Affentanz um Authentifizierung eines Tickets

  • Hallo netcup und Kunden,


    gerade spiele ich mal wieder das Spiel mit dem Support, dass darauf bestanden wird, dass die Absenderadresse (also der FREI wählbare From-Header einer Mail) nicht mit dem hinterlegten Account übereinstimmt.

    Wieso wird nicht durch das Antworten an die hinterlegte Adresse verifiziert? Im konkreten Fall setze ich sogar den Reply-To-Header, so dass der Support-Mitarbeiter mit mir sogar über die hinterlegte Adresse kommuniziert.


    Mal ganz wild gesponnen: Setze ich die Mail-Adresse beim Kontaktieren des Support auf irgendeinen Quatsch (wie z.B. die Mail-Adresse von [netcup] Felix ), habe ich dann "erhöhte"/andere Berechtigungen durchs Ticket-System? (Oder böswillig: Ich setze die Mail-Adresse eines anderen Kunden und autorisiere dann Änderungen an dessen Infrastruktur?)


    Um es noch mal zu betonen: Die Absender-Adresse einer Mail kann völlig freigesetzt werden, und das setzen eines Reply-To-Headers wird ohne Beachtung des Ziel auch einfach durchgeführt und akzeptiert.
    Kann daher die Verifikation durch des Empfangen auf der eingetragen Mail-Adresse erfolgen?


    Viele Grüße

  • Hi chrko
    ich gebe hier mal meine persönliche Meinung zu dem Thema preis:


    Ich hatte auch schon das Problem, dass der netcup Support meine Anfrage nicht beantworten wollte, weil sie nicht von der autorisierten und im CCP hinterlegten Adresse kam. Grundsätzlich ist natürlich klar, dass der Support sicherstellen muss, dass Anfragen nur dann beantwortet werden, wenn man sich sicher sein kann, dass sie vom Kunden selbst kommen und nicht von jemandem, der sich nur als Kunde ausgibt. Zum einen könnte netcup ganz schnell einen Datenschutzverstoß begehen, wenn ein Mitarbeiter z.B. an eine wildfremde Adresse Zahlungsdetails, personenbezogene Daten oder Infos über gebuchte Produkte des Kunden sendet.

    Andererseits könnte ein Angreifer großen Schaden anrichten, wenn er z.B. gefälschte Kündigungen in fremdem Namen an netcup verschickt oder etwa: "Hilfe, ich komme nicht mehr an meine Server ran...bitte setzen Sie alle meine Server zurück, löschen Sie die Festplatte oder setze Sie sie neu auf!"

    Das sicherste Passwort, 2-Faktor-Authentifizierung, etc. hilft nicht, wenn ein Angreifer sich einfach als Kunde ausgibt und dann eine "menschliche Schwachstelle" im Support ausnutzt um Server zu übernehmen oder lahmzulegen. (Stichwort: Social Engineering)

    Es ist also klar, dass netcup so eine mögliche Schwachstelle ausschließen muss. Einerseits könnte man von vornherein jegliche Aufträge oder Anfragen über "unsichere Kanäle" blockieren und dem Kunden nur noch das Kontaktformular im CCP nach erfolgter Authentifizierung erlauben. Das wäre aber wenig komfortabel.


    Eine weitere Möglichkeit (mein persönlicher Favorit, wird von einigen anderen Firmen so gemacht) wäre, im CCP einen regelmäßig neu generierten Support-Pin anzuzeigen, den der Kunde am Telefon, per Mail etc. immer angeben muss. So ist sichergestellt, dass niemand in fremdem Namen den Support missbrauchen kann.


    Man könnte auch (macht netcup glaube ich am Telefon) die Kundennummer abfragen. Das ist m.M.n. sehr unsicher und sollte nicht zur Authentifizierung genutzt werden, da ich ja z.B. im Partnerprogramm die Kundennummern meiner geworbenen Kunden sehen kann. Die Kundennummer ist also nicht geheim.


    Per E-Mail kann man nun auf die Absender-Adresse, die im CCP hinterlegt sein muss, vertrauen. Das ist in meinen Augen suboptimal aber nicht so schlimm, wie du es in deinem Post darstellst. Natürlich kann jedes Script-Kiddy den From-Header einer Mail manipulieren, aber das heißt noch lange nicht, dass diese Mail dann vom netcup Support angenommen und bearbeitet wird. Wenn du im CCP eine Mail-Adresse einer Domain mit aktivem SPF, DMARC und DKIM hinterlegst, wird es ein Angreifer schwer haben, dem netcup-Mailserver eine gefälschte Mail zuzustellen. Und "seriöse" SMTP-Server wie z.B. die von GMAIL prüfen natürlich, ob du als User die im From-Header angegebene Adresse überhaupt verwenden darfst.

