Abo
  1. Foren
  2. Kommentare
  3. Wissenschaft
  4. Alle Kommentare zum Artikel
  5. › Nach Mailserver-Hack: Karlsruher…
  6. Thema

Offenes Relay? In 2013? Bei einer Hochschule?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: fuzzy 15.02.14 - 15:57

    Es ist "Mails von der eigenen Domain". Macht die Sache zwar immer noch nicht so ganz zu einem offenen Relay, aber immerhin halb.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  2. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: freetime 15.02.14 - 17:53

    gbpa005 schrieb:
    --------------------------------------------------------------------------------

    > Ich finde es nur merkwürdig, wie in
    > Technologie-Foren Hacks als etwas Gutes und Legitimes dargestellt und
    > verteidigt werden.

    Sehe ich auch so. Das war in meinen Augen kein Hack. Der würde die Sicherheitslücke nur offenbaren. Da hier Unfug getrieben wurde, war das ein Crack von ein paar Skriptkiddies. Sowas ist strafbar und gehört angezeigt.

  3. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: das_ist_unglaublich 15.02.14 - 18:27

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > Es ist "Mails von der eigenen Domain"

    Du solltest den Artikel lesen bevor du hier auf schlau machst, da steht wortwörtlich "weil der Mailserver der Hochschule für E-Mails an die Domain hs-karlsruhe.de kein Smtp-Auth benötigt"

    > Macht die Sache zwar immer noch nicht so ganz zu einem
    > offenen Relay, aber immerhin halb

    Was ist ein halbes Relay?
    Schlag den Begriff Relay mal nach!

    Ich erkläre ungerne nochmal wie Mail funktioniert in verlinke daher auf mich selbst:
    https://forum.golem.de/kommentare/wissenschaft/nach-mailserver-hack-karlsruher-hochschule-laedt-cccs-constanze-kurz-aus/welcher-hack-auth-am-mx/80094,3645066,3645066,read.html#msg-3645066

    Summary: Der komplette Artikel und 99% aller Kommentare sind fachlicher Unsinn

  4. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: fuzzy 15.02.14 - 19:57

    Ja, unglaublich, ne? Vielleicht solltest du erst mal nachdenken, bevor du schreibst. Natürlich benötigt ein Mail-Server keine Anmeldung für Adressen, für die er das Ziel ist.

    Darum geht es aber überhaupt nicht. Es geht um die gefälschten Absender-Adressen. Das ist als könntest du dich zu mx.google.com verbinden und ohne weiteres über diesen Server eine E-Mail mit Absender larry.page@google.com verschicken.

    Und damit auch der letzte kapiert, um was es geht, einfach der komplette Header...
    http://pastebin.com/QGqsQ8Er

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  5. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: das_ist_unglaublich 15.02.14 - 20:12

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > Ja, unglaublich, ne? Vielleicht solltest du erst mal nachdenken, bevor du
    > schreibst. Natürlich benötigt ein Mail-Server keine Anmeldung für Adressen,
    > für die er das Ziel ist.

    Hätten wir das endlich geklärt

    Im Artikel steht aber immer noch ""weil der Mailserver der Hochschule für E-Mails an die Domain hs-karlsruhe.de kein Smtp-Auth benötigt" "

    > Darum geht es aber überhaupt nicht. Es geht um die gefälschten
    > Absender-Adressen.

    Im Artikel steht davon aber nichts und REALY wird daraus noch lange keines

    > Das ist als könntest du dich zu mx.google.com verbinden
    > und ohne weiteres über diesen Server eine E-Mail mit Absender
    > larry.page@google.com verschicken.

    Hast du meinen Beitrag zum Thema Sender-Spoffing gesehen?
    Was genau verstehst du nicht am Unterschied Envelope/From-header

    Was du im Mailprogramm angezeigt bekommst ist der From-Header
    Spoofing-Protection geht auf den Envelope-Sender
    Der steht eben tatsächlich nur in den Headern

    Den From-Header kannst du schlecht vor Spoofing schützen weil du sofort jede Mailing-Liste umbringst! Warum? Nun, da ist eben der Envelope die Liste und der sichtbare From-Header der ursprüngliche Verfasser, würde dessen Server jetzt sagen "Nö, lasse ich nicht zu" bekommt er seine eigenen Posts nicht mehr, gut da hat er eine Kopie im Sent-Folder, blöd wirds wenn der Kollege in der gleiche Domain auch die Liste abboniert hat

    Und deswegen funktioniert Spoofing-Protection am MX für das was der Empfänger SIEHT eben nicht wirlich und ist die ganze Diskussion einfach fachlicher Blödsinn

    > Und damit auch der letzte kapiert, um was es geht, einfach der komplette
    > Header...

