[Script Info] Title: [Events] Format: Layer, Start, End, Style, Name, MarginL, MarginR, MarginV, Effect, Text Dialogue: 0,0:00:00.00,0:00:22.18,Default,,0000,0000,0000,,[Vorspann] Dialogue: 0,0:00:22.18,0:00:28.54,Default,,0000,0000,0000,,So, habt Ihr Euch jemals gefragt, wie man perfekt eine Email testen kann? Dann seid Ihr hier im Dialogue: 0,0:00:28.54,0:00:33.37,Default,,0000,0000,0000,,richtigen Podcast. Wir haben hier unseren nächsten Sprecher. Andrew arbeitet gerade für das Dialogue: 0,0:00:33.37,0:00:41.18,Default,,0000,0000,0000,,Nationale CERT in Lettland. Er ist ein Sicherheitsforscher. Dialogue: 0,0:00:41.18,0:00:50.12,Default,,0000,0000,0000,,Und er wird gleich über E-Mail Fälschungen sprechen und Strategien für modernes Anti-Spoofing.. Dialogue: 0,0:00:50.12,0:00:53.36,Default,,0000,0000,0000,,Die Bühne gehört Dir. Dialogue: 0,0:00:53.36,0:01:04.46,Default,,0000,0000,0000,,Applaus Dialogue: 0,0:01:04.46,0:01:14.49,Default,,0000,0000,0000,,Also Grüße. Ich bin Andrew und ich habe für das Lettische National CERT gearbeitet. Eines unserer aktuellen Ziele ist Dialogue: 0,0:01:14.49,0:01:21.44,Default,,0000,0000,0000,,die Verbesserung des Zustands der E-Mail-Sicherheit in unserem Land und Dialogue: 0,0:01:21.44,0:01:26.40,Default,,0000,0000,0000,,das erreichen wir hauptsächlich durch die Erhöhung der Sensibilisierung für dieses Problem und die Vermittlung bewährter Praktiken. Dialogue: 0,0:01:26.40,0:01:30.77,Default,,0000,0000,0000,,Und natürlich sind wir nicht die einzige Organisation, die dies tut. Dialogue: 0,0:01:30.77,0:01:34.42,Default,,0000,0000,0000,,Es gibt viel mehr Gruppen in anderen Ländern und es gibt verschiedene Nichtregierungsorganisationen, Dialogue: 0,0:01:34.42,0:01:39.30,Default,,0000,0000,0000,,die das Gleiche tun. Und konventionelle Einrichtungen. Dialogue: 0,0:01:39.30,0:01:46.06,Default,,0000,0000,0000,,Doch bisher sind, offen gesagt, unsere\Nkollektiven Fortschritte ziemlich enttäuschend Dialogue: 0,0:01:46.06,0:01:54.10,Default,,0000,0000,0000,,Daher ist hier zum Beispiel eine Statistik, die die Nutzung einer bestimmten Dialogue: 0,0:01:54.10,0:01:59.77,Default,,0000,0000,0000,,Technologie in Dänemark zeigt, was, wie Sie in diesem Vortrag erfahren werden, Dialogue: 0,0:01:59.77,0:02:06.77,Default,,0000,0000,0000,,ziemlich wichtig ist und ich hoffe, dass jeder diese Technologie verwendet. Auf der linken Seite Dialogue: 0,0:02:06.77,0:02:11.06,Default,,0000,0000,0000,,werden 20.000 Domains weltweit angezeigt, die wichtige Domains sind für Dialogue: 0,0:02:11.06,0:02:15.88,Default,,0000,0000,0000,,wichtige Organisationen, die es eigentlich besser wissen sollten. Und auf der rechten Seite Dialogue: 0,0:02:15.88,0:02:24.80,Default,,0000,0000,0000,,sehen wir die Top 50 der TOP 500 EU-Einzelhändler und in beiden Gruppen haben 2/3 Dialogue: 0,0:02:24.80,0:02:29.80,Default,,0000,0000,0000,,DMARC bisher nicht einmal konfiguriert. Und von denen, die die Mehrheit konfiguriert haben, Dialogue: 0,0:02:29.80,0:02:36.35,Default,,0000,0000,0000,,haben nicht keine strengen Richtlinien aktiviert. Wenn es also nur eine wichtige Erkenntnis aus Dialogue: 0,0:02:36.35,0:02:41.46,Default,,0000,0000,0000,,diesem Vortrag gibt, hoffe ich, dass jeder damit