Abo
  1. Foren
  2. Kommentare
  3. Wissenschaft
  4. Alle Kommentare zum Artikel
  5. › Nach Mailserver-Hack: Karlsruher…

Verständnisfrage

  1. Thema

Neues Thema Ansicht wechseln


  1. Verständnisfrage

    Autor: RudolfH22 15.02.14 - 08:10

    Im Artikel heißt es:

    Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails an die Domain hs-karlsruhe.de kein Smtp-Auth benötigte.

    Das ist doch das ganz normale Verhalten eines jeden Mailsservers, oder irre ich mich da? Die Mails an die "eigene Domain" müssen angenommen werden, nur wenn etwas an "fremde" Domains weitergeleitet werden soll, ist smtp auto notwendig, oder?

  2. Re: Verständnisfrage

    Autor: Ftee 15.02.14 - 08:54

    Mailserver != Mailserver

  3. Re: Verständnisfrage

    Autor: jaykay2342 15.02.14 - 08:58

    RudolfH22 schrieb:
    --------------------------------------------------------------------------------
    > Im Artikel heißt es:
    >
    > Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails an die
    > Domain hs-karlsruhe.de kein Smtp-Auth benötigte.
    >
    > Das ist doch das ganz normale Verhalten eines jeden Mailsservers, oder irre
    > ich mich da? Die Mails an die "eigene Domain" müssen angenommen werden, nur
    > wenn etwas an "fremde" Domains weitergeleitet werden soll, ist smtp auto
    > notwendig, oder?

    Also alle Mailserver die ich administriere nehmen nimmt die Mails nicht ohne Auth an sobald der Absender die "eigene Domain" ist. Empfänger ist da erst mal egal.

  4. Re: Verständnisfrage

    Autor: RudolfH22 15.02.14 - 13:19

    Also den Satz: "Also alle Mailserver die ich administriere nehmen nimmt die Mails nicht ohne Auth an sobald der Absender die "eigene Domain" ist. "
    verstehe ich nicht.

    Ich glaube aber schon, dass der Empfänger das entscheidende Kriterium ist. Denn ein Mailserver nimmt (i.d.R.)
    a) alle Mails an, wenn man sich bei ihm anmelden kann (SMTP Auth)
    b) Mails an dessen Domains er "relayed" (d.h. weiterleitet)
    c) Mails an, für Domains für die er selbst die (Postfix-Jargon) destination hat.

    Für b) und c) ist also der Empfänger entscheidend.

    Andere Stimmen?

  5. Re: Verständnisfrage

    Autor: blubberlutsch5000 15.02.14 - 14:05

    das haengt doch alles stark von der Konfiguration des Mailservers ab, weche Mails nun letztendlich angenommen und/oder weiterverarbeitet werden, kann man doch anhand vielen Parametern festlegen.

    Das Problem ist ja, dass der MTA Mails von (nicht fuer) die eigene Domain annimmt, ohne zu pruefen, ob der Sender, der ist, fuer den er sich ausgibt. Bei Mails von fremdem Domains kann das der Mailserver ja garnicht (und zumeist wuerde er die auch nicht relayen, aber da kann man bei konfigurieren auch schon Fehler machen), das ist ja auch eines der grundlegenden Probleme von SMTP, wobei es da auch ja einige unschoene Moeglichgkeiten ala PTR records gibt.

    Ich versteh die ganze Aufregung nicht, das war kein Hack, maximal ein Ausnutzen eines alten Features aus der guten alten Zeit. Eigentlich muesste die Uni mal schoen leise sein, sich schaemen und den Server mal endlich umkonfigurieren.

  6. Re: Verständnisfrage

    Autor: das_ist_unglaublich 15.02.14 - 18:35

    blubberlutsch5000 schrieb:
    --------------------------------------------------------------------------------

    > Das Problem ist ja, dass der MTA Mails von (nicht fuer) die eigene Domain
    > annimmt, ohne zu pruefen, ob der Sender, der ist, fuer den er sich ausgibt.

    WO SIEHST DU DAS?
    Der Artikel gibt das nämlich nicht her

    Zitat: "Bereits bekannte Sicherheitslücke: Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails an die Domain hs-karlsruhe.de kein Smtp-Auth benötigte"

    AN DIE DOMAIN NICHT VON DER DOMAIN
    Also Absender UND Empfänger die eigene Domain

    Also hört endlich auf euch lächerlich zu machen mit "Boah ey ein offenes Relay" wenn ihr nicht in der Lage seid Artikel die ihr kommentiert vorher zu lesen und vor allem auch zu verstehen - Den Artikel und das Wort Sicherhteislücke darin dürfte es so gar nicht geben

  7. Re: Verständnisfrage

    Autor: EvilSheep 16.02.14 - 20:24

    Hier in dem Thread hat doch keiner was von offenem Relay geschrieben.

