DKIM: Mit Sicherheit gefälschte Mails versenden

Gefälschte E-Mails zu verschicken ist einfach. Etwas komplizierter wird es, wenn Mailserver auf Anti-Spoofing-Techniken wie SPF, DKIM oder DMARC setzen. Doch auch diese lassen sich umgehen.

Artikel von veröffentlicht am
Stammen die Mails vom richtigen Absender?
Stammen die Mails vom richtigen Absender? (Bild: Tumisu/Pixabay)

"Dein E-Mail-Konto wurde gehackt", behauptet ein Krimineller in einer E-Mail, die als Absender die vermeintlich gehackte E-Mail-Adresse trägt. Es ist nicht kompliziert, den Absender einer E-Mail zu fälschen - auch weil nur wenige E-Mail-Anbieter Anti-Spoofing-Techniken einsetzen. Doch auch diese lassen sich zum Teil mit einfachen Tricks umgehen, wie der Sicherheitsforscher Andrew Konstantinov vom lettischen Cert (Computer Emergency Response Team) auf dem Hackerkongress 36C3 in Leipzig zeigte. "Eines unserer Ziele ist es, die Sicherheit von E-Mail zu steigern", erklärte Konstantinov und zeigt aus der Angreiferperspektive eines Penetration Testers, wo die Probleme in der E-Mail-Sicherheit liegen.

Inhalt:
  1. DKIM: Mit Sicherheit gefälschte Mails versenden
  2. Anti-Spoofing-Techniken: Nicht jede Kombination führt zum besten Ergebnis

Es sei ein kleines, schlecht gehütetes Geheimnis unter Admins, dass sich E-Mails leicht fälschen ließen, sagte Konstantinov auf dem 36C3. Denn E-Mails bestehen aus einem Header und der eigentlichen Nachricht. Beides können Angreifer selbst schreiben oder bearbeiten. Angreifer können aber auch einen weiteren Umstand ausnutzen: Sender und Empfänger tauchen in dem Mailheader jeweils mehrfach auf und müssen nicht übereinstimmen. Konstantinov zeigt einen Beispielmailheader, in dem der Absender Alice einmal als "MAIL FROM" und einmal als "FROM" auftaucht.


MAIL FROM: alice@a.org
RCPT TO: bob@b.org
From: alice@example.com
To: bob@b.org

Man könne sich eine E-Mail als eine Postkarte in einem Briefumschlag vorstellen, erklärte Konstantinov. Die Post, also die Mailserver, würden mit den Daten auf dem Briefumschlag arbeiten, der Empfänger jedoch mit den Daten auf der Postkarte. So können Angreifer dem Empfänger einfach eine andere Absender-E-Mail-Adresse vorgaukeln. Es könnten sogar mehrere From-Zeilen in die E-Mail geschrieben werden, meist werde dann die oberste Zeile vom Mailserver verwendet. Auch fehlerhafte Mails würden meist zugestellt (Best Effort).

Schutz durch Anti-Spoofing-Techniken?

Stellenmarkt
  1. Data Scientist / Data Analyst (d/m/w)
    INTENSE AG, Würzburg, Köln, Saarbrücken und Leipzig
  2. Java Entwickler & Testautomatisierer (m/w/d)
    GVV Versicherungen, Köln
Detailsuche

Eine verbreitete Schutzfunktion ist SPF (Sender Policy Framework), das laut Konstantinov von etwa 75 Prozent der 100.000 größten Mailserver eingesetzt wird. Mit SPF werden die von einem Anbieter genutzten Mailserver in einem DNS-Eintrag festgehalten. So kann der empfangende Mailserver prüfen, ob die E-Mail auch wirklich von einem Mailserver der Absender-Domain stammt. Die meisten SPF-Einträge nutzen allerdings den Softfail-Modus (~all): Bei einem Fehler werden die E-Mails einfach trotzdem angenommen. Die SPF-Zeile müsse jedoch einen Hardfail (-all) enthalten, damit nur noch Mails des Mailservers angenommen würden, betonte Konstantinov.