beginnen sollte, DMARC zu verwenden. Es ist Dialogue: 0,0:02:41.46,0:02:49.12,Default,,0000,0000,0000,,wichtig, es auch für Domains zu verwenden, die keine E-Mails senden sollen. Eine Erklärung Dialogue: 0,0:02:49.12,0:02:56.76,Default,,0000,0000,0000,,für diese niedrige Akzeptanzrate ist meiner Meinung nach, dass es anscheinend zu viele Dialogue: 0,0:02:56.76,0:03:04.31,Default,,0000,0000,0000,,konkurrierende Technologien gibt. Das ist der Inhalt meines Vortrags. Und ich habe wirklich Dialogue: 0,0:03:04.31,0:03:12.45,Default,,0000,0000,0000,,mein Bestes gegeben, um ihn einzuschränken. Aber wie Sie sehen, gibt es 3 Abkürzungen, also Dialogue: 0,0:03:12.45,0:03:18.74,Default,,0000,0000,0000,,und SMTP und außerdem SPF, DKIM und DMARC, an deren Namen ich mich Dialogue: 0,0:03:18.74,0:03:25.57,Default,,0000,0000,0000,,nicht einmal erinnere. Aber trotzdem sind sie alle wichtig. Und natürlich dieses Problem, dass Dialogue: 0,0:03:25.57,0:03:28.95,Default,,0000,0000,0000,,es zu viele Schlagworte gibt, zu viele Technologien, und es ist nicht klar Dialogue: 0,0:03:28.95,0:03:34.59,Default,,0000,0000,0000,,welche wir davon verwenden sollten, das ist nicht spezifisch für E-Mails. Und wir haben dies Dialogue: 0,0:03:34.59,0:03:39.76,Default,,0000,0000,0000,,in der ganzen Branche und als Sicherheitsbranche denke ich, dass wir Dialogue: 0,0:03:39.76,0:03:47.88,Default,,0000,0000,0000,,inzwischen mindestens einen Weg gefunden haben , das Problem zu lösen. Und zwar mit Hilfe von Dialogue: 0,0:03:47.88,0:03:53.37,Default,,0000,0000,0000,,Penetrationstests. Also wenn der Penetrationstest richtig durchgeführt werden Dialogue: 0,0:03:53.37,0:03:58.19,Default,,0000,0000,0000,,und die Ergebnisse veröffentlicht werden, können wir mit dem Gespräch beginnen. Wir Dialogue: 0,0:03:58.19,0:04:03.51,Default,,0000,0000,0000,,können das Gespräch darüber führen, ob Ihre Organisation Technologie A oder B bevorzugt, Dialogue: 0,0:04:03.51,0:04:09.62,Default,,0000,0000,0000,,oder wir können stattdessen die Fragen beantworten, die wirklich wichtig sind, wie: Dialogue: 0,0:04:09.62,0:04:15.31,Default,,0000,0000,0000,,Ist es möglich, dass jemand für eine 3. Person die E-Mails ihrer Organisation fälscht und Dialogue: 0,0:04:15.31,0:04:20.99,Default,,0000,0000,0000,,solche E-Mail zum Beispiel an Ihre Kunden oder Ihre Partner oder an Medienorganisationen so Dialogue: 0,0:04:20.99,0:04:24.97,Default,,0000,0000,0000,,versendet, dass diese denken, dass die E-Mails wirklich von Ihrer Organisation Dialogue: 0,0:04:24.97,0:04:31.81,Default,,0000,0000,0000,,stammt? Deshalb sind Penetrationstester die wichtigste Zielgruppe für diesen Vortrag. Dialogue: 0,0:04:31.81,0:04:36.02,Default,,0000,0000,0000,,Ich hoffe jedoch, dass alle Blue-Teamer im Publikum diesen Dialogue: 0,0:04:36.02,0:04:40.65,Default,,0000,0000,0000,,Vortrag interessant finden. Ich bin sicher, dass Sie bereits alle Grundlagen über die Dialogue: 0,0:04:40.65,0:04:43.62,Default,,0000,0000,0000,,E-Mail und über diese Technologien kennen, aber wenn man das Problem aus den Dialogue: 0,0:04:43.62,0:04:50.44,Default,,0000,0000,0000,,verschiedenen Perspektiven des Angreifers betrachtet, kann man die Dinge ins rechte Licht Dialogue: 