnen. 😎

Foto
1

@Den: richtig Deine kleine Welt, darum wiederhole ich was DU geschrieben hast:

das hier:

"Ich hätte da noch einmal eine Frage in der Sache... Würde es nicht auch einen großen Vorteil für die Reputation von mailbox.org bringen, wenn nicht mehr jeder der einen kl. 1,- EUR Account hat, mit ext. Domains die er frei wählt Mails durch die Welt schicken kann?!"

und das ist auch unmißverständlich;


und hier: "Und um es hier noch einmal zu schreiben. Ich bin mir dessen bewusst, dass so manches (zum Teil außergewöhnliches) Setup dadurch nicht mehr klappt. Von daher soll es auch „optional“(!) sein. "

ich denke Du bist Dir hier gar nicht bewußt, was das wirklich heißt; denn im Gegensatz zu einem "Schalter" über die Farbe des Webinterfaces ist derartiges so tief drin, daß es entweder gar nicht od. für alle gilt;

und darum bin ich dagegen;

und warum?

die Hausaufgaben diese von Dir nicht gewünschten Mails sollten auf der Empfängerseite liegen;

es macht nicht unbedingt Sinn genau hier die Logik umzukehren;

beim Auto willst Du ja auch nicht, daß Du es nur dann in Betrieb nehmen kannst, wenn das, das, das, und das erfüllt ist und sobald Du 3 km/h zu schnell bist, per Schleudersitz aus diesem entfernt wirst, oder?

an Hand Deiner vorherigen doch eindeutigen Aussage: geht es Dir um mailbox.org als Domain oder um die Drittdomains, welche als Absender möglich sind?

Foto
1

Was ist bitte an einer Frage verwerflich? Ich fordere hier nichts ein, ich befehle nichts, oder ähnliches.


Lediglich eine Frage, ob das nicht sinnvoll wäre (was übrigens der CEO von Mailbox.org auch für die Zukunft nicht ausgeschlossen hat bzw. es intern im Team auch schon diskutiert wurde bzw. evtl. ja auch immer noch wird), so eine Technik vielleicht "optional" doch einzuführen.


Das es übrigens umzusetzen geht (auch optional) zeigen andere Anbieter. Ob einfach oder nicht sei mal dahingestellt... Davon habe ich keine Ahnung.


Wenn z.B. ein Team oder eine Familie div. Domains hat und jedes Team-/Familienmitglied einen eigenen Mail-Account mit einer definierten Mailadresse (egal ob extern oder intern), dann kann es die Mail auch einfach als eine andere Person schreiben, weil es im Mailclient sich einfach irgendeine Mailadresse/Domain einträgt und dann über Mailbox.org verschickt. (Worum es hier in dem Thread ja auch geht).

Das wäre schön, wenn das unterbunden wird. Von mir aus auch gerne nur für externe Domains und nicht für Mailbox.org Adresse.

Und wie gesagt, es ist nur eine Frage/Wunsch. ;-)

Foto
1

schon daran gedacht, daß Du dies dahingehend vermeiden kannst, indem Du Mails digital signierst;

sollte jemand anders Deine E-mailadresse mißbrauchen, scheitert er daran;

wie gesagt: der Empfänger darf auch was tun, es muss nicht alles der Absender machen;

weil übertragen hieße Dein Wunsch ja nichts anderes als daß Du Briefe, Ansichtskarten, ... nur noch am Postamt aufgeben kannst, Dich dabei ausweisen musst, um festzustellen, ob Du überhaupt befugt bist, das abzusenden; und Postkästen gibt es keine mehr;

daher: denke nicht daran, Dir digital etwas zu wünschen, was Du analog ablehnst; der Überwachungsstaat kommt früh genug;

Foto
1

Hi,

ja - ich weiß, dass es da durchaus andere Methoden gibt. Aber die müssen alle von mir selbst initiiert werden, kosten z.T. Geld, sind nicht wirklich komfortabel etc.

Und Vergleiche mit Briefen, Post, Postkästen oder so mag ich gar nicht erst ziehen.

