{"id":3026,"date":"2022-10-11T16:34:16","date_gmt":"2022-10-11T14:34:16","guid":{"rendered":"http:\/\/www.wiesbadener-kreis.de\/?p=3026"},"modified":"2022-10-11T16:34:16","modified_gmt":"2022-10-11T14:34:16","slug":"spam-mail-betreff-vulnerability-report-email-spoofing","status":"publish","type":"post","link":"http:\/\/www.wiesbadener-kreis.de\/?p=3026","title":{"rendered":"Spam-Mail \u2013 Betreff: Vulnerability Report: (Email Spoofing)"},"content":{"rendered":"

Haben Sie auch bereits eine E-Mail eines \u201eJohn A.\u201c zum E-Mail-Spoofing erhalten, welche ggf. direkt in Ihrem Spam-Ordner gelandet ist? Dann ist diese Mail in Ihren Spams richtig und gut aufgehoben.<\/p>\n

In der Mail von Herrn A., unter der Absender-Adresse (gek\u00fcrzt) \u201ejohnhacker\u2026@gmail.com\u201c<\/em> \u2013 ja, die Mailadresse ist schon sehr seri\u00f6s \u2013 fragt er netterweise erstmal, wie es uns gut. Er schreibt weiterhin, dass er noch keine R\u00fcckmeldung erhalten habe, zu dem durchgef\u00fchrten Update der betroffenen Webseite. Au\u00dferdem weist er nochmals auf die Zahlung der Pr\u00e4mie hin, die man doch an ihn zahlen solle, da er ja schlie\u00dflich die vermeintliche Sicherheitsl\u00fccke auf der Webseite entdeckt hat.<\/p>\n

Es folgt nun die angeblich zuvor gesendete Mail, ca. vor einer Woche. Darin stellt sich Herr A. als \u201esecurity researcher\u201c vor und macht dann auf die Sicherheitsl\u00fccken der Webseite aufmerksam. Als Webseite nennt er auch tats\u00e4chlich die (Unternehmens)Webseite des Empf\u00e4ngers mit der dazugeh\u00f6rigen Domain.<\/p>\n

Durch die Nennung der Domain, scheint es vielleicht auf den ersten Blick, eine ernsthaft zu nehmende E-Mail zu sein, auf die man auch sofort reagieren sollte. Zudem sendet Herr A. die Mail nicht nur an eine Mailadresse des Unternehmens, sondern auch zeitgleich an die zust\u00e4ndige Landesbeh\u00f6rde f\u00fcr Datenschutz.<\/p>\n

Wir haben Ihnen hier einmal die E-Mail beigef\u00fcgt, die Herr A. versendet:<\/p>\n

\"\"<\/a><\/p>\n

Nachfolgend erscheint sein angeblicher Fund auf der Webseite, dass kein DMARC eingerichtet sei. Ebenfalls sendet er \u2013 professionell wie er ist \u2013 auch einen Snapshot des Tools, welches anzeigt, dass DMARC nicht aktiviert ist.<\/p>\n

Dies sieht dann wie folgt aus:<\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

Was ist zu tun?<\/p>\n

Hier empfehlen wir Ihnen diese Mail \u2013 wenn nicht bereits geschehen \u2013 als Spam zu melden. Bitte reagieren Sie nicht auf die Mail und zahlen nat\u00fcrlich auch keine \u201eBelohnung\u201c an Herrn A. f\u00fcr seine \u201eBem\u00fchungen\u201c.<\/p>\n

Zumal auch ein Versto\u00df gegen das „Gesetz gegen den unlauteren Wettbewerb“ (UWG) bei derartigen Praktiken in Betracht kommt. Dies sollte man unserer Meinung nach nicht noch unterst\u00fctzen.<\/p>\n

Sollten Sie solche E-Mails erhalten und sich nicht sicher sein, wie Sie damit umgehen, so steht Ihnen die GINDAT GmbH bei Fragen gerne zur Verf\u00fcgung.<\/p>\n

Nachfolgend erl\u00e4utern wir Ihnen noch die Techniken zum Spam \/ Spoofing, sowie den Begriff \u201eDMARC\u201c<\/strong>.<\/p>\n

 <\/p>\n

E-Mail-Spoofing<\/u><\/strong><\/p>\n

Zur Vermeidung von Spam\/Spoofing, gibt es mehrere Techniken, die ein Domainbesitzer anwenden kann.<\/p>\n

Alle basieren darauf, dass der Besitzer Richtlinien vorgibt, die von den Empf\u00e4ngern dann ausgewertet werden und damit Mails in der Regel mit mehr oder weniger Wahrscheinlichkeit als Spam einstufen.<\/p>\n

 <\/p>\n

SPF (Sender Policy Framework)<\/strong><\/p>\n

Einrichtung: <\/u><\/p>\n

Hier wird ein DNS Eintrag erstellt, in dem alle Systeme genannt werden, die f\u00fcr die Domain Mails versenden d\u00fcrfen.<\/p>\n

Hier definiert der Besitzer einer Domain, welche Systeme im Namen der Domain (nach dem @ Zeichen) Mails versenden d\u00fcrfen.<\/p>\n

Das sind in der Regel die Mailserver, aber auch Webserver oder Drittanbieter wie z.B. Newsletterversand-Dienstleister.<\/p>\n

Die Einrichtung erfordert relativ wenig Aufwand, da nur eine Liste aller authorisierten Systeme aufgestellt werden und der DNS Eintrag erstellt werden muss.<\/p>\n