0,0:04:50.44,0:04:54.82,Default,,0000,0000,0000,,rücken. Es kann Ihnen helfen zu verstehen, worauf Sie sich beim Schutz Ihrer Umwelt Dialogue: 0,0:04:54.82,0:05:01.01,Default,,0000,0000,0000,,konzentrieren sollten. Und schließlich das SMTP Protokoll. Die Technologie, die in unseren Dialogue: 0,0:05:01.01,0:05:07.72,Default,,0000,0000,0000,,E-Mail-Konversationen steckt, ist eigentlich relativ leicht zu verstehen. Dialogue: 0,0:05:07.72,0:05:14.06,Default,,0000,0000,0000,,Und auch die Lehren, die man daraus gezogen hat. Diese Entwicklung von SMTP, wie es wurde Dialogue: 0,0:05:14.06,0:05:20.98,Default,,0000,0000,0000,,und wie es möglich ist, es zu fälschen, und all die Technologien, die versuchen, Dialogue: 0,0:05:20.98,0:05:27.53,Default,,0000,0000,0000,,Spoofing zu verhindern. Ich denke, es ist eine interessante Fallstudie und es sollte auch für Dialogue: 0,0:05:27.53,0:05:33.72,Default,,0000,0000,0000,,solche Leute interessant sein sie zu verfolgen, die neu im E-Mail-Bereich sind. Nun final zur Dialogue: 0,0:05:33.72,0:05:41.40,Default,,0000,0000,0000,,Bedrohungslandschaft. E-Mail Sicherheit ist ein ziemlich umfangreicher Themenbereich. Heute Dialogue: 0,0:05:41.40,0:05:47.65,Default,,0000,0000,0000,,werde ich mich auf einen kleinen Teil fokussieren. Dieser ist das erfolgreiche Dialogue: 0,0:05:47.65,0:05:54.69,Default,,0000,0000,0000,,Spoofing von E-Mails, also Manipulationsattacken. Ich weiß, dass viele Pentrationstester bereits teilweise Dialogue: 0,0:05:54.69,0:06:01.25,Default,,0000,0000,0000,,Phishing oder Spear-Phishing-Emulation in ihre Arbeiten einbeziehen. So viel ich weiß, tun sie Dialogue: 0,0:06:01.25,0:06:07.07,Default,,0000,0000,0000,,dies meist aus der Social-Engineering-Perspektive, indem sie beispielsweise Tools wie Dialogue: 0,0:06:07.07,0:06:13.09,Default,,0000,0000,0000,,das Social-Engineering-Toolkit verwenden und ich möchte nicht behaupten, dass es wichtig ist, Dialogue: 0,0:06:13.09,0:06:16.95,Default,,0000,0000,0000,,dies zu tun und dem Kunden zu zeigen, welche Risiken in dieser Hinsicht bestehen. Ich denke Dialogue: 0,0:06:16.95,0:06:23.86,Default,,0000,0000,0000,,jedoch, dass Sie mit Social Engineering dem Kunden einen Dienst erweisen, wenn dies das Dialogue: 0,0:06:23.86,0:06:28.10,Default,,0000,0000,0000,,Einzige ist, was Sie aus der E-Mail-Perspektive testen, denn aus der Perspektive der Kunden, Dialogue: 0,0:06:28.10,0:06:32.65,Default,,0000,0000,0000,,beispielsweise von Managern, die Ihre Berichte lesen, erwähnen Sie dann nur Social- Dialogue: 0,0:06:32.65,0:06:38.87,Default,,0000,0000,0000,,Engineering-Angriffe. Die logische Schlussfolgerung ist, dass der beste Weg, diese Dialogue: 0,0:06:38.87,0:06:44.65,Default,,0000,0000,0000,,Bedrohungen einzudämmen. darin besteht, Ihr Personal zu schulen, insbesondere diejenigen, Dialogue: 0,0:06:44.65,0:06:51.59,Default,,0000,0000,0000,,die am wenigsten technisch versiert sind, wie dies in diesem Vortrag zu sehen ist. Dialogue: 0,0:06:51.59,0:06:55.38,Default,,0000,0000,0000,,Es gibt ziemlich viele Angriffe und viele Organisationen sind anfällig für diese Angriffe. Dialogue: 0,0:06:55.38,0:07:00.23,Default,,0000,0000,0000,,Und hier hilft auch keine noch so große Benutzerschulung, denn wir können von den Dialogue: 