Affentanz um Authentifizierung eines Tickets

  • Hallo netcup und Kunden,


    gerade spiele ich mal wieder das Spiel mit dem Support, dass darauf bestanden wird, dass die Absenderadresse (also der FREI wählbare From-Header einer Mail) nicht mit dem hinterlegten Account übereinstimmt.

    Wieso wird nicht durch das Antworten an die hinterlegte Adresse verifiziert? Im konkreten Fall setze ich sogar den Reply-To-Header, so dass der Support-Mitarbeiter mit mir sogar über die hinterlegte Adresse kommuniziert.


    Mal ganz wild gesponnen: Setze ich die Mail-Adresse beim Kontaktieren des Support auf irgendeinen Quatsch (wie z.B. die Mail-Adresse von [netcup] Felix ), habe ich dann "erhöhte"/andere Berechtigungen durchs Ticket-System? (Oder böswillig: Ich setze die Mail-Adresse eines anderen Kunden und autorisiere dann Änderungen an dessen Infrastruktur?)


    Um es noch mal zu betonen: Die Absender-Adresse einer Mail kann völlig freigesetzt werden, und das setzen eines Reply-To-Headers wird ohne Beachtung des Ziel auch einfach durchgeführt und akzeptiert.
    Kann daher die Verifikation durch des Empfangen auf der eingetragen Mail-Adresse erfolgen?


    Viele Grüße

  • Hi chrko
    ich gebe hier mal meine persönliche Meinung zu dem Thema preis:


    Ich hatte auch schon das Problem, dass der netcup Support meine Anfrage nicht beantworten wollte, weil sie nicht von der autorisierten und im CCP hinterlegten Adresse kam. Grundsätzlich ist natürlich klar, dass der Support sicherstellen muss, dass Anfragen nur dann beantwortet werden, wenn man sich sicher sein kann, dass sie vom Kunden selbst kommen und nicht von jemandem, der sich nur als Kunde ausgibt. Zum einen könnte netcup ganz schnell einen Datenschutzverstoß begehen, wenn ein Mitarbeiter z.B. an eine wildfremde Adresse Zahlungsdetails, personenbezogene Daten oder Infos über gebuchte Produkte des Kunden sendet.

    Andererseits könnte ein Angreifer großen Schaden anrichten, wenn er z.B. gefälschte Kündigungen in fremdem Namen an netcup verschickt oder etwa: "Hilfe, ich komme nicht mehr an meine Server ran...bitte setzen Sie alle meine Server zurück, löschen Sie die Festplatte oder setze Sie sie neu auf!"

    Das sicherste Passwort, 2-Faktor-Authentifizierung, etc. hilft nicht, wenn ein Angreifer sich einfach als Kunde ausgibt und dann eine "menschliche Schwachstelle" im Support ausnutzt um Server zu übernehmen oder lahmzulegen. (Stichwort: Social Engineering)

    Es ist also klar, dass netcup so eine mögliche Schwachstelle ausschließen muss. Einerseits könnte man von vornherein jegliche Aufträge oder Anfragen über "unsichere Kanäle" blockieren und dem Kunden nur noch das Kontaktformular im CCP nach erfolgter Authentifizierung erlauben. Das wäre aber wenig komfortabel.


    Eine weitere Möglichkeit (mein persönlicher Favorit, wird von einigen anderen Firmen so gemacht) wäre, im CCP einen regelmäßig neu generierten Support-Pin anzuzeigen, den der Kunde am Telefon, per Mail etc. immer angeben muss. So ist sichergestellt, dass niemand in fremdem Namen den Support missbrauchen kann.


    Man könnte auch (macht netcup glaube ich am Telefon) die Kundennummer abfragen. Das ist m.M.n. sehr unsicher und sollte nicht zur Authentifizierung genutzt werden, da ich ja z.B. im Partnerprogramm die Kundennummern meiner geworbenen Kunden sehen kann. Die Kundennummer ist also nicht geheim.