    Ja das im betreffenden Beispiel auch der Envelope von der eigenen Domain war weissi ch auch, aber siehe oben: Der User sieht DEN NICHT und Relay wird daraus erst eines wenn ohne Auth so eine Mail auch and fremde Domain rausgehen würde

    Also viel Lärm um nichts und ich habe hier noch sehr wenige bis keine Kommentare von Leuten gesehen die wirklich verstehen wie E-Mail im Detail funktioniert - Hint: Ich habe schon Mailserver-Backends geschrieben die implementieren Funktionen in ein Webinterface von denen die meisten gar nicht wissen dass das mit Postfix überhaupt möglich ist ohne Side-Effects

  6. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: andreas090911 15.02.14 - 20:49

    > die Uni Karlsruhe hat genauso das recht, nicht mit Organisationen zu kooperieren, von denen aus ein Angriff auf sie selbst ausgegangen ist.

    Nochmal zum mitschreiben:
    Der CCC hat den "Angriff" nicht durchgeführt, das muss nichteinmal einer der (>9000) Besucher gewesen sein - es könnte sich sogar Jemand vor das CCH gestellt und den "Angriff" durchgeführt haben.

  7. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: das_ist_unglaublich 15.02.14 - 20:51

    andreas090911 schrieb:
    --------------------------------------------------------------------------------
    > > die Uni Karlsruhe hat genauso das recht, nicht mit Organisationen zu
    > kooperieren, von denen aus ein Angriff auf sie selbst ausgegangen ist.
    >
    > Nochmal zum mitschreiben:
    > Der CCC hat den "Angriff" nicht durchgeführt, das muss nichteinmal einer
    > der (>9000) Besucher gewesen sein - es könnte sich sogar Jemand vor das CCH
    > gestellt und den "Angriff" durchgeführt haben.

    Vergiss es, alles hier begonnen mit dem Artikel strotzt nur vor fachlichem Unsinn
    Das war weder ein Angriff, noch ein Hack und schon gar nicht geht es um ein Open-Relay

  8. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: 486dx4-160 16.02.14 - 13:17

    ShirleySherlock schrieb:
    --------------------------------------------------------------------------------
    > Ich kann den Betrug in dieser Sache nicht erkennen - Klausuren werden
    > manchmal schwieriger, manchmal einfacher, manche dozenten sagen in einem
    > Semester was wohl drankommt und in manchen Semestern eben nicht, weil
    > keiner in der Vorlesung war oder oder oder...
    > Ehrlich mal, da hat die Info-Fakultät doch wesentlich größere Probleme...
    > ist mir ein Rätsel dass ihr bei sowas alle aus euren Löchern kommt und
    > sonst brav alles abnickt... versteh ich wirklich nicht....

    Falls ein Dozent den Studenten Prüfungsfragen mitteilt ist das ganz klar keine gültige Prüfung und muss wiederholt werden.
    Während meines Studiums gab es keinen einzigen solchen Vorfall. Die Zustände in Karlsruhe müssen wirklich unter aller Sau sein. Zum Glück kann man die Hochschule wechseln.

  9. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: das_ist_unglaublich 16.02.14 - 13:20

    486dx4-160 schrieb:
    --------------------------------------------------------------------------------
    > Falls ein Dozent den Studenten Prüfungsfragen mitteilt ist das ganz klar
    > keine gültige Prüfung und muss wiederholt werden.

    In einer perfekten Welt
    In der Praxis scheinbar nicht

    Geh einfach bei der Tür raus und schau dir die Dummheit der überwiegenden Menschen an und wieviele davon irgendwelche Zettel haben die behaupten sie kätten was am Kasten

  10. Re: Offenes Relay? In 2013? Bei einer Hochschule?

    Autor: bofhl 16.02.14 - 13:22

    ironcold schrieb:
    --------------------------------------------------------------------------------
    > gbpa005 schrieb:
    >
    > > P.S.: Beim CCC war in letzter Zeit auch nicht alles sicher, z. B. ein
    > > DNS-Server dessen Lücke seit 4 Jahren bekannt war.
    >
    > Und hat der CCC danach dann wild um sich geschlagen und versucht, die
    > Schuld auf andere abzuwälzen?