0,0:07:00.23,0:07:03.89,Default,,0000,0000,0000,,Benutzer nicht erwarten, dass sie beispielsweise die Kopfzeilen manuell Dialogue: 0,0:07:03.89,0:07:10.70,Default,,0000,0000,0000,,überprüfen. Deshalb müssen wir unsere E-Mail-Infrastruktur tatsächlich verbessern. Daran Dialogue: 0,0:07:10.70,0:07:17.01,Default,,0000,0000,0000,,führt kein Weg vorbei. Bevor wir uns schließlich den eigentlich technischen Dingen zuwenden, Dialogue: 0,0:07:17.01,0:07:21.89,Default,,0000,0000,0000,,gibt es noch ein kleines Geheimnis. Ich denke, es könnte Leute helfen zu verstehen , die nicht Dialogue: 0,0:07:21.89,0:07:28.16,Default,,0000,0000,0000,,in der E-Mail-Branche arbeiten, warum wir solche Probleme haben, und für E-Mail- Dialogue: 0,0:07:28.16,0:07:38.04,Default,,0000,0000,0000,,Administratoren, die in der Vergangenheit die Verfügbarkeit ihres Systems und die Dialogue: 0,0:07:38.04,0:07:44.68,Default,,0000,0000,0000,,Zuverlässigkeit viel mehr schätzten, als die Sicherheit. Und das liegt daran, dass das keine Dialogue: 0,0:07:44.68,0:07:50.47,Default,,0000,0000,0000,,ideologische Entscheidung ist. Es ist eine sehr pragmatische. Wenn Sie also beispielsweise Dialogue: 0,0:07:50.47,0:07:56.09,Default,,0000,0000,0000,,ein E-Mail-Administrator in einer Organisation sind und einige ihrer Kunden keine Rechnungen Dialogue: 0,0:07:56.09,0:08:01.47,Default,,0000,0000,0000,,mehr erhalten, wird Ihr Management Sie finden, sie darüber informieren und Sie freundlich Dialogue: 0,0:08:01.47,0:08:06.21,Default,,0000,0000,0000,,bitten, das Problem so schnell wie möglich zu beheben, auch wenn es nicht Ihre Schuld ist. Dialogue: 0,0:08:06.21,0:08:13.51,Default,,0000,0000,0000,,Es könnte sein, dass das Problem möglicherweise auf einer anderen Seite liegt, Dialogue: 0,0:08:13.51,0:08:20.45,Default,,0000,0000,0000,,nicht auf Ihrem Server. Ein anderes Beispiel ist, dass Sie, dass einige Ihrer Mitarbeiter bald Dialogue: 0,0:08:20.45,0:08:24.97,Default,,0000,0000,0000,,keine E-Mails mehr empfangen können, oder E-Mails nicht früh genug erhalten, um das Dialogue: 0,0:08:24.97,0:08:30.19,Default,,0000,0000,0000,,Passwort wiederherzustellen oder um die E-Mail zu verifizieren oder ein Dialogue: 0,0:08:30.19,0:08:33.97,Default,,0000,0000,0000,,Mehrfaktor-Authentifizierungs-Token zu verwenden und sie können sich bei einigen Dialogue: 0,0:08:33.97,0:08:39.54,Default,,0000,0000,0000,,wichtigen Systeme nicht mehr einloggen. Dann müssen Sie das lösen. Aber wenn Ihr System Dialogue: 0,0:08:39.54,0:08:45.54,Default,,0000,0000,0000,,Sicherheitslücken hat, wenn es für Spoofing-Angriffe und so weiter anfällig ist, dann wird es Dialogue: 0,0:08:45.54,0:08:50.67,Default,,0000,0000,0000,,normalerweise weder den Anwendern, noch dem Management auffallen. Aber Sie haben Dialogue: 0,0:08:50.67,0:08:55.93,Default,,0000,0000,0000,,diese Schwachstelle. Deshalb sind Penetrationstester natürlich wichtig. Okay. Dialogue: 0,0:08:55.93,0:09:01.25,Default,,0000,0000,0000,,Jetzt können wir endlich anfangen, über die Technik zu sprechen. Wir starten mit der Dialogue: 0,0:09:01.25,0:09:07.19,Default,,0000,0000,0000,,kurzen Einführung in das SMTP-Protokoll. SMTP ist das Protokoll, das der gesamten E-Mail- Dialogue: 