    Per E-Mail kann man nun auf die Absender-Adresse, die im CCP hinterlegt sein muss, vertrauen. Das ist in meinen Augen suboptimal aber nicht so schlimm, wie du es in deinem Post darstellst. Natürlich kann jedes Script-Kiddy den From-Header einer Mail manipulieren, aber das heißt noch lange nicht, dass diese Mail dann vom netcup Support angenommen und bearbeitet wird. Wenn du im CCP eine Mail-Adresse einer Domain mit aktivem SPF, DMARC und DKIM hinterlegst, wird es ein Angreifer schwer haben, dem netcup-Mailserver eine gefälschte Mail zuzustellen. Und "seriöse" SMTP-Server wie z.B. die von GMAIL prüfen natürlich, ob du als User die im From-Header angegebene Adresse überhaupt verwenden darfst.

    (Natürlich setzt das Voraus, dass der netcup-Mailserver des Ticketsystems auch SPF, DKIM, etc. prüft, bevor ein Supportmitarbeiter die Mail zu Gesicht bekommt)

    Weiterhin kannst du die E-Mail Adresse im CCP einfach ändern und so sicherstellen, dass niemand außer dir überhaupt weiß, welche Absenderadresse du gerade autorisiert hast.

    Alles in allem finde ich, dass du einerseits Recht hast, dass man das vorhandene System verbessern könnet, andererseits muss ich deiner Aussage, jeder könne diese Absender-Prüfung umgehen, widersprechen.

    Eine weitere Diskussion dieses Themas auch mit einem netcup Mitarbeiter wäre super :thumbup:


    Viele Grüße

    marpri

  • Per E-Mail kann man nun auf die Absender-Adresse, die im CCP hinterlegt sein muss, vertrauen. Das ist in meinen Augen suboptimal aber nicht so schlimm, wie du es in deinem Post darstellst.

    Naja, im CCP sind ja mein Name und auch die Mailadresse mail@mein-unternehmen.de hinterlegt. Warum dann nicht mein.name@mein-unternehmen.de vertraut wird, erschließt sich mir nicht ganz.

  • Meiner Meinung nach stellt sich Netcup hier arg an.


    Wenn die hinterlegte Adresse im CC oder Reply-To steht, dann wird je nach Support Mitarbeiter das Ticket komplett ignoriert. Es würde ja reichen, die Antwort nur an die hinterlegte Adresse zu senden.

    LinkeIn und XING - Schreibt mir einfach eine PN.


    "Security is like an onion - the more you dig in the more you want to cry"

  • Naja, im CCP sind ja mein Name und auch die Mailadresse mail@mein-unternehmen.de hinterlegt. Warum dann nicht mein.name@mein-unternehmen.de vertraut wird, erschließt sich mir nicht ganz.

    Also das verstehe ich schon.

    Weil ein Admin eines Unternehmens berechtigt ist Tickets aufzugeben heißt das noch lange nicht, dass Mitarbeiter des Unternehmens auch Tickets aufgeben dürfen nur weil die eine Mailadresse mit der selben Domain haben.

    Selbst wenn es hier um den Namen geht könnte es ja auch sein, dass es mehrere Mitarbeiter im Unternehmen mit den Nachnamen bzw. auch mit dem selben Vornahmen gibt.

  • Guten Tag,



    vielen Dank für Ihre geäußerte Kritik. Ich kann den Unmut nachvollziehen.


    Ich möchte bei Ihnen um Verständnis bitten. Wir sind ein Massenhoster. Wir funktionieren, weil es leicht verständliche Prozesse gibt. Dazu zählt auch, dass Mitarbeiter im Support nicht eigenständig prüfen ob der Empfänger einer künftigen E-Mail dazu berechtigt ist diese zu erhalten oder nicht. Das tut bei uns ein System. mitarbeiter@firmenname.tld ist nicht automatisch berechtigt Informationen zu empfangen, die ceo@firmenname.tld bekommen soll. Derartiges können wir bei unseren Preisen nicht prüfen. Ich denke keiner von unseren Kunden möchte hier einen manuellen Prozess bezahlen. Oder doch?