Der Brief, die Post ist ein langsam aussterbendes Medium. Ich habe seit Jahren keine Brief mehr verschickt - ˘Mails hingegen täglich diverse.

Die E-Mail ist deren Nachfolger - wenngleich auch einige immer wieder behaupten, dass die E-Mail ja auch ausstirbt ;-)

Und wenn man beim "Nachfolger" E-Mail doch standardmäßig etwas für deren Sicherheit seitens des Mailanbieters tun kann - warum sollte man es dann nicht angehen/versuchen?

Das Thema wurde ja auch nicht von mir eröffnet und es gibt diverse andere Menschen, die der gleichen Meinung, wie ich sind bei dem Thema - ich stehe damit ja auch nicht allein auf weiter Flur.

Und nein PGP und S/MIME o.ä. will ich keinem antun... Mir selbst auch nicht. ;-)

Foto
1

und daß Du es nicht ganz verstanden hast, sei Dir mit folgendem gesagt: digital signierte Mails - mit S/MIME - stellen auch die Datenintegrität sicher;

sprich: auch wenn das von Dir gewünscht Feature aktiviert/implementiert wird, und kein anderer mehr Deine E-mailadresse als Absender verwenden kann, kommt beim Empfänger dennoch nichts authentisches an;

mit anderen Worten: Du darfst dennoch was tun; und es darf auch ein paar EUROs kosten;

Foto
1

Hallo Walter, es geht hier ja auch nicht primär um mich und mein Wissen oder Nichtwissen. Ich bin ein ganz normaler User des Dienstes und ich würde mich freuen, wenn ich nicht persönlich hier angegangen werde. Tut mir leid, wenn ich in der gesamten Materie nicht der Allwissende bin.

Ich bin nur der gleichen Meinung wie ein paar Andere hier im Forum (sowie auch z.T. wohl den Betreibern von mailbox.org) und würde mich über dieses Feature freuen.

Ich selbst habe den Thread ja auch gar nicht eröffnet.


Es wäre schön, wenn wir das Persönliche hier ein wenig zurückstellen könnten. Jeder hat hier seine Meinung - die darf er kommunizieren und auch so behalten und haben.

Was letztendlich umgesetzt wird entscheidet 'Gott sei Dank' der Betreiber des Dienstes selbst :-)

Foto
Foto
2

Hi Zusammen,


nachdem ich mir da einmal länger Gedanken drüber gemacht habe, würde ich hier auch nochmal das Thema auf die Liste bringen.

Ich verstehe die Aussage, dass man Mails ja mehr oder weniger mit Postbriefen vergleichen kann/will/muss.

Aber Mails können ja durchaus weit mehr als wie ein normaler Postbrief ;-)


Gibt es denn einen Grund, warum man nicht (gerne auch optional) eine zusätzliche Sicherheit einbaut, dass erst geprüft wird, ob der Alias überhaupt in einem Account existiert, bevor man darüber Mails versenden kann?! Wenn er nicht existiert, dann dürfen keine Mails verschickt werden.

Das würde doch einen sehr enormen Sicherheitsgewinn bringen. Andere Anbieter machen das auch (z.T. auch optional).

Ich finde das eine sehr gute Sache - und wenn es dann nur optional ist, dann schadet es ja auch keinem. ;-)

Foto
1

Ich habe vor ca. ein bis zwei Wochen über verschiedene Maildienste (auch über meine Mailbox-Adresse) Scam-Mails erhalten, die mir per Spoofing untergejubelt wurden. Die Absenderadresse war also meine eigene Mailadresse. Normalerweise ist mir klar, dass ich solche Mails getrost wegwerfen kann, aber zum gleichen Zeitpunkt verhielt sich mein Modem irgendwie merkwürdig und ich kam kurz ins Grübeln, ob ggf. doch an irgendeiner Stelle ein Sicherheitsleck bestand.

Foto
1

Was haltet Ihr von der Idee einer "optionalen" SMTP-Überprüfung integriert in Mailbox.org?