Doch auch dies lässt sich mit verschiedenen Tricks umgehen. Beispielsweise verwenden insbesondere Shared Hoster die gleichen Mailserver für die Domains ihrer unzähligen Kunden. Über den geteilten Mailserver lassen sich jedoch auch E-Mails mit den Absendern aller anderen Kunden versenden - der SPF-Eintrag stimmt ja mit dem Absendermailserver überein. Ähnliches gilt für weitere Server oder Dienste die auf der gleichen IP-Adresse laufen, beispielsweise ein Webserver. Auch von diesen lassen sich E-Mails mit der korrekten Absender IP-Adresse verschicken. SPF kann in diesen Fällen keine Schutz bieten.

Ein weiteres Problem sei, das SFP nur die Zeile "MAIL FROM" nicht "FROM" prüfe. So könne dem Nutzer weiterhin eine andere Absender-Adresse über die From-Zeile vorgegaukelt werden, erklärte Konstantinov. Das könne zwar mit einer weiteren Technik, nämlich DMARC gefixt werden, dessen Verbreitung sei jedoch sehr gering. Neben DMARC lassen sich E-Mails zudem vom Absender-Server signieren. In Kombination können die Techniken die Sicherheit erhöhen, allerdings ist die Kombination aus allen drei Techniken nicht die sicherste.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Anti-Spoofing-Techniken: Nicht jede Kombination führt zum besten Ergebnis 
  1. 1
  2. 2
  3.  


chefin 13. Jul 2021

Genau genommen wird es bereits beim festlegen des Protokolls umgangen. Durch zuviele...

My1 04. Jan 2020

naja wenn eine spaßige person eine weiterleitung macht und die from adressen gleich...

ikhaya 03. Jan 2020

Wenn Ich eine Mail die ich bekommen habe weiterleite werde ich dann nicht der neue...

robinx999 30. Dez 2019

Das mit den Sharedhostern verstehe ich jetzt nicht so ganz. Dort hat man doch einen...

budweiser 30. Dez 2019

E-Mail ist nun mal leider weltweit etabliert und wird uns noch lange begleiten, genauso...



Aktuell auf der Startseite von Golem.de
Regner Cooling System
Gehäuse made in Germany kostet 1.700 Euro

Das Regner Cooling System wird aus Aluminium gebaut und integriert eine Wasserkühlung gleich mit. Das wird allerdings teuer.

Regner Cooling System: Gehäuse made in Germany kostet 1.700 Euro
Artikel
  1. Allianz: Elektroautos teurer zu reparieren als Verbrenner
    Allianz
    Elektroautos teurer zu reparieren als Verbrenner

    Die Allianz-Versicherung sieht höhere Kosten bei beschädigten Elektroautos als bei Verbrennern. Das liegt vor allem an ihrer Konstruktion und den Nebenkosten bei Unfällen.

  2. Automatische Umschaltung: iPhone 13 Pro hat Probleme mit seinem Makromodus
    Automatische Umschaltung
    iPhone 13 Pro hat Probleme mit seinem Makromodus

    Beim iPhone 13 Pro wird automatisch in den Makromodus geschaltet, wenn die Kamera einem Motiv nahe kommt. Das lässt sich nicht deaktivieren.

  3. Hongguang Mini: Billig-Elektroauto aus China bekommt mehr Reichweite
    Hongguang Mini
    Billig-Elektroauto aus China bekommt mehr Reichweite

    Das winzige Elektroauto Hongguang Mini wird mit einem neuen Akku und stärkerem Motor ausgerüstet. So soll eine Reichweite von 300 km ermöglicht werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • Gran Turismo 7 25th Anniversary PS4/PS5 vorbestellbar 99,99€ • Samsung T7 Portable SSD 1TB 105,39€ • PS5 bei Amazon zu gewinnen • Astro Gaming A20 + Deathloop PS5 139,99€ [Werbung]
    •  /