SMTP lässt jede Adresse als Absender zu (ACHTUNG SCHWACHSTELLE)

    Guten Abend zusammen,


    [netcup] Lars S. hat sich bei mir gemeldet. Wenn du magst, darfst du das Sie das nächste mal gerne weglassen, der richtige Vorname ist im Ticket ja bekannt. ;) Fühle mich sonst so alt. ;(


    Also zur Rückmeldung von Lars:

    Das Thema wird intern evaluiert und er meldet sich dann - wird aber etwas Zeit in Anspruch nehmen, da es eine Grundsatzentscheidung ist.


    Vielen Dank an dich! Freue mich auf deine Rückmeldung.


    Schönes Wochenende euch allen! :)

    Quote from KB19

    Einer der Gründe könnte sein: Es gibt immer wieder Kunden, die ihren SMTP-Zugang gerne als Relay für diverse Dinge verwenden wollen. Um also auch mit Absender(domains) zu versenden, die nicht bei diesem Provider liegen.

    darum gelten diese auch als SPAM-Schleudern, weil die dann im SPF-Eintrag vieler Domains mitberücksichtigt sein müssen;

    und damit können diese SMTP-Zugänge wirklich f. jeden Mist vergewaltigt werden; :(

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Es gibt Neuigkeiten…zwar nicht von Netcup aber von einem Konkurrenten nämlich der 2+2 I***S


    https://www.msxfaq.de/


    Leider kann ich den vollständigen Link, aufgrund eines zu zensierenden Wortes nicht posten…


    Das identische in diesem Beitrag geschilderte Problem hatten die auch und haben endlich eingelenkt und passen ihre Systeme zum Januar 2024 an. Sehr löblich.


    Ich finde es toll wie Frank Carius schreibt: “Ich finde den Wechsel der "Versandbedingungen" von I***S überfällig. Die bisherige Konfiguration, bei der jeder authentifizierte Benutzer mit einer beliebigen bei I***S gehosteten Domain senden konnte, war hochgradig problematisch,…”


    Netcup nimm dir ein Beispiel!

    Gibt es Updates? Es ist doch nur eine Frage der Zeit bis jemand damit großen Schaden anrichtet durch gezieltes Phishing... Ich empfehle allen Personen netcup nicht für E-Mails zu verwenden, solange das nicht gefixt ist.

    Vielleicht ist das eine blöde Frage, aber wie oft ist das befürchtete Szenario in den eineinhalb Jahren, seit denen dieser Thread existiert, eingetreten? Immerhin muss man für den Mailversand angemeldet sein und eine solche Absenderfälschung wäre für Netcup problemlos nachvollziehbar, hoffentlich mit entsprechenden Folgen für den Übeltäter. Ist das Thema wirklich wichtig genug, um einen Boykott auszusprechen?

    Jemand kann in meinem Namen E-Mails verschicken? 30

    1. Das ist okay für mich. (4) 13%
    2. Damit habe ich ein Problem. (26) 87%

    Die Personen, die kein Problem damit haben, dass ich E-Mails ihren Namen verschicken kann, die können meine Empfehlung ja ignorieren.

    Mailadressen zu fälschen, ist total einfach. Das kann im Endeffekt jeder machen, unabhängig von Netcup. Um ehrlich zu sein, verstehe ich nicht, was du mit der Abstimmung erreichen möchtest?

    Quote from Hille

    Mailadressen zu fälschen, ist total einfach. Das kann im Endeffekt jeder machen, unabhängig von Netcup. Um ehrlich zu sein, verstehe ich nicht, was du mit der Abstimmung erreichen möchtest?

    Damit das nicht so einfach ist, gibt es ja DKIM, DMARC und SPF, aber genau diese Mechanismen werden ausgehebelt.

    In diesem Thema geht es darum, dass der Mailserver prüfen könnte, ob der Kunde autorisiert ist, die Absenderdomain zu verwenden, z.B. weil sie seinem Account, mit dem er sich angemeldet hat, zugewiesen ist, oder vom Kunden anderweitig authentifiziert ist (z.B. durch Hinterlegung eines von Netcup vorgegebenen TXT-Records).