    Blos sollte der CCC alleine aufgrund seines Auftretens in der Öffentlichkeit als "Gurus der Sicherheit" entsprechend niemals solche Fehler machen! Eine Hochschule dagegen kann oft aufgrund der Bürokratie nicht wirklich dagegen rechtzeitig reagieren. Oft gibt es niemand der für die Behebung zuständig ist! Beim CCC sollten dagegen genügend viele Leute herumlaufen, die so einen DNS-Serverzeitgerecht patchen könnten! Oder sie geben zu, sie sind nicht besser als zig tausende "normale" Firmen!

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bosch Gruppe, Ludwigsburg
  2. Stadtwerke Bonn GmbH, Bonn
  3. Bremer Bäder GmbH, Bremen
  4. Sandvik Tooling Supply Renningen, Renningen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 19,99€
  2. 69,95€
  3. 46,99€
  4. (-38%) 36,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Interview Alienware: Keiner baut dir einen besseren Gaming-PC als du selbst!
Interview Alienware
"Keiner baut dir einen besseren Gaming-PC als du selbst!"

Selbst bauen oder Komplettsystem kaufen, die Zukunft von Raytracing und was E-Sport-Profis über Hardware denken: Golem.de hat im Interview mit Frank Azor, dem Chef von Alienware, über PC-Gaming gesprochen.
Von Peter Steinlechner

  1. Dell Alienware M15 wird schlanker und läuft 17 Stunden
  2. Dell Intel Core i9 in neuen Alienware-Laptops ab Werk übertaktet

Flexibles Smartphone: Samsung verspielt die Smartphone-Führung
Flexibles Smartphone
Samsung verspielt die Smartphone-Führung

Jahrelang dominierte Samsung den Smartphone-Markt mit Innovationen, in den vergangenen Monaten verliert der südkoreanische Hersteller aber das Momentum. Krönung dieser Entwicklung ist das neue flexible Nicht-Smartphone - die Konkurrenz aus China dürfte feiern.
Eine Analyse von Tobias Költzsch

  1. Flexibles Display Samsungs faltbares Smartphone soll im März 2019 erscheinen
  2. Samsung Linux-on-Dex startet in privater Beta
  3. Infinity Flex Samsung zeigt statt Smartphone nur faltbares Display

Battlefield 5 im Test: Klasse Kämpfe unter Freunden
Battlefield 5 im Test
Klasse Kämpfe unter Freunden

Umgebungen und Szenario erinnern an frühere Serienteile, das Sammeln von Ausrüstung motiviert langfristig, viele Gebiete sind zerstörbar: Battlefield 5 setzt auf Multiplayermatches für erfahrene Squads. Wer lange genug kämpft, findet schon vor der Erweiterung Firestorm ein bisschen Battle Royale.

  1. Dice Raytracing-Systemanforderungen für Battlefield 5 erschienen
  2. Dice Zusatzinhalte für Battlefield 5 vorgestellt
  3. Battle Royale Battlefield 5 schickt 64 Spieler in Feuerring

  1. Wissenschaft: Rekorde ohne Nutzen
    Wissenschaft
    Rekorde ohne Nutzen

    25,5 Prozent Effizienz mit einer Perowskit-Solarzelle sind ein neuer Rekord. Wieder einmal. Von einer praktischen Anwendung ist die billige, effiziente Technik trotzdem weit entfernt. Der Wissenschaftsbetrieb ist daran mit schuld.

  2. VDSL: Rund 122.000 Haushalte erhalten Telekom-Vectoring
    VDSL
    Rund 122.000 Haushalte erhalten Telekom-Vectoring

    Vectoring wird immer weiter von der Telekom ausgebaut. Diesmal wurden mehrere Tausend Haushalte in 141 Kommunen freigeschaltet.

  3. Charge Automotive: Der Ford Mustang wird elektrisch
    Charge Automotive
    Der Ford Mustang wird elektrisch

    Das charakteristische Blubbern fehlt, aber die Coolness bleibt: Das britische Unternehmen Charge Automotive bringt den legendären Mustang zurück. Das Elektroauto soll im kommenden Jahr in limitierter Auflage auf den Markt kommen.


  1. 15:30

  2. 15:11

  3. 14:55

  4. 12:40

  5. 12:12

  6. 11:56

  7. 11:43

  8. 11:38