Projekt: malias - Sichere Mail Aliase für Datenleaks

  • Moin!


    Letztens wurde ich kurz nachdem ich in einem neuen Shop Kunde wurde, Opfer eine ziemlich penetranten Invoice-Malware-Kampagne. Hätte wirklich zu gerne gewusst, ob der Data Breach von dem Shop kam oder ob das nur Zufall war.


    Das brachte mich auf die Idee für dieses Projekt.


    https://github.com/perryflynn/malias


    Fertige builds zum testen:

    https://github.com/perryflynn/…/releases/tag/v1.0.0-beta


    malias ist ein Command Line Tool welches mit einem simplen Befehl einen Alias bei (m)einem Email Provider anlegen kann. Beispiel: a.amazon.a4uth@example.com . Der Alias besteht aus einem Prefix, einem Namen und einem Code der den Alias unerratbar macht.


    Befehl: ./malias --create amazon


    Thats it.


    Aktuell wird nur ein einzelner Mail Provider, dessen Name hier nicht genannt werden darf, unterstützt. Hätte jemand Bock für das Webhosting von Netcup, der Froxlor API oder irgendeinem anderen Anbieter eine Integration zu basteln? Pull Requests welcome. :)


    C# Skills um das IProvider Interface zu implementieren natürlich vorausgesetzt.


    Viele Grüße

    Christian

  • Wäre toll, wenn die Aliasse bei netcup nicht künstlich beschränkt wären. Ich habe an die 100 Aliasse für alle möglichen Sachen und hab deshalb alle Mailkonten bei einem anderen Anbieter.

    friendly chat by and for customers:

    irc.hackint.org:6697

    #nc-kunden

  • perryflynn : Was ist der Vorteil gegenüber der üblichen Methode mit der eigenen Domain: Catchall fahren, pro Anbieter sich ein Alias nach Schema "F" ausdenken, d.h. anbieter+salt@eigene.tld . Man merkt ja, wenn die Sparkasse sich plötzlich unter dropbox/adobe meldet. Den Salt spare ich mir, in den letzten 20 Jahren bin ich damit gut ausgekommen. Wenn man + als Support hat, dann reicht hier auch z.B. eine Jahreszahl.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Wie gesagt, mit + könnte man machen, aber bisher habe ich keinen Bedarf erkannt. Es war immer eindeutig, wenn es Spam gab.

    Wenn du info+gehackterShop27@example.com irgendwo als Mailadresse verwendet hast, nehmen Spammer gerne info@example.com

    Es geht hier um den Delimiter und nicht um einzigartige Postfächer oder Aliase.

  • Heutzutage unterstützen die meisten Mailserver das Pluszeichen.

    Catchall fahren, pro Anbieter sich ein Alias nach Schema "F" ausdenken


    Beide Ansätze haben IMHO ein Problem: Du kannst die Aliase nicht sperren. Ich habe vor einiger Zeit all meine Catchall abgeschafft um keinen Spam mehr auf den well-known Mail Adressen zu bekommen, obwohl ich die überhaupt nicht benutze.


    Mein Ansatz hat IMHO folgende Vorteile:

    • Die Email Adressen sehen weitestgehend wie ne normale Vorname.Nachname Adresse aus. Es ist zumindest ein bisschen schwieriger, die als alias zu erkennen. Beim Namen nutze ich zB auch nicht amazon sondern verfremde das noch ein bisschen. Zum Beispiel amazn. Pluszeichen-Aliase kann man sehr einfach erkennen und wegfiltern.
    • Meine Aliase können nicht erraten werden. Wenn ich da Spam bekomme, wurde die Email Adresse mit 90% Wahrscheinlichkeit geklaut/verkauft.
    • Ob ein Shop gehackt wurde oder meine Adressen verkauft kann man sogar noch prüfen, indem ich einen "rekey" (./malias -create amazn --force --delete-existing) mache. Kommt wenig später nach der Änderung der Adresse im Shop dort wieder Spam an, gibt es wirklich ein Problem.
  • Vorweg: Das Projekt finde ich prinzipiell gut! :)

    Beide Ansätze haben IMHO ein Problem: Du kannst die Aliase nicht sperren.