Standardmäßig muss es ja nicht aktiviert sein, aber es wäre wirklich schön, wenn man es aktivieren könnte/dürfte. Einen richtigen Nachteil erkenne ich hier nicht - eher nur Vorteile (und für mailbox.org wäre das doch auch ein Zugewinn an Sicherheit/Vertrauen, oder?)

Foto
1

Kannst Du kurz erklären, wie konkret Du diese 'optionale' SMTP-Überprüfung veranstalten willst ...

(technische Erkl. nicht oberfl.)


sprich: Du hast ja bereits die Hürde Dich am SMTP authentifizieren zu müssen; es wäre mit dieser 'optionalen' SMTP-Überprüfung nicht ausgeschlossen, daß Du dabei nicht nur mein Setup sondern auch das von anderen kaputt machst, wenn nicht sogar unbrauchbar machst;

Foto
1

Hi und guten Morgen,


ich selbst bin ja (Gott sei Dank) nur ein User. Dementsprechend kann ich wenig über techn. Erklärungen sagen.

Ich selbst würde es aber sehr begrüßen, wenn die Standard-Einstellung so bleibt wie sie aktuell ist und man "optional" aktivieren kann, dass eine Überprüfung vorgenommen wird, ob es entsprechende Aliase überhaupt unter diesem Konto gibt.

Sprich, dass die Server überprüfen, ob es sich wirklich um einen Alias (alternativen Absender) handelt, welcher sich hinter diesem Konto verbirgt, wenn man via SMTP eine Nachricht versendet.


Da das ganze optional zu sehen ist, macht man auch bei anderen nichts kaputt. Wobei ich da nicht verstehe, was man da groß kaputt machen soll/kann (es sei denn, die versendest Mails als eine andere Person - was ja so nicht sein soll).

Foto
1

stellen wir die Frage anders: was f. eine Überprüfung erwartest Du hier, welche Du denkst, daß jetzt nicht gemacht wird?

Foto
3

Peer Heinlein hat diesbezüglich einmal in einem Thread erklärt, dass mailbox.org sich bei SMTP streng nach RFC-Standard verhält und der Standard eben keine entsprechende Plausibilitätsprüfung vorsieht. Dies bedeutet jedoch nicht, dass ein Mailprovider keine Prüfung einbauen dürfte oder diese optional vorsieht. Ich fände es auch gut und enorm wichtig, dass eine Prüfung eingebaut wird, da in der jetztigen Form keinerlei Schutz vor Missbrauch vorhanden ist. Derzeit kann "Hinz und Kunz" in meinem Namen, mit meiner E-Mail-Adresse (auch eigene Domain) E-Mails versenden, welche durch den einheitlichen Gebrauch desselben DKIM-Keys auch noch korrekt signiert werden! Dies hinterläßt, zumindest bei mir, ein komisches Gefühl...

Eine Prüfung könnte doch so aussehen...

- User versendet via SMTP (oder Webmailer) E-Mails und muss sich mittels seiner Zugangsdaten authentifizieren

- Der MDA checkt, ob im entsprechenden User-Account ein Alias oder ein alternativer Versender hinterlegt ist, welcher zu dem Envelope-From passt

- Wenn Postitivprüfung erfolgt ist, wird die Mail versendet, wenn nicht, eben nicht


Welche Aufwände hier dahinterstecken, könnte sicherlich nur Herr Heinlein prognostizieren.

Foto
1

Danke @7842928

Perfekt geschrieben. Und genau das meine ich, bzw. geht es ja auch genau um die Sache hier im Thread.

Foto
1

ich denke jetzt muss ich etwas ausholen (ich bin auch nur User) - da ich aber auch meinen eigenen Mail server f. meine Domain betreibe - wird schnell klar, dass diese Prüfung eigentlich nichts bringt;


@7842928 Du verifizierst eigentlich nur den Envelope und läßt den Mail Header links liegen ...

und genau hier beginnt das Problem;


nicht der Mail Envelope ist hier relevant, sondern der Mail Header;

und genau damit würdest z.B. mein Setup kaputt machen;


die RFCs und sämtliche Mechanismen sind schon gut; es müssen sich nur alle an die Spielregeln halten;


@8708058: 'Die Absenderadresse war also meine eigene Mailadresse.' hier sprichst Du von der Mailadresse im Mail Header, auch von einer mailbox.org-Adresse?

Foto
1

Dann streiche Envelope und setze Mail-Header ... was würde da kaputtgehen? Du müsstest nur sämtliche "alternativen Absender" in deinem Mail-Account hinterlegen. Klar, dies macht Arbeit, aber die alternativen Absender werden auch erst zugelassen, wenn diese durch eine Verifizierungs-Mail bestätigt werden konnten. Genau dies ist doch der eigentliche Sicherheitsgewinn, oder nicht?

Foto
1

ich will jetzt nicht mein Setup breittreten¹; aber soviele 'alternative Absender' wie ich da brauchen würde und nebenbei gar nicht eintragen kann, weil noch gar nicht bekannt, ist einfach unmöglich;


¹ nur soviel; mein Mail server ist nur ein vorgeschaltetes Relay f. meine Domains; und genau dann wenn im To meine E-mailadresse explizit aufscheint wird dies an mein mailbox.org-Postfach per SMTP-Authentication weitergeleitet ...

Foto
1

@Walter H. Ja, die Absender- und Empfängeradresse der Spoofing-Mail entsprach meiner Mailbox-Mailadresse.

Foto
1

@8708058 und diese kam nicht von außerhalb des mailbox.org-Netzes?

oder anders: kannst den Mail-Header public machen, Deine Mailadresse darfst mit ### verschleiern

Foto
1

Also ich stelle mir die Identifizierung wie folgt vor (bzw. kenne ich das so in der Umsetzung bei anderen Anbietern):

Lokaler Client:

- ich erstelle in meinem lokalen neben meinem Haupt-Account weitere Absender-Adressen.

- wenn ich da auf Senden klicke überprüft er, ob diese Absender-Adresse bei mir in den definierten Absender-Adressen enthalten ist (falls ja, dann sendet er die Mail, falls nein, dann sagt der Mail-Client, dass ich nicht autorisiert bin)

Im Web-Interface von mailbox.org:

- kann man ja glaube ich als Absender-Adresse nur eben solche Mail-Adressen auswählen


Da ich das Ganze als "Optional" wählbar ansehe, würden auch keine komplexen Setups wie Walter H. sie benutzt nicht zerstört werden.

Bei "normaler" Nutzung würde es aber durchaus ein mehr an Sicherheit bedeuten/bringen.

Foto
1

genau hier ist auch der Pferdefuß, eine derartige tiefgreifende Sache geht nicht 'optional' und würde mein Setup auf jeden Fall kaputt machen ...


Beispiel: ein mailbox.org-Kunde hat customer@mailbox.org mit Alias hugo.cabreth@mailbox.org

sowie ich selbst mickey.mouse@mailbox.org


angenommen dieser Kunde würde das aktivieren,dann hieße das, daß dieser Kunde mir kein Mail mehr schicken kann;

warum?

mails an meine Domain können ja nur noch mit den Absenderadressen

an mein mailbox.org-Postfach relayed werden, welche nicht in der Menge derer sind,

welche dies aktiviert haben; sprich diese wollen ja verhindern, daß der SMTP-Server von mailbox.org

Mails annimmt, welche deren Absender-Adresse haben, aber z.B. mit meinen Account-Daten an den SMTP-Server übergeben werden;

derartig tiefgreifendes halte ich f. keine gute Idee ...

Foto
1

Hallo Walter, klingt megakompliziert, isses sicherlich auch :-)


Ich fasse mal zusammen, was aus Account-Sicht möglich sein sollte und was nicht:

- Der Empfang von E-Mails funktioniert - jetzt schon - nur, wenn die angeschriebene E-Mail-Adresse zum Account gehört. Das heißt, ich kann nur E-Mails empfangen, wenn ich der rechtmäßige Besitzer der E-Mail-Adresse bin.