    Bisher ist es so, dass der Kunde durch den Login autorisiert ist, den Mailserver zum Versenden von Email zu verwenden, und der Mailserver (i.d.R. durch SPF) autorisiert ist, für bestimmte Domains Mails zu versenden. Aber weil der Mailserver von vielen Kunden autorisiert wird, Mails von ihren Domains zu verschicken, ist es möglich, dass jemand, der autorisiert ist, den Mailserver zu benutzen, Mail von Domains verschickt, die ihm nicht gehören, ohne dass ein Empfänger diese Fälschung erkennen könnte.


    Die Erwartung, dass man erkennen kann, ob unsignierte Email "echt" ist, halte ich bei Kenntnis des Protokolls für arg übertrieben. Wer das will, sollte Emails mit einem geheimen und nur ihm selbst verfügbaren Schlüssel signieren. Die Erwartung bei Laien weicht davon aber möglicherweise ab.


    Mir geht's mehr darum, warum das so hochgekocht wird, als um das "Problem" an sich.


    Im übrigen finde ich die Fragestellung "ist das OK für dich" nicht in Ordnung. Der sorglosen Fälschung von Absendern steht hier ja durchaus etwas entgegen, auch wenn die Tat an sich technisch erstmal möglich ist. Ist es OK für mich, dass mich jemand auf der Straße einfach über den Haufen fahren kann? Nein, aber mir ist klar, dass man das nicht ohne überbordende Einschränkungen unmöglich machen kann.

    Edited 7 times, last by NaN ().

    Quote from gats

    Damit das nicht so einfach ist, gibt es ja DKIM, DMARC und SPF, aber genau diese Mechanismen werden ausgehebelt.

    Was ist aber, wenn der zu empfangene Mailserver diese Parameter gar nicht prüft? Dazu noch das SPF Problem bei Weiterleitungen.Man könnte das jetzt noch bis ins Detail zerlegen.

    Wenn der empfangende Mailserver diese Parameter nicht prüft, dann ist das seine Sache. Und wenn dort jemand partout ein Mailkonto haben will, dann ist das ebenfalls seine Sache, wenn er auch die Mails mit nachweislich gespooften Absenderadressen unbedingt bekommen möchte. Des Menschen Wille ist sein Himmelreich.


    Der Mailserver könnte aber die Parameter prüfen und ich muss dort auch nicht zwingend mein Mailkonto haben. Das SPF-Problem bei Weiterleitungen, insbesondere bei Mailinglisten, ist real, aber dafür gibt es DKIM, DMARC und neuerdings ARC-Header. Auch ohne ARC-Header sehe ich relativ wenige Probleme bei Weiterleitungen, die bei einem Bekannten sehr häufig vorkommen. Bisher eigentlich nur fehlgeschlagene Weiterleitungen von Spam-Mails, die der Postausgangsserver der grünen Mailbox aus Berlin nicht rauslässt.


    Da bin ich auch durchaus dankbar für, weil er sich von seinem Büro grundsätzlich alles weiterleiten lässt, sei es Spam oder auch nicht. Die rausgefilterten Spam- und Phishing-Mails ersparen mir dann wiederum die nochmal an mich weitergeleiteten Mails mit der Frage, ob das echt sei. Selbst Peer Heinlein, der SPF durchaus kritisch sieht, hat sich letztlich dazu durchgerungen SPF, DKIM und DMARC zu unterstützen. Und auch einige weitergeleitete Mails mit ARC-Headern meine ich da schon gesehen zu haben.

    Finde das Thema sehr interessant. Ein Webhosting-Kunde sollte davon ausgehen dürfen, dass nach Stand der Technik alles Mögliche unternommen wird um die Dienste abzusichern.


    Dieser Vorschlag:

    Quote from Geheftet09

    Ich habe Netcup jetzt folgenden Vorschlag gemacht:

    erlaubt vermutlich (bin hier selbst kein Experte) weiterhin sowas zu machen:

    Quote from KB19

    Einer der Gründe könnte sein: Es gibt immer wieder Kunden, die ihren SMTP-Zugang gerne als Relay für diverse Dinge verwenden wollen.


    Hierzu:

    Quote from andreas.

    ... anbietet, die eher den Fokus auf Webhosting legen und nicht E-Mail?

    noch eine Anmerkung:

    Öhmm... da der E-Mail-Speicherplatz bei netcup immer die Hälfte des 'SSD-Speicherplatzes' einnimmt und nur die andere Hälfte für den Webspace verwendet werden kann, sehe ich hier keine unterschiedliche Priorisierung zwischen Mail <> Webhosting ;)