Mailbestätigung von CCP-Supportanfragen?

  • Guten Tag,


    Zitat


    Thema Spam: Was wäre mit Greylisting und einer Whiteliste für bereits im CCP hinterlegten E-Mail-Adressen?


    das ist nicht das Problem. Das Problem ist das wir dann an gefakte Absender Bestätigungen senden, was nicht sein darf. Aus diesem Grund versenden wir aktuell keine automatischen Bestätigungen.


    VG Felix Preuß

  • Hallo, Herr Preuß,


    das Problem wurde heute behoben, vielen Dank für die zügige Bearbeitung!


    MfG

    Torsten

  • das ist nicht das Problem. Das Problem ist das wir dann an gefakte Absender Bestätigungen senden, was nicht sein darf. Aus diesem Grund versenden wir aktuell keine automatischen Bestätigungen.

    Verstehe ich ehrlich gesagt nicht ganz.


    Fall 1: (Fake-)E-Mail-Adresse ist im CCP nicht bekannt. Keiner bekommt eine Rückmeldung.


    Fall 2: (Fake-)E-Mail-Adresse ist im CCP bekannt, Absender ist aber nicht der dazu passende Kunde. Dazu müsste ein Spam-Versender erst mal die E-Mail-Adresse kennen, mit der ein Kunde registriert ist. Ohne persönlichen Kontakt zum jeweiligen Kunden ist das schon recht unwahrscheinlich. Was passiert im worst case: (echter) Kunde bekommt eine Benachrichtigung über eine eingegangene Fake-Nachricht. Aus dem Bauch heraus würde ich sagen, dass das eher selten vorkommt, und damit der Nutzen die "Kosten" (inclusive nerviger Spam-Mail an den Kunden) höher ist. Eventuell auch als Opt-In-Option im CCP einstellbar, ob man ne Benachrichtigung über eingegangene Tickets möchte oder nicht.


    Btw: Mit DKIM etc. sollte sich eigentlich recht gut ausschließen lassen, dass jemand erfolgreich einen ehrlichen Absender nachahmt. Also vorher ein paar Spam-Checks und wenn die alle ok melden sehe ich da recht wenig Probleme. (Ist aber nur meine Meinung, weitere Meinungen erwünscht!)


    Viele Grüße

    Matthias

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Du vergisst bei Fall 2, dass die E-Mail Adresse (derzeit) auch im Whois hinterlegt ist. Außerdem dürften nur wenige viele verschiedene Mail Adressen haben, man findet sie höchstwahrscheinlich auch woanders.


    Ich würde mich als Kunde nicht freuen, wenn ich mit zig Bestätigungsmails zugeflutet werde, weil ein Scherzkeks in meinem Namen den Support zuspammt. Es reicht schon, wenn viele Kontaktformulare im Internet genau das machen…

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ich würde mich als Kunde nicht freuen, wenn ich mit zig Bestätigungsmails zugeflutet werde, weil ein Scherzkeks in meinem Namen den Support zuspammt. Es reicht schon, wenn viele Kontaktformulare im Internet genau das machen…

    Hier muß ich ehrlich sagen, dass mich *gerade* das brennend interessieren würde, noch bevor sich Netcup explizit beim "nervenden Kunden" (mir) meldet. Das wäre nämlich in der Tat eine Situation, in welcher ich proaktiv eine andere Mailadresse hinterlegen würde.

    Außerdem besteht in diesem Fall noch eine (geringe) Chance, auf eine böswillige Anfrage reagieren zu können, bevor der Support gegen den Willen des geschädigten Kunden tätig wird.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Wirklich "schlimme" Aktionen darf der Support eh erst nach Rückfrage (an die richtige E-Mail Adresse) machen. Oder nach Abschicken übers CCP.


    Ich ging bei meinem Beispiel eher davon aus, dass der Spaßvogel den Support mit sinnlosen Spammails zumüllt.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Guten Tag,



    nicht das das missverstanden wird.


    Zitat

    Ich ging bei meinem Beispiel eher davon aus, dass der Spaßvogel den Support mit sinnlosen Spammails zumüllt.


    Es geht uns nicht darum das wir Spam erhalten, sondern das die angeblichen Abesender Spam erhalten.


    Üblicherweise haben Ticketsysteme die via E-Mail (nicht Kontaktformular) kontaktiert werden können keinen Autorepley, da ansonsten folgendes Angriffsszenario möglich ist:


    [ Angreifer ] Verfasst E-Mail mit dem Absender armes@opfer.tld und sendet diese ans Ticketsystem

    [ Ticketsystem ] Verarbeitet die E-Mail und antwortet an armes@opfer.tld, dass das Ticket eingetroffen ist. Im schlimmsten Fall führt das Ticketsystem noch einmal auf, was der Angreifer geschrieben hat. So kann dann wirklich Spam über das Ticketsystem vom Angreifer zugestellt werden.

    [ Opfer ] Ärgert sich über die E-Mails die vom Ticketsystem kommen. Im schlimmsten Fall reagiert es auf den Text den der Angreifer eingeschleust hat.


    Ich hoffe, dass das soweit verständlich ist.



    Viele Grüße


    Felix Preuß

  • Ihr könntet doch das CCP Formular anders als die Supportmails ins OTRS einkippen. Also ein zweites (geheimes) Postfach zum Beispiel oder anhand eines Betreff Präfixes, den das Formular voranstellt und OTRS filtert, was dann weniger sicher wäre.

    Da kann dann auch direkt das bisherige Postfach automatisch antworten und nichtmal OTRS.

  • Das Angriff Szenario ist soweit klar, daher mein Vorschlag mit der Whitelist: AutoRespond nur an Adressen, die im CCP als Kontaktmail hinterlegt sind. Zwar kann den Absender immernoch jemand faken, ein Nutzer, bei dem SPF etc. korrekt eingerichtet sind, freut sich dann aber über die Rückmeldung. Mal davon abgesehen, dass die entsprechende Nutzerzahl für solche Angriffe begrenzt wäre.