Abo
  1. Foren
  2. Kommentare
  3. Wissenschaft
  4. Alle Kommentare zum Artikel
  5. › Nach Mailserver-Hack: Karlsruher…

Verständnisfrage

  1. Thema

Neues Thema Ansicht wechseln


  1. Verständnisfrage

    Autor: RudolfH22 15.02.14 - 08:10

    Im Artikel heißt es:

    Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails an die Domain hs-karlsruhe.de kein Smtp-Auth benötigte.

    Das ist doch das ganz normale Verhalten eines jeden Mailsservers, oder irre ich mich da? Die Mails an die "eigene Domain" müssen angenommen werden, nur wenn etwas an "fremde" Domains weitergeleitet werden soll, ist smtp auto notwendig, oder?

  2. Re: Verständnisfrage

    Autor: Ftee 15.02.14 - 08:54

    Mailserver != Mailserver

  3. Re: Verständnisfrage

    Autor: jaykay2342 15.02.14 - 08:58

    RudolfH22 schrieb:
    --------------------------------------------------------------------------------
    > Im Artikel heißt es:
    >
    > Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails an die
    > Domain hs-karlsruhe.de kein Smtp-Auth benötigte.
    >
    > Das ist doch das ganz normale Verhalten eines jeden Mailsservers, oder irre
    > ich mich da? Die Mails an die "eigene Domain" müssen angenommen werden, nur
    > wenn etwas an "fremde" Domains weitergeleitet werden soll, ist smtp auto
    > notwendig, oder?

    Also alle Mailserver die ich administriere nehmen nimmt die Mails nicht ohne Auth an sobald der Absender die "eigene Domain" ist. Empfänger ist da erst mal egal.

  4. Re: Verständnisfrage

    Autor: RudolfH22 15.02.14 - 13:19

    Also den Satz: "Also alle Mailserver die ich administriere nehmen nimmt die Mails nicht ohne Auth an sobald der Absender die "eigene Domain" ist. "
    verstehe ich nicht.

    Ich glaube aber schon, dass der Empfänger das entscheidende Kriterium ist. Denn ein Mailserver nimmt (i.d.R.)
    a) alle Mails an, wenn man sich bei ihm anmelden kann (SMTP Auth)
    b) Mails an dessen Domains er "relayed" (d.h. weiterleitet)
    c) Mails an, für Domains für die er selbst die (Postfix-Jargon) destination hat.

    Für b) und c) ist also der Empfänger entscheidend.

    Andere Stimmen?

  5. Re: Verständnisfrage

    Autor: blubberlutsch5000 15.02.14 - 14:05

    das haengt doch alles stark von der Konfiguration des Mailservers ab, weche Mails nun letztendlich angenommen und/oder weiterverarbeitet werden, kann man doch anhand vielen Parametern festlegen.

    Das Problem ist ja, dass der MTA Mails von (nicht fuer) die eigene Domain annimmt, ohne zu pruefen, ob der Sender, der ist, fuer den er sich ausgibt. Bei Mails von fremdem Domains kann das der Mailserver ja garnicht (und zumeist wuerde er die auch nicht relayen, aber da kann man bei konfigurieren auch schon Fehler machen), das ist ja auch eines der grundlegenden Probleme von SMTP, wobei es da auch ja einige unschoene Moeglichgkeiten ala PTR records gibt.

    Ich versteh die ganze Aufregung nicht, das war kein Hack, maximal ein Ausnutzen eines alten Features aus der guten alten Zeit. Eigentlich muesste die Uni mal schoen leise sein, sich schaemen und den Server mal endlich umkonfigurieren.

  6. Re: Verständnisfrage

    Autor: das_ist_unglaublich 15.02.14 - 18:35

    blubberlutsch5000 schrieb:
    --------------------------------------------------------------------------------

    > Das Problem ist ja, dass der MTA Mails von (nicht fuer) die eigene Domain
    > annimmt, ohne zu pruefen, ob der Sender, der ist, fuer den er sich ausgibt.

    WO SIEHST DU DAS?
    Der Artikel gibt das nämlich nicht her

    Zitat: "Bereits bekannte Sicherheitslücke: Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails an die Domain hs-karlsruhe.de kein Smtp-Auth benötigte"

    AN DIE DOMAIN NICHT VON DER DOMAIN
    Also Absender UND Empfänger die eigene Domain

    Also hört endlich auf euch lächerlich zu machen mit "Boah ey ein offenes Relay" wenn ihr nicht in der Lage seid Artikel die ihr kommentiert vorher zu lesen und vor allem auch zu verstehen - Den Artikel und das Wort Sicherhteislücke darin dürfte es so gar nicht geben

  7. Re: Verständnisfrage

    Autor: EvilSheep 16.02.14 - 20:24

    Hier in dem Thread hat doch keiner was von offenem Relay geschrieben.

    Aber ein Mailserver sollte schon prüfen ob der Absender der Mail auch der Nutzer ist der er angibt zu sein.

    Kann doch nicht sein das Student Peter Emails im Namen von Prof Meier verschicken kann.