    Ich kann einzelne Empfänger trotz Catchall nach /dev/null schicken, wenn es zu extrem wird. Entweder mit einem expliziten Aliaseintrag oder notfalls mittels Sieve. Dann glauben die Spammer bei solchen Adressen wenigstens weiterhin, dass sie etwas Wertvolles haben und ich kann Statistiken darüber führen. Jede Sekunde, die sie an /dev/null vergeuden, können sie mir auf echte Adressen weniger senden… ^^


    Wenn ich für jede genutzte Zufallsadresse (64 Bit als Hexwert) einen Alias anlegen müsste, hätte ich da schnell um die 500 Einträge zusammen. Das will ich mir bzw. dem Server eigentlich nicht antun. Klar, Catchall hat ein gewisses Risiko, dass an erfundene oder Standard-Adressen irgendwas rein kommt. Aber das hält sich meiner Erfahrung nach in Grenzen und landet sowieso zu 99,99% im Junkordner.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Wenn ich für jede genutzte Zufallsadresse (64 Bit als Hexwert) einen Alias anlegen müsste, hätte ich da schnell um die 500 Einträge zusammen.

    Okay, Du bist jetzt schon der zweite der sowas in der Art sagt. Ich hab so ~30 Aliase und dachte das ist viel. :D


    Sieve ist auch ne gute Idee, da hab ich noch gar nicht drüber nachgedacht. Bleibe aber glaub ich bei Aliases. Mein Provider erlaubt 2000 Stück, das sollte lange reichen. Gerade wenn man ab und an ausmistet.

  • Okay, Du bist jetzt schon der zweite der sowas in der Art sagt. Ich hab so ~30 Aliase und dachte das ist viel. :D

    Wenn man für (nahezu) jeden Forenaccount/Onlineshop/Newsletter so eine Adresse verwendet, kommt schnell was zusammen. :D


    Laut meinen Aufzeichnungen dürften es aktuell knapp 300 sein. Einige habe ich aber nicht ordentlich dokumentiert, dürften also ein paar mehr sein. Die finde ich bei Missbrauch notfalls irgendwo in den Tiefen des IMAP-Archivs.


    Wirklich aufgefallen ist bisher nur eine Adresse und da habe ich noch keine Zufallshashes verwendet. Das ist die Mailadresse für das Linux Mint Forum, das vor einigen Jahren gehackt wurde. Die wird mittlerweile so stark zugemüllt, dass ich sie tatsächlich nach /dev/null schicken muss.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Jetzt wäre eine api für netcup hilfreich.

    Benutze die groupware, und ich denke die Open erwähnte ist nur für das"normale" wenn hosting.

    Was anderes, schon Mal über ein web Interface nachgedacht??

  • Benutze die groupware,

    https://sogo.nu/files/docs/SOG…opersGuide.html#_json_api


    Zitat
    Code
    We follow the APIDOC syntax (http://apidocjs.com/). Install the apidoc tool and generate the documentation yourself:
    
    $ sudo npm install -g apidoc
    $ cd sogo.git
    $ apidoc -f ".*\\.m" -i UI

    https://www.mail-archive.com/users@sogo.nu/msg28291.html


    Was anderes, schon Mal über ein web Interface nachgedacht??

    Nein, bisher nicht. Bin ein Konsolen-Kind und habe eigentlich überall ne Shell.


    Ich wäre aber bereit die Business Logic als NuGet Paket bereitzustellen/auszulagern, wenn da jemand eine Web UI für bauen will.

  • Die Api von SoGo kann keine aliase verwalten.

    Die Aliase müssen im Mail Server angelegt werden (vermutlich postfix/dovecot).

    Sogo kann man sich was Email betrifft wie ein Client vorstellen.

    Habe mir gerade extra die doc gebaut, da ich die Hoffnung hatte des es evtl dort ne Schnittstelle gibt.

  • Die Api von SoGo kann keine aliase verwalten.

    Ja schade.

    Dann könnte man das vielleicht noch über nen HTML Crawler realisieren.


    Wobei das alles andere als schön ist...