    (Natürlich setzt das Voraus, dass der netcup-Mailserver des Ticketsystems auch SPF, DKIM, etc. prüft, bevor ein Supportmitarbeiter die Mail zu Gesicht bekommt)

    Weiterhin kannst du die E-Mail Adresse im CCP einfach ändern und so sicherstellen, dass niemand außer dir überhaupt weiß, welche Absenderadresse du gerade autorisiert hast.

    Alles in allem finde ich, dass du einerseits Recht hast, dass man das vorhandene System verbessern könnet, andererseits muss ich deiner Aussage, jeder könne diese Absender-Prüfung umgehen, widersprechen.

    Eine weitere Diskussion dieses Themas auch mit einem netcup Mitarbeiter wäre super :thumbup:


    Viele Grüße

    marpri

  • Per E-Mail kann man nun auf die Absender-Adresse, die im CCP hinterlegt sein muss, vertrauen. Das ist in meinen Augen suboptimal aber nicht so schlimm, wie du es in deinem Post darstellst.

    Naja, im CCP sind ja mein Name und auch die Mailadresse mail@mein-unternehmen.de hinterlegt. Warum dann nicht mein.name@mein-unternehmen.de vertraut wird, erschließt sich mir nicht ganz.

  • Meiner Meinung nach stellt sich Netcup hier arg an.


    Wenn die hinterlegte Adresse im CC oder Reply-To steht, dann wird je nach Support Mitarbeiter das Ticket komplett ignoriert. Es würde ja reichen, die Antwort nur an die hinterlegte Adresse zu senden.

  • Naja, im CCP sind ja mein Name und auch die Mailadresse mail@mein-unternehmen.de hinterlegt. Warum dann nicht mein.name@mein-unternehmen.de vertraut wird, erschließt sich mir nicht ganz.

    Also das verstehe ich schon.

    Weil ein Admin eines Unternehmens berechtigt ist Tickets aufzugeben heißt das noch lange nicht, dass Mitarbeiter des Unternehmens auch Tickets aufgeben dürfen nur weil die eine Mailadresse mit der selben Domain haben.

    Selbst wenn es hier um den Namen geht könnte es ja auch sein, dass es mehrere Mitarbeiter im Unternehmen mit den Nachnamen bzw. auch mit dem selben Vornahmen gibt.

  • Security by Obscurity ist auch gegen Social Engineering Attacken denkbar ungeeignet, den Angriff verlässlich abzuwehren.

    Nuff said.

    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Gutscheine: https://netcup-groupie.de/▓▒░

  • Guten Tag,



    vielen Dank für Ihre geäußerte Kritik. Ich kann den Unmut nachvollziehen.


    Ich möchte bei Ihnen um Verständnis bitten. Wir sind ein Massenhoster. Wir funktionieren, weil es leicht verständliche Prozesse gibt. Dazu zählt auch, dass Mitarbeiter im Support nicht eigenständig prüfen ob der Empfänger einer künftigen E-Mail dazu berechtigt ist diese zu erhalten oder nicht. Das tut bei uns ein System. mitarbeiter@firmenname.tld ist nicht automatisch berechtigt Informationen zu empfangen, die ceo@firmenname.tld bekommen soll. Derartiges können wir bei unseren Preisen nicht prüfen. Ich denke keiner von unseren Kunden möchte hier einen manuellen Prozess bezahlen. Oder doch?


    Als IT-Dienstleister und Betreiber kritischer Infrastrukturen, der zudem die ISO 27001 anstrebt, sind wir darauf angewiesen dokumentieren zu können wie wir sicher stellen, dass vertrauliche Informationen nicht an falsche Empfänger geraten. Das tun wir, in dem wir nur an hinterlegte E-Mail-Adressen antworten können.


    Wir werden an diesem Prozessen nichts ändern können. Ich bitte dafür um Verständnis.



    Mit freundlichen Grüßen


    Felix Preuß

  • [netcup] Felix Die Aussagen sind verständlich.

    Ich möchte aber die hier im Forum geführten Diskussionen in Erinnerung rufen, wo mehrfach der Wunsch geäußert wurde nicht nur eine sondern mehrere E-Mail Kontakte im CCP verwalten zu können. Mir erschließt sich nicht, warum die gleiche E-Mail-Adresse die im WHOIS meiner Domains landet auch jene ist von und zu der ich anschließend den NetCup-Support kontaktieren muss. Ich denke es gibt vielerlei gute Gründe warum man dies anders handhaben möchte.


    Ich rege daher abermals an, die unterschiedlichen Stellen an denen E-Mail-Adressen verwendet werden (Domains, Support, Rechnungsversand, Benachrichtigungen zu Downtimes, CCP-Kennwortreset, Notfallkontakt, ...) mit getrennten E-Mail-Adressen zu führen und eine Eingabe dieser im CCP zu ermöglichen.