    Als IT-Dienstleister und Betreiber kritischer Infrastrukturen, der zudem die ISO 27001 anstrebt, sind wir darauf angewiesen dokumentieren zu können wie wir sicher stellen, dass vertrauliche Informationen nicht an falsche Empfänger geraten. Das tun wir, in dem wir nur an hinterlegte E-Mail-Adressen antworten können.


    Wir werden an diesem Prozessen nichts ändern können. Ich bitte dafür um Verständnis.



    Mit freundlichen Grüßen


    Felix Preuß

  • [netcup] Felix Die Aussagen sind verständlich.

    Ich möchte aber die hier im Forum geführten Diskussionen in Erinnerung rufen, wo mehrfach der Wunsch geäußert wurde nicht nur eine sondern mehrere E-Mail Kontakte im CCP verwalten zu können. Mir erschließt sich nicht, warum die gleiche E-Mail-Adresse die im WHOIS meiner Domains landet auch jene ist von und zu der ich anschließend den NetCup-Support kontaktieren muss. Ich denke es gibt vielerlei gute Gründe warum man dies anders handhaben möchte.


    Ich rege daher abermals an, die unterschiedlichen Stellen an denen E-Mail-Adressen verwendet werden (Domains, Support, Rechnungsversand, Benachrichtigungen zu Downtimes, CCP-Kennwortreset, Notfallkontakt, ...) mit getrennten E-Mail-Adressen zu führen und eine Eingabe dieser im CCP zu ermöglichen.

  • Wenn man über das CCP ein Ticket absendet kurz nachdem man die Mail-Adresse geändert hat, dann weist der Support einen ab, denn man hat die Anfrage nicht mit der im CCP hinterlegten Mail-Adresse abgesendet.


    Mir ist bewusst, das man beim Ändern darauf hingewiesen wird, das es bis zu zwei Stunden dauern kann, bis die Änderung vollständig bearbeitet wurde. Aber ich finde es komisch, das dann eine vom CCP aus gestellte Anfrage abgewiesen wird, weil diese angeblich nicht mit der im CCP hinterlegten Adresse versendet wurde.

    [netcup] Felix Kann man da irgendwas machen, das wenigstens Anfragen vom CCP (ohne längere Wartezeiten) aus funktionieren?

  • Ich habe einen Mail-Account in einem Webhosting-Paket von einem Bekannten (EiWoMiSau). Microsoft hat die IP des Mailserver blockiert. Daraufhin habe ich mit der mir zur Verfügung gestellten E-Mail-Adresse die Bounce-Nachricht an den Support weitergeleitet.


    Ich bekam aber auch nur die Antwort, dass meine Nachricht aus Datenschutzgründen nicht beantwortet werden kann.


    Da weise ich den Support schon darauf hin, dass ein Problem vorliegt und bekomme so eine Antwort. Wenn es um Informationen geht, die direkt mit dem Kundenkonto zusammenhängen, kann ich so eine Antwort verstehen. Aber hier geht es einfach um eine IP, die von Microsoft blockiert wird. Was hat das mit Datenschutz zu tun?

  • Quote

    Ich bekam aber auch nur die Antwort, dass meine Nachricht aus Datenschutzgründen nicht beantwortet werden kann.


    Dafür kann es ja viele Ursachen geben. Kunden müssen sich bei uns verifizieren wenn sie Support haben möchten. Nur so können wir auch Anfragen von Kunden rückwirkend diesen zuordnen. Unser System arbeitet hier recht strukturiert, was für einen Massenhoster mit extrem günstigen Preisen wie netcup sie hat erforderlich ist. Ich bitte dafür um Verständnis.


    Quote

    [netcup] Felix Kann man da irgendwas machen, das wenigstens Anfragen vom CCP (ohne längere Wartezeiten) aus funktionieren?


    Wenn die Ticketanfrage nach der Änderung eintrifft, bekommt dieses der Support direkt mit. Wichtig ist dabei, dass ein neues Ticket aufgemacht wird und nicht auf das alte geantwortet wird. Wenn hier ein Fehler vorliegt, bitte vielleicht den bearbeitenden Mitarbeiter darauf hinweisen. Es kann auch ein menschlicher Fehler sein.



    Vielen Dank!



    Mit freundlichen Grüßen


    Felix Preuß