Abo
  1. Foren
  2. Kommentare
  3. Wissenschaft
  4. Alle Kommentare zum Artikel
  5. › Nach Mailserver-Hack: Karlsruher…
  6. Thema

Offenes Relay? In 2013? Bei einer Hochschule?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: fuzzy 15.02.14 - 15:57

    Es ist "Mails von der eigenen Domain". Macht die Sache zwar immer noch nicht so ganz zu einem offenen Relay, aber immerhin halb.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  2. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: freetime 15.02.14 - 17:53

    gbpa005 schrieb:
    --------------------------------------------------------------------------------

    > Ich finde es nur merkwürdig, wie in
    > Technologie-Foren Hacks als etwas Gutes und Legitimes dargestellt und
    > verteidigt werden.

    Sehe ich auch so. Das war in meinen Augen kein Hack. Der würde die Sicherheitslücke nur offenbaren. Da hier Unfug getrieben wurde, war das ein Crack von ein paar Skriptkiddies. Sowas ist strafbar und gehört angezeigt.

  3. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: das_ist_unglaublich 15.02.14 - 18:27

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > Es ist "Mails von der eigenen Domain"

    Du solltest den Artikel lesen bevor du hier auf schlau machst, da steht wortwörtlich "weil der Mailserver der Hochschule für E-Mails an die Domain hs-karlsruhe.de kein Smtp-Auth benötigt"

    > Macht die Sache zwar immer noch nicht so ganz zu einem
    > offenen Relay, aber immerhin halb

    Was ist ein halbes Relay?
    Schlag den Begriff Relay mal nach!

    Ich erkläre ungerne nochmal wie Mail funktioniert in verlinke daher auf mich selbst:
    https://forum.golem.de/kommentare/wissenschaft/nach-mailserver-hack-karlsruher-hochschule-laedt-cccs-constanze-kurz-aus/welcher-hack-auth-am-mx/80094,3645066,3645066,read.html#msg-3645066

    Summary: Der komplette Artikel und 99% aller Kommentare sind fachlicher Unsinn

  4. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: fuzzy 15.02.14 - 19:57

    Ja, unglaublich, ne? Vielleicht solltest du erst mal nachdenken, bevor du schreibst. Natürlich benötigt ein Mail-Server keine Anmeldung für Adressen, für die er das Ziel ist.

    Darum geht es aber überhaupt nicht. Es geht um die gefälschten Absender-Adressen. Das ist als könntest du dich zu mx.google.com verbinden und ohne weiteres über diesen Server eine E-Mail mit Absender larry.page@google.com verschicken.

    Und damit auch der letzte kapiert, um was es geht, einfach der komplette Header...
    http://pastebin.com/QGqsQ8Er

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  5. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: das_ist_unglaublich 15.02.14 - 20:12

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > Ja, unglaublich, ne? Vielleicht solltest du erst mal nachdenken, bevor du
    > schreibst. Natürlich benötigt ein Mail-Server keine Anmeldung für Adressen,
    > für die er das Ziel ist.

    Hätten wir das endlich geklärt

    Im Artikel steht aber immer noch ""weil der Mailserver der Hochschule für E-Mails an die Domain hs-karlsruhe.de kein Smtp-Auth benötigt" "

    > Darum geht es aber überhaupt nicht. Es geht um die gefälschten
    > Absender-Adressen.

    Im Artikel steht davon aber nichts und REALY wird daraus noch lange keines

    > Das ist als könntest du dich zu mx.google.com verbinden
    > und ohne weiteres über diesen Server eine E-Mail mit Absender
    > larry.page@google.com verschicken.

    Hast du meinen Beitrag zum Thema Sender-Spoffing gesehen?
    Was genau verstehst du nicht am Unterschied Envelope/From-header

    Was du im Mailprogramm angezeigt bekommst ist der From-Header
    Spoofing-Protection geht auf den Envelope-Sender
    Der steht eben tatsächlich nur in den Headern

    Den From-Header kannst du schlecht vor Spoofing schützen weil du sofort jede Mailing-Liste umbringst! Warum? Nun, da ist eben der Envelope die Liste und der sichtbare From-Header der ursprüngliche Verfasser, würde dessen Server jetzt sagen "Nö, lasse ich nicht zu" bekommt er seine eigenen Posts nicht mehr, gut da hat er eine Kopie im Sent-Folder, blöd wirds wenn der Kollege in der gleiche Domain auch die Liste abboniert hat

    Und deswegen funktioniert Spoofing-Protection am MX für das was der Empfänger SIEHT eben nicht wirlich und ist die ganze Diskussion einfach fachlicher Blödsinn

    > Und damit auch der letzte kapiert, um was es geht, einfach der komplette
    > Header...

    Ja das im betreffenden Beispiel auch der Envelope von der eigenen Domain war weissi ch auch, aber siehe oben: Der User sieht DEN NICHT und Relay wird daraus erst eines wenn ohne Auth so eine Mail auch and fremde Domain rausgehen würde

    Also viel Lärm um nichts und ich habe hier noch sehr wenige bis keine Kommentare von Leuten gesehen die wirklich verstehen wie E-Mail im Detail funktioniert - Hint: Ich habe schon Mailserver-Backends geschrieben die implementieren Funktionen in ein Webinterface von denen die meisten gar nicht wissen dass das mit Postfix überhaupt möglich ist ohne Side-Effects

  6. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: andreas090911 15.02.14 - 20:49

    > die Uni Karlsruhe hat genauso das recht, nicht mit Organisationen zu kooperieren, von denen aus ein Angriff auf sie selbst ausgegangen ist.