    Mag Spamtechnisch nicht fatal sein da nur Uniintern, aber in anderen Unis gibt es diese Einschränkung nicht mal.
    Auf zwischenmenshclicher Ebene lässt sich aber noch weit mehr Schaden anrichten als ein paar Liebesbriefe.

  8. Re: Verständnisfrage

    Autor: das_ist_unglaublich 16.02.14 - 20:39

    EvilSheep schrieb:
    --------------------------------------------------------------------------------
    > Hier in dem Thread hat doch keiner was von offenem Relay geschrieben.

    Mich interessiert nicht der einzelne Thread sondern die gesamte Gülle angefangen vom Artikel

    > Aber ein Mailserver sollte schon prüfen ob der Absender der Mail auch der
    > Nutzer ist der er angibt zu sein.

    Sollte er das?
    Na dann arbeite dich mal in Mail ein

    Du kannst bestenfalls den Envelope-Sender prüfem
    Machst du das für den From-Header tötest du jede Menge legitimer Mails

    Hint: Der Envelope wird im Mailprogramm NICHT angezeigt
    Der From-Header ist per Definitoon auf jeder Mailig-Liste spoofed

    EINGEHENDE MAILS BEDÜRFEN KEINER UTHENTIFIZIERUNG - PUNKT

    > Kann doch nicht sein das Student Peter Emails im Namen von Prof Meier
    > verschicken kann.

    Doch kann es schon

    > Mag Spamtechnisch nicht fatal sein da nur Uniintern, aber in anderen Unis
    > gibt es diese Einschränkung nicht mal.
    > Auf zwischenmenshclicher Ebene lässt sich aber noch weit mehr Schaden
    > anrichten als ein paar Liebesbriefe.

    Echt?
    Der einzige Weg um solchen "Schaden" von dir abzuhalten ist Basics zu lernen (Lesen von mailheadern) oder einfach E-Mail nicht zu verwenden oder eben GPG benutzen und alle deine Kontakte dazu bringen selbiges zu tun

  9. Re: Verständnisfrage

    Autor: cabal2k 17.02.14 - 09:51

    das_ist_unglaublich schrieb:
    --------------------------------------------------------------------------------
    > Echt?
    > Der einzige Weg um solchen "Schaden" von dir abzuhalten ist Basics zu
    > lernen (Lesen von mailheadern) oder einfach E-Mail nicht zu verwenden oder
    > eben GPG benutzen und alle deine Kontakte dazu bringen selbiges zu tun

    +1

    Genau so ist es. SPF und DKIM sind eine nette Idee aber im Alltag völlig unbrauchbar.

  10. Re: Verständnisfrage

    Autor: a user 17.02.14 - 11:29

    RudolfH22 schrieb:
    --------------------------------------------------------------------------------
    > Im Artikel heißt es:
    >
    > Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails an die
    > Domain hs-karlsruhe.de kein Smtp-Auth benötigte.
    >
    > Das ist doch das ganz normale Verhalten eines jeden Mailsservers, oder irre
    > ich mich da?
    du irrst dich da.
    > Die Mails an die "eigene Domain" müssen angenommen werden, nur
    > wenn etwas an "fremde" Domains weitergeleitet werden soll, ist smtp auto
    > notwendig, oder?
    nö. man kann es so oder so konfigurieren. an meiner uni war smtp auth IMMER nötig, auch, wenn es aus der eigenen domain kam.

  11. Re: Verständnisfrage

    Autor: das_ist_unglaublich 17.02.14 - 11:41

    a user schrieb:
    --------------------------------------------------------------------------------
    > RudolfH22 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Im Artikel heißt es:
    > >
    > > Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails an
    > die
    > > Domain hs-karlsruhe.de kein Smtp-Auth benötigte.
    > >
    > > Das ist doch das ganz normale Verhalten eines jeden Mailsservers, oder
    > irre
    > > ich mich da?
    > du irrst dich da

    Nein er irrt sich NICHT
    Das IST das Standardverhalten JEDES Mailservers

    Alles über Relay-Check und "smtpd_sender_login_maps" hinaus ist
    eine nicht generell übliche Erweiterung UND NOCHMAL dem User
    hilft eine Spoof-Protection NICHT weil die eben NICHT auf den
    FROM-HEADER geht und DAS ist das was das Mailprogramm
    anzeigt, ergo hilft eine Spoofing-Protection NICHT dagegen dass
    jemand in das was der MUA beim Liebesbrief vom Professor
    anzeigt dessen Adresse reinspielt

    PUNKT

  12. Re: Verständnisfrage

    Autor: a user 17.02.14 - 13:42

    das_ist_unglaublich schrieb:
    --------------------------------------------------------------------------------
    > a user schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RudolfH22 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Im Artikel heißt es:
    > > >
    > > > Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails
    > an
    > > die
    > > > Domain hs-karlsruhe.de kein Smtp-Auth benötigte.
    > > >
    > > > Das ist doch das ganz normale Verhalten eines jeden Mailsservers, oder
    > > irre
    > > > ich mich da?
    > > du irrst dich da
    >
    > Nein er irrt sich NICHT
    doch irrt er.
    > Das IST das Standardverhalten JEDES Mailservers
    nein, das ist das spezifizierte standardverhalten. aber was spielt das standardverhalten für eine rolle? mailserver werden konfiguriert. so gut wie niemand installiert einen mail-server und beläßt alles auf standardkonfiguration.