Dienste-Anbieter haben in der Regel Anleitungen, wie der SPF angepasst werden muss, damit Mailversand \u00fcber den jeweiligen Dienst funktioniert.<\/p>\n

Probleme:<\/u><\/p>\n

Es kann durch SPF eine Zahl an False Positives entstehen. Vor allem wenn Weiterleitungen auf Mailboxen eingerichtet sind.<\/p>\n

Wenn der Server die Mail weiterleitet bleibt die Absenderadresse die Originaladresse, daher versendet dann z.B. ein T-Online Mailserver, Mails f\u00fcr die urspr\u00fcngliche Absenderdomain und dieser Server ist nicht im SPF autorisiert.<\/p>\n

SPF darf nur eine begrenzte Zahl an weiteren DNS-Abfragen ausl\u00f6sen. Wenn also viele Drittanbieter-Dienste genutzt werden, die eigene SPF-Eintr\u00e4ge inkludieren, kann es dazu kommen, dass der Eintrag nicht mehr korrekt aufgel\u00f6st wird.<\/p>\n

Hier lohnt es sich bestimmte Dienste auf Subdomains abzuspalten, damit ein eigener SPF erstellt werden kann. (z.B. newsletter.domain.tld f\u00fcr Newsletterversand)<\/p>\n

 <\/p>\n

DKIM<\/u><\/strong><\/p>\n

Hier wird ein kryptografischer Schl\u00fcssel genutzt, mit dem die Mails beim Versand signiert werden.<\/p>\n

Damit werden 2 Dinge sichergestellt:<\/p>\n

    \n
  1. Die Mail kommt von einem System, das Zugriff auf den privaten Schl\u00fcssel hat und ist damit sehr wahrscheinlich authorisiert.<\/li>\n
  2. Die Mail wurde im Nachhinein nicht ver\u00e4ndert, da DKIM auch einen Hash des Inhalts und einiger Headerfelder beinhaltet.<\/li>\n<\/ol>\n

    Einrichtung:<\/u><\/p>\n

    Die Einrichtung ist aufw\u00e4ndiger, als bei SPF.<\/p>\n

    Hier wird ein DNS Eintrag erstellt, in dem der \u00f6ffentliche Schl\u00fcssel publiziert ist, mit dem ein Empf\u00e4nger dann die Signatur \u00fcberpr\u00fcfen kann.<\/p>\n

    Die Server, die Mails versenden, m\u00fcssen die DKIM Signatur hinzuf\u00fcgen. Einige Mailsysteme, wie z.B. Microsoft Exchange unterst\u00fctzen DKIM aber nicht von Haus aus, hier m\u00fcssen dann Drittanbieter-L\u00f6sungen genutzt werden.<\/p>\n

    Sollte man eine zentrale Email-Security-L\u00f6sung nutzen (vor allem Cloud Services), kann diese oft die DKIM Signatur \u00fcbernehmen. Hier kann dann zentral f\u00fcr alle Mails, die \u00fcber den Service versendet werden, die Signatur hinzugef\u00fcgt werden.<\/p>\n

    Drittanbieter wie Newsletterversand-Dienstleister, haben in der Regel eigene DKIM Keys, deren DNS Eintrag man einfach seiner Domain hinzuf\u00fcgen kann.<\/p>\n

    Probleme: <\/u><\/p>\n

    Grunds\u00e4tzlich sollte eine DKIM Signatur beim Weiterleiten einer Mail erhalten bleiben, da sich weder der Nachrichteninhalt, noch die (signierten) Header \u00e4ndern. Damit ist das false Postivie Problem von SPF hier nicht gegeben.<\/p>\n

    Einige Systeme (Microsoft Exchange) \u00e4ndern allerdings beim Durchgang der Mail tats\u00e4chlich die Header Felder und sorgen so f\u00fcr fehlschlagendes DKIM nach einer Weiterleitung.<\/p>\n

     <\/p>\n

    DMARC<\/u><\/strong><\/p>\n

    DMARC baut auf den beiden Techniken SPF und DKIM auf und definiert, wie die beiden Richtlinien vom Empf\u00e4nger interpretiert werden sollen.<\/p>\n

    Generell sieht DMARC Mails als autorisiert an, wenn einer der beiden Mechanismen erfolgreich war. Somit kann die Zahl der False Positives reduziert werden und gleichzeitig Spoofing bek\u00e4mpft werden.<\/p>\n

    Einrichtung:<\/u><\/p>\n

    Sobald SPF und DKIM bereits implementiert sind ist die Einrichtung sehr einfach.<\/p>\n

    Es muss nur ein DNS Eintrag mit den gew\u00fcnschten Richtlinien erstellt werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Haben Sie auch bereits eine E-Mail eines \u201eJohn A.\u201c zum E-Mail-Spoofing erhalten, welche ggf. direkt in Ihrem Spam-Ordner gelandet ist? Dann ist diese Mail in Ihren Spams richtig und gut aufgehoben. In der Mail von Herrn A., unter der Absender-Adresse (gek\u00fcrzt) \u201ejohnhacker\u2026@gmail.com\u201c \u2013 ja, die Mailadresse ist schon sehr seri\u00f6s \u2013 fragt er netterweise erstmal, … <\/p>\n

    \u201eSpam-Mail \u2013 Betreff: Vulnerability Report: (Email Spoofing)\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":14,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/3026"}],"collection":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/users\/14"}],"replies":[{"embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3026"}],"version-history":[{"count":5,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/3026\/revisions"}],"predecessor-version":[{"id":3034,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/3026\/revisions\/3034"}],"wp:attachment":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3026"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3026"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3026"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}