    Nochmal zum mitschreiben:
    Der CCC hat den "Angriff" nicht durchgeführt, das muss nichteinmal einer der (>9000) Besucher gewesen sein - es könnte sich sogar Jemand vor das CCH gestellt und den "Angriff" durchgeführt haben.

  7. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: das_ist_unglaublich 15.02.14 - 20:51

    andreas090911 schrieb:
    --------------------------------------------------------------------------------
    > > die Uni Karlsruhe hat genauso das recht, nicht mit Organisationen zu
    > kooperieren, von denen aus ein Angriff auf sie selbst ausgegangen ist.
    >
    > Nochmal zum mitschreiben:
    > Der CCC hat den "Angriff" nicht durchgeführt, das muss nichteinmal einer
    > der (>9000) Besucher gewesen sein - es könnte sich sogar Jemand vor das CCH
    > gestellt und den "Angriff" durchgeführt haben.

    Vergiss es, alles hier begonnen mit dem Artikel strotzt nur vor fachlichem Unsinn
    Das war weder ein Angriff, noch ein Hack und schon gar nicht geht es um ein Open-Relay

  8. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: 486dx4-160 16.02.14 - 13:17

    ShirleySherlock schrieb:
    --------------------------------------------------------------------------------
    > Ich kann den Betrug in dieser Sache nicht erkennen - Klausuren werden
    > manchmal schwieriger, manchmal einfacher, manche dozenten sagen in einem
    > Semester was wohl drankommt und in manchen Semestern eben nicht, weil
    > keiner in der Vorlesung war oder oder oder...
    > Ehrlich mal, da hat die Info-Fakultät doch wesentlich größere Probleme...
    > ist mir ein Rätsel dass ihr bei sowas alle aus euren Löchern kommt und
    > sonst brav alles abnickt... versteh ich wirklich nicht....

    Falls ein Dozent den Studenten Prüfungsfragen mitteilt ist das ganz klar keine gültige Prüfung und muss wiederholt werden.
    Während meines Studiums gab es keinen einzigen solchen Vorfall. Die Zustände in Karlsruhe müssen wirklich unter aller Sau sein. Zum Glück kann man die Hochschule wechseln.

  9. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: das_ist_unglaublich 16.02.14 - 13:20

    486dx4-160 schrieb:
    --------------------------------------------------------------------------------
    > Falls ein Dozent den Studenten Prüfungsfragen mitteilt ist das ganz klar
    > keine gültige Prüfung und muss wiederholt werden.

    In einer perfekten Welt
    In der Praxis scheinbar nicht

    Geh einfach bei der Tür raus und schau dir die Dummheit der überwiegenden Menschen an und wieviele davon irgendwelche Zettel haben die behaupten sie kätten was am Kasten

  10. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: bofhl 16.02.14 - 13:22

    ironcold schrieb:
    --------------------------------------------------------------------------------
    > gbpa005 schrieb:
    >
    > > P.S.: Beim CCC war in letzter Zeit auch nicht alles sicher, z. B. ein
    > > DNS-Server dessen Lücke seit 4 Jahren bekannt war.
    >
    > Und hat der CCC danach dann wild um sich geschlagen und versucht, die
    > Schuld auf andere abzuwälzen?

    Blos sollte der CCC alleine aufgrund seines Auftretens in der Öffentlichkeit als "Gurus der Sicherheit" entsprechend niemals solche Fehler machen! Eine Hochschule dagegen kann oft aufgrund der Bürokratie nicht wirklich dagegen rechtzeitig reagieren. Oft gibt es niemand der für die Behebung zuständig ist! Beim CCC sollten dagegen genügend viele Leute herumlaufen, die so einen DNS-Serverzeitgerecht patchen könnten! Oder sie geben zu, sie sind nicht besser als zig tausende "normale" Firmen!

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. barox Kommunikation AG über HRM CONSULTING GmbH, deutschlandweit (Home-Office)
  3. Arnold & Richter Cine Technik GmbH & Co. Betriebs KG, Stephanskirchen bei Rosenheim
  4. Dataport, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (nur für Prime-Mitglieder)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Esa Sonnensystemforschung ohne Plutonium
  2. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  3. Mission Horizons @Astro_Alex fliegt wieder

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

  1. Macbook-Reparatur: Keine verbesserte Tastatur für ältere Apple-Notebooks
    Macbook-Reparatur
    Keine verbesserte Tastatur für ältere Apple-Notebooks

    Auch Apple selbst bestätigt es, aber nur intern: Die dritte Generation der Butterfly-Tastatur ist besser vor Ausfällen geschützt. Wer ein älteres Apple-Notebook hat, erhält die neue Generation allerdings auf gar keinen Fall - Kunden müssen sich mit fehleranfälligen Tastaturen herumschlagen.

  2. Tom Gruber: Apple verliert letzten Siri-Mitbegründer
    Tom Gruber
    Apple verliert letzten Siri-Mitbegründer

    Apple hat Siri nicht erfunden, sondern die Technik mitsamt eines Unternehmens gekauft. Tom Gruber, einer der drei Gründer, die damals zu Apple wechselten, hat nun gekündigt. Auch Apples Suchchef Vipul Ved Prakash hört auf.

  3. Quartalsbericht: Aus Microsofts Cloud regnet es Dollar-Milliarden
    Quartalsbericht
    Aus Microsofts Cloud regnet es Dollar-Milliarden

    Das neue Microsoft ist ein höchst erfolgreiches Cloud-Unternehmen. Allein in drei Monaten werden fast neun Milliarden US-Dollar Gewinn erwirtschaftet.


  1. 08:53

  2. 07:26

  3. 22:45

  4. 19:19

  5. 16:53

  6. 16:44

  7. 16:41

  8. 16:05