- Jetzt neu - der Versand über eine E-Mail-Adresse sollte nur möglich sein, wenn die Versand-Adresse auch tatsächlich dem versendenden Account gehört. Ich möchte ehrlich gesagt nicht, dass du oder jemand anders Mails in meinem Namen mit meiner E-Mail-Adresse versenden kann. Hier spreche ich nur vom Zuständigkeitsbereich "mailbox.org". Wenn jemand über andere Mail-Server spooft, dann isses halt so, dann bekomme ich aber keine DKIM-signierte E-Mail von mailbox.org.

- Wenn du mittels eines Mail-Relays den Empfang regelst, sollte/kann es doch dabei keine Probleme geben, oder?

- Wenn du über das Relay versendest, benötigst du doch keine Adressen, welche eigentlich anderen Kunden gehören?!? Wieso solltest du fremde Adressen benötigen?

Foto
1

@7842928

"Wenn du mittels eines Mail-Relays den Empfang regelst, sollte/kann es doch dabei keine Probleme geben, oder?"

doch die gibt es, genau diese zeigte ich auf ...

"Wenn du über das Relay versendest, benötigst du doch keine Adressen, welche eigentlich anderen Kunden gehören?!? Wieso solltest du fremde Adressen benötigen?"

hierzu schau Dir die anderen schönen Dinge wie SPF und Co. mal genauer an, dann erklärt das Deine Fragen

wie gesagt, ich wollte mein Setup nicht in die Breite treten; aber es muss erlaubt sein sich selbst JEDE Mail zu senden - genau das ist beim Empfang notwendig;

Foto
1

Also ich verstehe nicht wirklich was Walter H. da mit den Mails anstellt. Aber es hat den Anschein, dass das doch ein sehr seltener Ausnahmefall ist.


Aber es sollte doch möglich sein, dass man definiert, dass man eben nur Mails versenden darf, wenn einem doch auch die Adressen gehören. Alles andere ist doch eine Sache, die nicht sein muss und nur Probleme bereitet und Spam und Mail-Aufkommen in die Höhe treibt.

Mir geht es hier einzig und allein um das Absichern dass nicht Gott und die Welt über meinen Mailbox.org Account (und meinen eingebundenen Domains) Nachrichten verschicken kann, als ob ich es selbst wäre?!

Foto
2

Ich weiß, dass nach RFC eine solche Überprüfung nicht vorgesehen/vorgeschrieben ist. Beobachtet habe ich bei unterschiedl. Providern bisher 3 Verhaltensweisen: Mail werden mit "falschem" Absender trotzdem verschickt, die Absender-Adresse wird auf die gültige Haupt-Adresse umgeschrieben (z.B. t-online.de) und der Versand wird abgelehnt. Alle drei haben Vor- und Nachteile. Vielleicht kann ja der Support oder Peer Heinlein mal einen Satz dazu sagen, warum es mailbox.org so macht und nicht anders. ;-)

Foto
1

@Den ich stelle gar nichts an,


ich nutze mein mailbox.org-Postfach wie jeder andere auch,

mit dem Zusatz, daß ich es auf der Heizflosse mittels K-9 Mail im Zugriff habe, und eben, von meinem Mail server (MX-Record meiner Domain verweisen darauf) und dort ausgesiebt wird, was wichtig ist und was nicht; wichtiges wird zusätzlich per SMTP auf mein mailbox.org-Postfach relayed; alles wichtig + unwichtig landet auf einem anderen POP3 Konto (Hoster), welches per fetchmail regelmäßig abgeholt wird und zu Hause abgelegt wird - local hosted IMAP;

zu Hause habe ich meinen Mail client (= Thunderbird) mit 2 IMAP Konten verbunden, das vom mailbox.org-Postfach und das von local hosted IMAP


wie gesagt, so wie es jetzt funktioniert ist es gut;


vielleicht solltest mal das Passwort ändern, wenn Du den Verdacht hast, daß jemand mißbräuchlich Deinen Account verwendet - nur mal so als Gedanke;

Foto
1

@Walter: Du kannst beruhigt sein. MIt dem von dir beschriebenen Szenario wärst du von der diskutierten Sicherheitsimplementierung nicht betroffen.