    // edit:


    Scheint nur ein AJAX Request zu sein, sobald man mal die ganzen IDs rausgefunden hat. Die könnte man der Einfachheit halber in den Provider Settings setzen anstatt sie jedes mal zu crawlen.


    Code
    curl 'https://www.customercontrolpanel.de/sogo_ajax.php?nocsrftoken=XXXXXXXXXXXXXXXX&action=addnewemailalias&sogoemail_id=1234&newemailalias=helloworld&sogodomain_id=456' -X POST -H 'authority: www.customercontrolpanel.de' -H 'content-length: 0' -H 'dnt: 1' -H 'user-agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.87 Safari/537.36' -H 'content-type: application/x-www-form-urlencoded; charset=UTF-8' -H 'accept: text/javascript, text/html, application/xml, text/xml, */*' -H 'x-prototype-version: 1.7.3' -H 'sec-fetch-dest: empty' -H 'x-requested-with: XMLHttpRequest' -H 'origin: https://www.customercontrolpanel.de' -H 'sec-fetch-site: same-origin' -H 'sec-fetch-mode: cors' -H 'referer: https://www.customercontrolpanel.de/sogo.php' -H 'accept-language: en-US,en;q=0.9,de;q=0.8' -H 'cookie: PHPSESSID=YYYYYYYYYYYYYYYYYYY; CCP-Frontend=ZZZZZZZZZZZZZZZZZZZZZZZZZ' --compressed
  • Wäre toll, wenn die Aliasse bei netcup nicht künstlich beschränkt wären. Ich habe an die 100 Aliasse für alle möglichen Sachen und hab deshalb alle Mailkonten bei einem anderen Anbieter.

    Hervorragend! Ich suche genau sowas. Bei welchem Anbieter machst du das?
    Gibts hier PM? Wenn ja gerne per PM

  • Wäre toll, wenn die Aliasse bei netcup nicht künstlich beschränkt wären. Ich habe an die 100 Aliasse für alle möglichen Sachen und hab deshalb alle Mailkonten bei einem anderen Anbieter.



    Ich hab die Info leider nirgendwo gefunden, was genau sind denn die Beschränkungen ?

    Ich verwendet Aliasse nämlich auch sehr gerne, und bin gerade am überlegen eine meiner Mail Domains zu Netcup umzuziehen.


    Hervorragend! Ich suche genau sowas. Bei welchem Anbieter machst du das?
    Gibts hier PM? Wenn ja gerne per PM

    Falls Du noch keine Antwort bekommen hast:

    Geh einfach mal auf das Projekt von perryflynnhttps://github.com/perryflynn/malias

    Er hat das schließlich sehr vorbildlich gemacht, und den Provider nicht hardgecoded, sondern es gibt Plugins. Und der Name ist sehr sprechend :D


    Noch ein kleiner Hinweis zu dem Anbieter. Seine "Aliasse" sind in Wahrheit Weiterleitungen, und die haben automatisch immer Greylisting an. Und das lässt sich auch nicht abschalten, soviel ich weiß. Mich stört es aber nicht ;)

  • Ich hab die Info leider nirgendwo gefunden, was genau sind denn die Beschränkungen ?

    Ich verwendet Aliasse nämlich auch sehr gerne, und bin gerade am überlegen eine meiner Mail Domains zu Netcup umzuziehen.

    Direkt auf der Groupware-Seite:

    https://www.netcup.de/groupware/

    1GB reicht mir eigentlich total, aber mit bloß 10 Aliassen kann ich nichts anfangen.

    friendly chat by and for customers:

    irc.hackint.org:6697

    #nc-kunden

  • Direkt auf der Groupware-Seite:

    https://www.netcup.de/groupware/

    1GB reicht mir eigentlich total, aber mit bloß 10 Aliassen kann ich nichts anfangen.

    Dank Dir. Das erklärt, warum ich es nicht gefunden habe. Ich hab nur beim Webhosting geschaut.


    Vielleicht sind beim Webhosting mit "E-Mail Adressen" die Aliase gemeint :/

    Muss ich mal beim Support anfragen.

    Die 500 beim Webhosting 200 würden mir reichen.


    Screenshot_20200616_034539.png