Email Sicherheitslücke

#1
Hallo. Ich habe neulich eine Email / Spam erhalten und mir nichts weiter dabei gedacht und gleich gelöscht. Diese dumme blabla von irgendwas von Video von meiner Webcam aufgenommen und ich soll BTC zahlen, naja wurst habe nicht mal ne Webcam :D. Jetzt kam wieder so eine und mich beunruhigt das Problem:

Der gefälsche Absender (also From: ) ist die gleiche Emailadresse wie der Empfänger.

Normalerweise kann man Emails von seinem eigenen Server nur senden, wenn man direkt vom Server sendet oder sich via Emailprogramm per SMTP Auth anmeldet. Den Test kann ich problemlos machen:
Bash:
$ telnet mail.meinedomain.de 25
Trying 138.201.0.0...
Connected to mail.meinedomain.de.
Escape character is '^]'.
220 mail.meinedomain.de ESMTP Postfix
HELO mail.fremderserver.de
250 mailserver.fqdn
MAIL FROM: <info@meinedomain.de>
250 2.1.0 Ok
RCPT TO: <info@meinedomain.de>
553 5.7.1 <info@meinedomain.de>: Sender address rejected: not logged in
421 4.7.0 mail.meinedomain.de Error: too many errors
Connection closed by foreign host.
Somit alles prima. Bin nicht eingeloggt, somit geht die Email nicht durch.

Anders sieht es aus, wenn der Postfix die Email vom fremden Server zu mir sendet:
root@fremderserver.de:~$ echo "Geheim" | mailx -a 'From: info@meinedomain.de' -s "Ihr geheimes versteckte Leben" "info@meinedomain.de"
dann kommt die Email einwandfrei an, da alles ok ist. Die Headerzeilen sehen dann so aus:
Code:
Return-Path: <root@mail.fremderserver.de>
Delivered-To: info@meinedomain.de
Received: from localhost (localhost.localdomain [127.0.0.1])
        by mail.meinedomain.de (Postfix) with ESMTP id BDF343327852
        for <info@meinedomain.de>; Sat, 13 Oct 2018 16:33:55 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at mail.meinedomain.de
Received: from mail.meinedomain.de ([127.0.0.1])
        by localhost (mail.meinedomain.de [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id UsbxHKBp5HEh for <info@meinedomain.de>;
        Sat, 13 Oct 2018 16:33:55 +0200 (CEST)
Received-SPF: None (mailfrom) identity=mailfrom; client-ip=176.9.0.0; helo=mail.fremderserver.de; envelope-from=root@mail.fremderserver.de; receiver=info@meinedomain.de
Received: from mail.fremderserver.de (mail.fremderserver.de [176.9.0.0])
        (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
        (No client certificate requested)
        by mail.meinedomain.de (Postfix) with ESMTPS id 4E25B3327851
        for <info@meinedomain.de>; Sat, 13 Oct 2018 16:33:54 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
        by mail.fremderserver.de (Postfix) with ESMTP id BEA64243836
        for <info@meinedomain.de>; Sat, 13 Oct 2018 16:33:54 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at mail.fremderserver.de
Received: from mail.fremderserver.de ([127.0.0.1])
        by localhost (mail.fremderserver.de [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id 7_RMDqvt5p2y for <info@meinedomain.de>;
        Sat, 13 Oct 2018 16:33:54 +0200 (CEST)
Received: by mail.fremderserver.de (Postfix, from userid 0)
        id 8EF2024385F; Sat, 13 Oct 2018 16:33:54 +0200 (CEST)
To: info@meinedomain.de
Subject: Ihr geheimes  versteckte Leben
From: info@meinedomain.de
Message-Id: <20181013143354.8EF2024385F@mail.fremderserver.de>
Date: Sat, 13 Oct 2018 16:33:54 +0200 (CEST)
X-Spamd-Bar: +

Geheim
Zum Empfangen sind schon zig Greylisting, Blacklisten, Amavis und nun auch SPF aktiv. Das reicht für 80% bisher aus, nur nicht in dem Fall.
Ja zu blöd das SPF nur auf den HELO Namen und den "envelope-from" prüft (in meinen bisherigen Versuchen). Die sind lustigerweise gültig, da ja nicht versucht wird mit falschem Absender zu schicken. Was mich stört, ist das man so Emails zustellen kann die man gar nicht versendet hat. Der "Normalo" User kann das nicht unterscheiden und glaubt die Email ist tatsächlich von ihm.

Die Regeln "System > Server config > mail "Reject sender and login mismatch" fügt in der main.cf "reject_authenticated_sender_login_mismatch" hinzu. Da die aber unter "smtpd_sender_restrictions" sind, hat dies scheinbar keine Auswirkungen beim Empfangen.

Das ist mit Sicherheit kein Problem von ISPConfig sondern eine Konfigurationssache. Wäre schön ich wüsste wie ich das einfach lösen könnte.
Gruß Ronny
 

Werbung

Top