Foto
1

So schaut es aus. Ich glaube, wir reden einfach aneinander vorbei und Walter hat mit seiner Heizflosse und seinem Konstrukt ganz andere Dinge vor, welche hier einfach keine Rolle spielen.


Und es geht nicht um mein Passwort - das spielt überhaupt keine Rolle. ;-) Ich brauche ja auch gar nicht Dein Passwort um Mails als Walter zu verschicken... Genau darum geht es ja hier.

Foto
1

@7842928 wie kannst Du Dir da so sicher sein?

@Den 'keine Rolle spielen' ist gut, daß mein Setup damit ganz sicher kaputt geht hat Relevanz

Foto
1

Walter, Du weißt ja gar nicht, ob "Dein" Setup dadurch zerstört wird...

Aber nachdem was Du so schreibst, geht es bei Dir ja primär nicht um die Überprüfung von SMTP bei mailbox.org Accounts, wenn ich (und denke ich auch 7842928) das richtig verstanden haben.

Foto
1

@Den doch, weil mein Mailserver ja nichts anderes macht, nur eben automatisiert;

- melde dich mit xxx@mailbox.org und password $$$ an

- sende mail von xxx@mailbox.org an xxx@mailbox.org (jeweils nur im Mail-Envelope)

und das mit jedem beliebigen empfangenen Mail, sprich die Mails haben im From irgendwas im im To eine meine E-mail Adressen von meinen Domain(s)

und sobald Du das vom SMTP-Server prüfen läßt, ist mein Setup zerstört;


wieso seid ihr nur so ungläubig und wollt mein Setup wirklich des langen und breite erklärt haben ...

Foto
1

Hm. Ich glaube ich verstehe einfach nicht, was Du da tust....

Aber darum geht es hier ja auch gar nicht, bzw. interessiert mich das wohl doch sehr einmalige Setup auch gar nicht. (bitte nicht persönlich nehmen).


Ich bin weiter dafür, dass es eine (gerne auch optionale) Erweiterung hinsichtlich Absender-Überprüfung via SMTP gibt, so wie es hier schon mehrfach genannt wurde.

Würde mich freuen, wenn mailbox.org das in zukünftige Planungen mit aufnimmt und evtl. auch umsetzen wird.

Foto
1

@Den ich bin gegen diese Überprüfung, weil es mein Setup kaputt macht; wenn Du Dir wirklich sorgen machst, daß jemand - Da Du ja von eingebundenen Domains sprichst - dies faked, wieso entkoppelst Du das nicht?

sprich: Mailadressen von meinen Domain(s) kann keiner faken, weil SPF verbietet es, und an meinen Mailserver kommt niemand 'ran ...

Foto
1

@Walter: Optional ist das Stichwort... Da macht es Dein Setup auch nicht kaputt. ;-)

Sollte es mandatorisch werden, dann wärst Du glaube ich der einzige Verfechter, dass es das nicht geben soll, weil es dein einmaliges Setup zerstört... ;-)Dann könntest Du ja einfach entkoppeln, da Du ja eigene Mailserver hast/betreibst und alle anderen freuen sich über einen enormen Sicherheitsgewinn bei mailbox.org.

Aber das soll jetzt auch kein Machtkampf zwischen Dir und mir werden. Ich bin einfach für die Sache wie erwähnt - und da bin ich glaube ich nicht allein auf weiter Flur.

Foto
1

@Den das hatte ich bereits oben erklärt was es bedeutet wenn es optional wäre, sprich mir kann dann keiner ein Mail schicken, der diese nicht RFC konforme Sache aufdreht ...

und NEIN ich kann nicht entkoppeln, weil es ja bereits entkoppelt ist, mein Mailserver ist nur ein geschlossenes Relay OHNE irgend einem Mailstore;

und nein es handelt sich hier um keinen wirklichen Sicherheitsgewinn;

Foto