    Aber ein Mailserver sollte schon prüfen ob der Absender der Mail auch der Nutzer ist der er angibt zu sein.

    Kann doch nicht sein das Student Peter Emails im Namen von Prof Meier verschicken kann.

    Mag Spamtechnisch nicht fatal sein da nur Uniintern, aber in anderen Unis gibt es diese Einschränkung nicht mal.
    Auf zwischenmenshclicher Ebene lässt sich aber noch weit mehr Schaden anrichten als ein paar Liebesbriefe.

  8. Re: Verständnisfrage

    Autor: das_ist_unglaublich 16.02.14 - 20:39

    EvilSheep schrieb:
    --------------------------------------------------------------------------------
    > Hier in dem Thread hat doch keiner was von offenem Relay geschrieben.

    Mich interessiert nicht der einzelne Thread sondern die gesamte Gülle angefangen vom Artikel

    > Aber ein Mailserver sollte schon prüfen ob der Absender der Mail auch der
    > Nutzer ist der er angibt zu sein.

    Sollte er das?
    Na dann arbeite dich mal in Mail ein

    Du kannst bestenfalls den Envelope-Sender prüfem
    Machst du das für den From-Header tötest du jede Menge legitimer Mails

    Hint: Der Envelope wird im Mailprogramm NICHT angezeigt
    Der From-Header ist per Definitoon auf jeder Mailig-Liste spoofed

    EINGEHENDE MAILS BEDÜRFEN KEINER UTHENTIFIZIERUNG - PUNKT

    > Kann doch nicht sein das Student Peter Emails im Namen von Prof Meier
    > verschicken kann.

    Doch kann es schon

    > Mag Spamtechnisch nicht fatal sein da nur Uniintern, aber in anderen Unis
    > gibt es diese Einschränkung nicht mal.
    > Auf zwischenmenshclicher Ebene lässt sich aber noch weit mehr Schaden
    > anrichten als ein paar Liebesbriefe.

    Echt?
    Der einzige Weg um solchen "Schaden" von dir abzuhalten ist Basics zu lernen (Lesen von mailheadern) oder einfach E-Mail nicht zu verwenden oder eben GPG benutzen und alle deine Kontakte dazu bringen selbiges zu tun

  9. Re: Verständnisfrage

    Autor: cabal2k 17.02.14 - 09:51

    das_ist_unglaublich schrieb:
    --------------------------------------------------------------------------------
    > Echt?
    > Der einzige Weg um solchen "Schaden" von dir abzuhalten ist Basics zu
    > lernen (Lesen von mailheadern) oder einfach E-Mail nicht zu verwenden oder
    > eben GPG benutzen und alle deine Kontakte dazu bringen selbiges zu tun

    +1

    Genau so ist es. SPF und DKIM sind eine nette Idee aber im Alltag völlig unbrauchbar.

  10. Re: Verständnisfrage

    Autor: a user 17.02.14 - 11:29

    RudolfH22 schrieb:
    --------------------------------------------------------------------------------
    > Im Artikel heißt es:
    >
    > Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails an die
    > Domain hs-karlsruhe.de kein Smtp-Auth benötigte.
    >
    > Das ist doch das ganz normale Verhalten eines jeden Mailsservers, oder irre
    > ich mich da?
    du irrst dich da.
    > Die Mails an die "eigene Domain" müssen angenommen werden, nur
    > wenn etwas an "fremde" Domains weitergeleitet werden soll, ist smtp auto
    > notwendig, oder?
    nö. man kann es so oder so konfigurieren. an meiner uni war smtp auth IMMER nötig, auch, wenn es aus der eigenen domain kam.

  11. Re: Verständnisfrage

    Autor: das_ist_unglaublich 17.02.14 - 11:41

    a user schrieb:
    --------------------------------------------------------------------------------
    > RudolfH22 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Im Artikel heißt es:
    > >
    > > Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails an
    > die
    > > Domain hs-karlsruhe.de kein Smtp-Auth benötigte.
    > >
    > > Das ist doch das ganz normale Verhalten eines jeden Mailsservers, oder
    > irre
    > > ich mich da?
    > du irrst dich da

    Nein er irrt sich NICHT
    Das IST das Standardverhalten JEDES Mailservers

    Alles über Relay-Check und "smtpd_sender_login_maps" hinaus ist
    eine nicht generell übliche Erweiterung UND NOCHMAL dem User
    hilft eine Spoof-Protection NICHT weil die eben NICHT auf den
    FROM-HEADER geht und DAS ist das was das Mailprogramm
    anzeigt, ergo hilft eine Spoofing-Protection NICHT dagegen dass
    jemand in das was der MUA beim Liebesbrief vom Professor
    anzeigt dessen Adresse reinspielt

