Abo
  • IT-Karriere:

OpenDMARC: Aktiv ausgenutzte DMARC-Sicherheitslücke ohne Fix

Mitarbeiter von Protonmail haben in OpenDMARC eine Sicherheitslücke entdeckt, mit der sich die Signaturprüfung austricksen lässt. Angreifer haben die Lücke bereits für Phishingangriffe gegen Journalisten genutzt. OpenDMARC wird offenbar nicht weiterentwickelt und es gibt kein Update.

Artikel veröffentlicht am ,
Eine Sicherheitslücke in der Software OpenDMARC erlaubt das Fälschen von Mailabsendern.
Eine Sicherheitslücke in der Software OpenDMARC erlaubt das Fälschen von Mailabsendern. (Bild: Almanaque Lusofonista/Wikimedia Commons/CC-BY 3.0)

Bei einem Phishing-Angriff auf Journalisten des Investigativportals Bellingcat wurde eine Sicherheitslücke in der Software OpenDMARC ausgenutzt. DMARC ist ein Mechanismus, der das Fälschen von E-Mail-Absendern erschweren soll, OpenDMARC ist die am häufigsten genutzte Implementierung. Ein Update gibt es bislang nicht, die Software wird offenbar aktuell nicht aktiv weiterentwickelt.

Stellenmarkt
  1. Auswärtiges Amt, Berlin
  2. JENOPTIK AG, Jena

Über den Phishingangriff auf Bellingcat hatte Ende Juli der E-Mail-Anbieter Protonmail berichtet. Protonmail schreibt dabei, dass die Ermittlung des Urhebers solcher Angriffe naturgemäß schwierig ist, verweist aber darauf, dass Bellingcat mehrfach wichtige Recherchen über russische Militär- und Geheimdienstaktivitäten veröffentlicht hat, etwa zum Abschuss des Flugzeugs MH17 über der Ukraine. Daher ist eine russische Urheberschaft der Angriffe zumindest denkbar.

Phishingangriff nutzte ungepatchtes Sicherheitsproblem in OpenDMARC

Im Blogpost von Protonmail ist erwähnt, dass die Angreifer versucht hatten, eine bislang ungepatchte Sicherheitslücke in einer Open-Source-Software auszunutzen, die von vielen E-Mail-Providern genutzt wird. Nach mehrfacher Nachfrage von Golem.de teilte Protonmail uns mit, dass es sich dabei um die Software OpenDMARC handelt. Ein Fix für die entsprechende Lücke wurde inzwischen als Pullrequest für das Github-Repository von OpenDMARC bereitgestellt.

Die Sicherheitslücke erlaubt es, die Absenderprüfung von DMARC auszutricksen. Wenn man im Absender der E-Mail mehrere Mailadressen angibt, wird nur die letzte geprüft. Wenn das Mailfrontend, mit dem man die Mail letztendlich anzeigt, nur die erste From-Adresse anzeigt oder die zweite Adresse vom Mailserver entfernt wird, kann man somit Mails mit gefälschten Absendern trotz DMARC verschicken.

Keine Reaktion der OpenDMARC-Entwickler

Eine Reaktion der Entwickler von OpenDMARC gibt es bislang nicht. Das letzte Release von OpenDMARC wurde 2017 veröffentlicht, seitdem gab es einige Commits im Entwickler-Branch auf Github, die letzten Aktivitäten waren im November 2018. Golem.de hat bei den Entwicklern nachgefragt, ob das Projekt noch aktiv weiterentwickelt wird, eine Antwort haben wir bislang nicht erhalten.

DMARC ist ein System, das auf den schon älteren Verfahren DKIM und SPF aufbaut und verhindern soll, dass E-Mails mit gefälschten Absendern verschickt werden. Dafür können beispielsweise via DNS DKIM-Signaturschlüssel bereitgestellt, mit denen die vom Mailserver signierte Mail geprüft werden kann. Anhand einer DMARC-Policy kann man auch festlegen, dass fehlerhaft oder nicht signierte Mails komplett abgelehnt werden. Das System kämpfte am Anfang mit Startschwierigkeiten, da es beispielsweise mit gängigen Mailinglisten nicht kompatibel war. Inzwischen wird es aber von mehreren großen Mailanbietern genutzt.

Zu den Kommentaren springen
Meistgelesen
  1. Science Fiction
    Neuauflage von Battlestar Galactica soll kommen
  2. Gewerbliche Händler
    Artikel bei Amazon Marketplace sind erheblich teurer
  3. Klimaschutzpaket
    Bundesregierung will SUV-Steuer und eine Million Ladepunkte
  4. Peering
    Apple sorgt mit Update auf iOS 13 für Weltrekord am DE-CIX
  5. 35 Jahre Elite
    Der Urknall der Open-World-Spiele
Anzeige
Hardware-Angebote
  1. 139,00€ (Bestpreis!)
  2. (reduzierte Überstände, Restposten & Co.)
  3. 339,00€ (Bestpreis!)
Kommentarübersicht
Re: Rspamd betroffen?
RipClaw 11. Sep 2019 / Themenstart

Rspamd nutzt nicht OpenDMARC aber ich weiß nicht ob nicht vielleicht auch das gleiche...

Re: Das tolle an OSS: keiner ist verantwortlcih
spagettimonster 11. Sep 2019 / Themenstart

Der Link zum Fix steht im Artikel, wirklich Tief einsteigen braucht man dafür nun nicht...

Kommentieren

Folgen Sie uns
       
Samsung Galaxy Fold - Hands on (Ifa 2019)

Das Galaxy Fold scheint gerettet: Samsungs Verbesserungen zeigen sich aus, wie unser erster Test des Gerätes zeigt.

Samsung Galaxy Fold - Hands on (Ifa 2019) Video aufrufen
Java
Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads
IAA 2019
Innovationen auf der IAA: Vom Abbiegeassistenten bis zum Solarglasdach
Innovationen auf der IAA
Vom Abbiegeassistenten bis zum Solarglasdach

IAA 2019 Auf der IAA in Frankfurt sieht man nicht nur neue Autos, sondern auch etliche innovative Anwendungen und Bauteile. Zulieferer und Forscher präsentieren in Frankfurt ihre Ideen. Eine kleine Auswahl.
Ein Bericht von Dirk Kunde

  1. E-Auto Byton zeigt die Produktionsversion des M-Byte
Klima
Umwelt: Grüne Energie aus der Toilette
Umwelt
Grüne Energie aus der Toilette

In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
Von Monika Rößiger

  1. Fridays for Future Klimastreiks online und offline
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /