Beiträge von jayjay_92

Die Kommunikation läuft in dem Fall aber über Bluetooth LE was sicherstellen soll, dass der Authenticator, sprich das Handy in diesem Fall, in der Nähe ist.

Vielleicht übersehe ich grade etwas sehr offensichtliches, aber ich verstehe nicht, wie hier eine Phishing Attacke zusammen kommt.

Du weißt aber schon, dass da nicht einfach nur ein QR Code gescannt wird, sondern Browser und Telefon noch miteinander kommunizieren?

Sorry, aber das ist einfach falsch. Bei Verwendung eines Passkeys habe ich doch weiterhin zwei Faktoren:

• etwas, was ich besitze - ein Gerät, das Zugriff auf den Passkey hat
• etwas, was ich weiß - die Authentifizierung, die beim Zugriff auf den Passkey stattfindet

Ich würde sogar argumentieren, dass die Variante Passkey sicherer ist als die momentan angebotene Variante Passwort + TOTP, weil ein Angreifer eben nicht über Phishing, MitM, etc. einen der beiden Faktoren abgreifen kann.

Was den Punkt mit Passkeys in der Cloud angeht - es gibt ja durchaus auch Hardware Passkeys. Das restliche Argument greift für TOTP ja genauso, entweder ist mit einem Ausfall des Gerätes auch das 2FA Token weg, oder ich habe eine Art Backup, die dann doch wieder über einen Dritten synchronisiert wird.

Ok, da ist ja doch einiges durcheinander.

Als erstes solltest du den SPF Eintrag an meine Variante anpassen, aktuell erlaubst du nämlich nur den im MX Record genannten Server, nicht aber das Netcup Mailrelay.

Dann hast du ziemlich viele DKIM Records. Die haben zwar alle andere Identifier, aber zumindest der erste mit v=DKIM1; k=RSA; p=myPublicKey ist falsch - myPublicKey muss der zugehörige kryptographische PublicKey sein, den du wahrscheinlich gar nicht kennst. Den würde ich auf jeden Fall löschen.

Dein DMARC Record ist übrigens auch falsch, wenn du wirklich my+spam+address@example.com verwendest. Zum einen kannst du deine reports natürlich nicht an example.com schicken, zum anderen ist der DMARC Record insgesamt auch ungültig, wenn die Empfängeradresse nicht die gleiche Domain hat oder die Domain der Empfängeradresse noch durch einen zusätzlichen Record als DMARC Empfangsdomain ausgewiesen wird.

Die Fehlermeldung von Google zeigt, dass eben wohl nicht alle DNS Einträge richtig sind, denn sowohl der DKIM als auch der SPF Check sind fehlgeschlagen.

Am besten du postet mal die DNS Einträge deiner Domain. Es sollte zum Beispiel einen TXT Record mit "v=spf1 mx a include:_spf.webhosting.systems ~all" geben.

Ungeachtet der Diskussion zur Seriosität finde ich die prinzipiellen Filterregeln sehr sinnvoll, grade für private, technisch weniger affine Nutzer.

Es ist nunmal Fakt, dass sich 90-95% aller gefährlichen URLs auf 20 TLDs konzentrieren. Und zumindest aus persönlicher Erfahrung kann ich bestätigen, wie viel Spam, Phishing Mails, etc. mit .xyz, .icu, .shop, ... bei uns eingeht.

Domain Generating Algorithms sind übrigens ein seit gut 15 Jahren bekannter und verwendeter Mechanismus, mit dem Malware ihre Command & Control Server verschleiern. Anstatt das die Malware eine Liste von bekannten C&C Servern hat, wird die Domain nach einem Schema regelmäßig neu generiert. Das Knacken solcher DGAs kann massiv zur Eindämmung und Zerstörung von Bot-Netzen beitragen.