    damit ist es nicht mehr das "normale verhalten eines JEDEN" mail-servers. es mag das standardverhalten sein, wenn man ihn nicht anders konfiguriert aber es ist nicht das verhalten eines jeden, installierten und konfigurierten Mail-Servders!
    >
    > Alles über Relay-Check und "smtpd_sender_login_maps" hinaus ist
    > eine nicht generell übliche Erweiterung UND NOCHMAL dem User
    > hilft eine Spoof-Protection NICHT weil die eben NICHT auf den
    > FROM-HEADER geht und DAS ist das was das Mailprogramm
    > anzeigt, ergo hilft eine Spoofing-Protection NICHT dagegen dass
    > jemand in das was der MUA beim Liebesbrief vom Professor
    > anzeigt dessen Adresse reinspielt
    hat auch niemand behauptet, dass man damit verhindern kann, dass der im client angezeigt name ungleich dem tatsächlcihen absender entspricht.

    > PUNKT
    jetzt hast du es mir aber gegeben. komm mal wieder runter.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, verschiedene Standorte
  2. Veridos GmbH, München
  3. BüchnerBarella Holding GmbH & Co. KG, Gießen
  4. BWI GmbH, Nürnberg, München, Rheinbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-55%) 17,99€
  2. 4,99€
  3. 8,49€
  4. 34,95€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programmierer: Wenn der Urheber gegen das Urheberrecht verliert
Programmierer
Wenn der Urheber gegen das Urheberrecht verliert

Der nun offiziell beendete GPL-Streit zwischen Linux-Entwickler Christoph Hellwig und VMware zeigt eklatant, wie schwer sich moderne Software-Entwicklung im aktuellen Urheberrecht abbilden lässt. Immerhin wird klarer, wie derartige Klagen künftig gestaltet werden müssen.
Eine Analyse von Sebastian Grüner

  1. Urheberrecht Frag den Staat darf Glyphosat-Gutachten nicht publizieren
  2. Vor der Abstimmung Mehr als 100.000 Menschen demonstrieren gegen Uploadfilter
  3. Uploadfilter SPD setzt auf Streichung von Artikel 13

Passwort-Richtlinien: Schlechte Passwörter vermeiden
Passwort-Richtlinien
Schlechte Passwörter vermeiden

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

  1. Acutherm Mit Wärmebildkamera und Mikrofon das Passwort erraten
  2. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
  3. Fido-Sticks im Test Endlich schlechte Passwörter

Batterieherstellung: Kampf um die Zelle
Batterieherstellung
Kampf um die Zelle

Die Fertigung von Batteriezellen ist Chemie und damit nicht die Kernkompetenz deutscher Autohersteller. Sie kaufen Zellen bei Zulieferern aus Asien. Das führt zu Abhängigkeiten, die man vermeiden möchte. Dank Fördergeldern soll in Europa eine Art "Batterie-Airbus" entstehen.
Eine Analyse von Dirk Kunde

  1. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen
  2. Erneuerbare Energien Shell übernimmt Heimakku-Hersteller Sonnen
  3. Elektromobilität Emmanuel Macron will europäische Akkuzellenfertigung fördern

  1. Lokaler Netzbetreiber: Inexio baut Glasfaser, auch wenn es sich nicht lohnt
    Lokaler Netzbetreiber
    Inexio baut Glasfaser, auch wenn es sich nicht lohnt

    Der Glasfaser-Ausbau bis an die Straßenecke kostet 2.000 Euro pro Kunde, bis ins Haus sind rund 5.000 Euro fällig. Dennoch setzt Inexio verstärkt auf FTTH, auch wenn sich dem Kunden dafür nicht viel mehr berechnen lässt.

  2. Volkswagen: 5G bietet flexible Software-Betankung in der Produktion
    Volkswagen
    5G bietet flexible Software-Betankung in der Produktion

    Volkswagen will mit 5G in der Produktion flexibel große Datenmenge in die Fahrzeuge einspielen. Campusnetze könnten auch zusammen mit Netzbetreibern laufen.

  3. Amazon vs. Google: Youtube kommt auf Fire TV, Prime Video auf Chromecast
    Amazon vs. Google
    Youtube kommt auf Fire TV, Prime Video auf Chromecast

    Fire-TV-Geräte erhalten erstmals eine offizielle Youtube-App von Google. Dafür integriert Amazon eine Chromecast-Unterstützung in die Prime-Video-App. Andere Streitpunkte zwischen Amazon und Google bleiben hingegen bestehen.


  1. 19:10

  2. 18:20

  3. 17:59

  4. 16:31

  5. 15:32

  6. 14:56

  7. 14:41

  8. 13:20