    PUNKT

  12. Re: Verständnisfrage

    Autor: a user 17.02.14 - 13:42

    das_ist_unglaublich schrieb:
    --------------------------------------------------------------------------------
    > a user schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RudolfH22 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Im Artikel heißt es:
    > > >
    > > > Der Hack war möglich, weil der Mailserver der Hochschule für E-Mails
    > an
    > > die
    > > > Domain hs-karlsruhe.de kein Smtp-Auth benötigte.
    > > >
    > > > Das ist doch das ganz normale Verhalten eines jeden Mailsservers, oder
    > > irre
    > > > ich mich da?
    > > du irrst dich da
    >
    > Nein er irrt sich NICHT
    doch irrt er.
    > Das IST das Standardverhalten JEDES Mailservers
    nein, das ist das spezifizierte standardverhalten. aber was spielt das standardverhalten für eine rolle? mailserver werden konfiguriert. so gut wie niemand installiert einen mail-server und beläßt alles auf standardkonfiguration.

    damit ist es nicht mehr das "normale verhalten eines JEDEN" mail-servers. es mag das standardverhalten sein, wenn man ihn nicht anders konfiguriert aber es ist nicht das verhalten eines jeden, installierten und konfigurierten Mail-Servders!
    >
    > Alles über Relay-Check und "smtpd_sender_login_maps" hinaus ist
    > eine nicht generell übliche Erweiterung UND NOCHMAL dem User
    > hilft eine Spoof-Protection NICHT weil die eben NICHT auf den
    > FROM-HEADER geht und DAS ist das was das Mailprogramm
    > anzeigt, ergo hilft eine Spoofing-Protection NICHT dagegen dass
    > jemand in das was der MUA beim Liebesbrief vom Professor
    > anzeigt dessen Adresse reinspielt
    hat auch niemand behauptet, dass man damit verhindern kann, dass der im client angezeigt name ungleich dem tatsächlcihen absender entspricht.

    > PUNKT
    jetzt hast du es mir aber gegeben. komm mal wieder runter.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. STRABAG BRVZ GMBH & CO.KG, Stuttgart
  2. über duerenhoff GmbH, Erding
  3. über duerenhoff GmbH, Raum Mannheim, deutschlandweit
  4. ASK Chemicals GmbH, Hilden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. 5€ inkl. FSK-18-Versand
  3. 5€ inkl. FSK-18-Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Android-Smartphone: 10 Jahre in die Vergangenheit in 5 Tagen
    Android-Smartphone
    10 Jahre in die Vergangenheit in 5 Tagen

    Android ist erst zehn Jahre alt, doch die ersten Geräte damit sind schon Technikgeschichte. Wir haben uns mit einem Nexus One in die Zeit zurückversetzt, als Mobiltelefone noch Handys hießen und Nachrichten noch Bällchen zum Leuchten brachten.
    Ein Erfahrungsbericht von Martin Wolf

    1. Sicherheitspatches Android lässt sich per PNG-Datei übernehmen
    2. Google Auf dem Weg zu reinen 64-Bit-Android-Apps
    3. Sicherheitslücke Mit Skype Android-PIN umgehen

    Begriffe, Architekturen, Produkte: Große Datenmengen in Echtzeit analysieren
    Begriffe, Architekturen, Produkte
    Große Datenmengen in Echtzeit analysieren

    Wer sich auch nur oberflächlich mit Big-Data und Echtzeit-Analyse beschäftigt, stößt schnell auf Begriffe und Lösungen, die sich nicht sofort erschließen. Warum brauche ich eine Nachrichten-Queue und was unterscheidet Apache Hadoop von Kafka? Welche Rolle spielt das in einer Kappa-Architektur?
    Von George Anadiotis


      1. Streaming: Netflix zahlt in deutsche Filmförderung ein
        Streaming
        Netflix zahlt in deutsche Filmförderung ein

        Netflix beendet den Rechtsstreit und zahlt einen Umsatzanteil an die deutsche Filmförderung. Die Filmabgabe, die neben den Kinos von der Videowirtschaft und dem Fernsehen erhoben wird, sollen nun alle Streaminganbieter zahlen.

      2. Netzbetreiber: Ericsson und Nokia könnten Huawei nicht ersetzen
        Netzbetreiber
        Ericsson und Nokia könnten Huawei nicht ersetzen

        Ein führender europäischer Netzbetreiber fürchtet um seinen 5G-Ausbau, sollte Huawei ausgeschlossen werden. Die beiden europäischen Ausrüster könnten hier nicht so einfach einspringen. Auch die GSMA warnt eindringlich.

      3. Ubuntu-Sicherheitslücke: Snap und Root!
        Ubuntu-Sicherheitslücke
        Snap und Root!

        Über einen Trick kann ein Angreifer Ubuntus Paketverwaltung Snap vorgaukeln, dass ein normaler Nutzer Administratorrechte habe - und damit wirklich einen Nutzer mit Root-Rechten erstellen.


      1. 19:17

      2. 18:18

      3. 17:45

      4. 16:20

      5. 15:42

      6. 15:06

      7. 14:45

      8. 14:20