• IT-Karriere:
  • Services:

DKIM: Mit Sicherheit gefälschte Mails versenden

Gefälschte E-Mails zu verschicken ist einfach. Etwas komplizierter wird es, wenn Mailserver auf Anti-Spoofing-Techniken wie SPF, DKIM oder DMARC setzen. Doch auch diese lassen sich umgehen.

Artikel von veröffentlicht am
Stammen die Mails vom richtigen Absender?
Stammen die Mails vom richtigen Absender? (Bild: Tumisu/Pixabay)

"Dein E-Mail-Konto wurde gehackt", behauptet ein Krimineller in einer E-Mail, die als Absender die vermeintlich gehackte E-Mail-Adresse trägt. Es ist nicht kompliziert, den Absender einer E-Mail zu fälschen - auch weil nur wenige E-Mail-Anbieter Anti-Spoofing-Techniken einsetzen. Doch auch diese lassen sich zum Teil mit einfachen Tricks umgehen, wie der Sicherheitsforscher Andrew Konstantinov vom lettischen Cert (Computer Emergency Response Team) auf dem Hackerkongress 36C3 in Leipzig zeigte. "Eines unserer Ziele ist es, die Sicherheit von E-Mail zu steigern", erklärte Konstantinov und zeigt aus der Angreiferperspektive eines Penetration Testers, wo die Probleme in der E-Mail-Sicherheit liegen.

Inhalt:
  1. DKIM: Mit Sicherheit gefälschte Mails versenden
  2. Anti-Spoofing-Techniken: Nicht jede Kombination führt zum besten Ergebnis

Es sei ein kleines, schlecht gehütetes Geheimnis unter Admins, dass sich E-Mails leicht fälschen ließen, sagte Konstantinov auf dem 36C3. Denn E-Mails bestehen aus einem Header und der eigentlichen Nachricht. Beides können Angreifer selbst schreiben oder bearbeiten. Angreifer können aber auch einen weiteren Umstand ausnutzen: Sender und Empfänger tauchen in dem Mailheader jeweils mehrfach auf und müssen nicht übereinstimmen. Konstantinov zeigt einen Beispielmailheader, in dem der Absender Alice einmal als "MAIL FROM" und einmal als "FROM" auftaucht.


MAIL FROM: alice@a.org
RCPT TO: bob@b.org
From: alice@example.com
To: bob@b.org

Man könne sich eine E-Mail als eine Postkarte in einem Briefumschlag vorstellen, erklärte Konstantinov. Die Post, also die Mailserver, würden mit den Daten auf dem Briefumschlag arbeiten, der Empfänger jedoch mit den Daten auf der Postkarte. So können Angreifer dem Empfänger einfach eine andere Absender-E-Mail-Adresse vorgaukeln. Es könnten sogar mehrere From-Zeilen in die E-Mail geschrieben werden, meist werde dann die oberste Zeile vom Mailserver verwendet. Auch fehlerhafte Mails würden meist zugestellt (Best Effort).

Schutz durch Anti-Spoofing-Techniken?

Stellenmarkt
  1. CenterDevice GmbH, Bonn
  2. Diehl Defence GmbH & Co. KG, Überlingen am Bodensee

Eine verbreitete Schutzfunktion ist SPF (Sender Policy Framework), das laut Konstantinov von etwa 75 Prozent der 100.000 größten Mailserver eingesetzt wird. Mit SPF werden die von einem Anbieter genutzten Mailserver in einem DNS-Eintrag festgehalten. So kann der empfangende Mailserver prüfen, ob die E-Mail auch wirklich von einem Mailserver der Absender-Domain stammt. Die meisten SPF-Einträge nutzen allerdings den Softfail-Modus (~all): Bei einem Fehler werden die E-Mails einfach trotzdem angenommen. Die SPF-Zeile müsse jedoch einen Hardfail (-all) enthalten, damit nur noch Mails des Mailservers angenommen würden, betonte Konstantinov.

Doch auch dies lässt sich mit verschiedenen Tricks umgehen. Beispielsweise verwenden insbesondere Shared Hoster die gleichen Mailserver für die Domains ihrer unzähligen Kunden. Über den geteilten Mailserver lassen sich jedoch auch E-Mails mit den Absendern aller anderen Kunden versenden - der SPF-Eintrag stimmt ja mit dem Absendermailserver überein. Ähnliches gilt für weitere Server oder Dienste die auf der gleichen IP-Adresse laufen, beispielsweise ein Webserver. Auch von diesen lassen sich E-Mails mit der korrekten Absender IP-Adresse verschicken. SPF kann in diesen Fällen keine Schutz bieten.

Ein weiteres Problem sei, das SFP nur die Zeile "MAIL FROM" nicht "FROM" prüfe. So könne dem Nutzer weiterhin eine andere Absender-Adresse über die From-Zeile vorgegaukelt werden, erklärte Konstantinov. Das könne zwar mit einer weiteren Technik, nämlich DMARC gefixt werden, dessen Verbreitung sei jedoch sehr gering. Neben DMARC lassen sich E-Mails zudem vom Absender-Server signieren. In Kombination können die Techniken die Sicherheit erhöhen, allerdings ist die Kombination aus allen drei Techniken nicht die sicherste.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Anti-Spoofing-Techniken: Nicht jede Kombination führt zum besten Ergebnis 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 369,45€ (Bestpreis!)

My1 04. Jan 2020

naja wenn eine spaßige person eine weiterleitung macht und die from adressen gleich...

ikhaya 03. Jan 2020

Wenn Ich eine Mail die ich bekommen habe weiterleite werde ich dann nicht der neue...

Wuestenschiff 02. Jan 2020

Lies den text oder besser schau den vortrag (obwohl de speaker das zeitmgnt voll verkackt...

robinx999 30. Dez 2019

Das mit den Sharedhostern verstehe ich jetzt nicht so ganz. Dort hat man doch einen...

budweiser 30. Dez 2019

E-Mail ist nun mal leider weltweit etabliert und wird uns noch lange begleiten, genauso...


Folgen Sie uns
       


Windows Powertoys - Tutorial

Wir geben einen kurzen Überblick der Funktionen von Powertoys für Windows 10.

Windows Powertoys - Tutorial Video aufrufen
    •  /