0,0:09:07.19,0:09:12.36,Default,,0000,0000,0000,,Kommunikation zugrunde liegt und es ist ziemlich einfach zu befolgen. Hier ist also Dialogue: 0,0:09:12.36,0:09:18.37,Default,,0000,0000,0000,,ein Datenfluss, der zeigt, was passiert, wenn eine Person E-Mails an eine andere Person Dialogue: 0,0:09:18.37,0:09:21.27,Default,,0000,0000,0000,,sendet. Zum Bespielt sendet Alice an Bob und sie arbeiten für unterschiedliche Unternehmen. Dialogue: 0,0:09:21.27,0:09:24.97,Default,,0000,0000,0000,,Sie verwenden unterschiedliche Domains. Was also passiert ist, dass beide sagen würden Dialogue: 0,0:09:24.97,0:09:29.29,Default,,0000,0000,0000,,benutze E-Mail-Clients wie Outlook oder Thunderbird. Alice sendet E-Mails. Sie geht Dialogue: 0,0:09:29.29,0:09:34.58,Default,,0000,0000,0000,,über dieses Protokoll SMTP an Alices Mail-Server. Wichtig ist aber zu beachten dass dies Dialogue: 0,0:09:34.58,0:09:41.74,Default,,0000,0000,0000,,ein Server für ausgehende E-Mails ist. Üblicherweise verfügen Organisationen über Dialogue: 0,0:09:41.74,0:09:44.79,Default,,0000,0000,0000,,2 Arten von Diensten, einen für eingehende und Transaktionen und einen für ausgehenden. Dialogue: 0,0:09:44.79,0:09:48.68,Default,,0000,0000,0000,,Und auch für kleine Organisationen kann es einer sein, aber auch hier ist es für Dialogue: 0,0:09:48.68,0:09:52.47,Default,,0000,0000,0000,,Penetrationstester wichtig, sich dies als unterschiedliche Systeme vorzustellen. Denn Dialogue: 0,0:09:52.47,0:09:56.68,Default,,0000,0000,0000,,selbst wenn es physisch ein einziger Computer ist, wird er eine unterschiedliche Konfiguration Dialogue: 0,0:09:56.68,0:10:00.62,Default,,0000,0000,0000,,für ausgehende und eingehende E-Mails haben. Als Penetrationstester müssen Sie also Dialogue: 0,0:10:00.62,0:10:04.90,Default,,0000,0000,0000,,überprüfen, ob beide in Ordnung sind. Wenn Alices Server nun versucht, E-Mails an Bobs Dialogue: 0,0:10:04.90,0:10:11.94,Default,,0000,0000,0000,,Server zu senden, gibt es eine Art von Problem, das darin besteht, dass der Server irgendwie Dialogue: 0,0:10:11.94,0:10:16.48,Default,,0000,0000,0000,,automatisch den richtigen Server zum Versenden von E-Mails finden muss. Dies Dialogue: 0,0:10:16.48,0:10:25.22,Default,,0000,0000,0000,,geschieht über diese blaue Box MX und DNS-spezfischen MX typen. Dialogue: 0,0:10:25.22,0:10:29.68,Default,,0000,0000,0000,,Das ist also etwas, das von Bobs Organisation gepflegt wird, Dialogue: 0,0:10:29.68,0:10:35.36,Default,,0000,0000,0000,,Bobs Organisation wird also, wenn sie E-Mails erhalten möchten, diesen DNS-Eintrag erstellen. Dialogue: 0,0:10:35.36,0:10:38.83,Default,,0000,0000,0000,,Und ich sage: Okay, wenn Sie uns eine E-Mail senden möchten, benutzen Sie bitte diesen Dialogue: 0,0:10:38.83,0:10:44.29,Default,,0000,0000,0000,,speziellen Server. Es sollte also auf Bobs verwiesen werden. Und jetzt kann Alices Dialogue: 0,0:10:44.29,0:10:50.67,Default,,0000,0000,0000,,Ausgangsserver, der die eingehende Serveradresse von Bob kennt, mit diesem Dialogue: 0,0:10:50.67,0:10:54.97,Default,,0000,0000,0000,,kommunizieren und Bob wird später seine E-Mail erhalten. Wir als Penetrationstester Dialogue: 0,0:10:54.97,0:10:59.84,Default,,0000,0000,0000,,versuchen eigentlich, zwischen dem Server von Alice und dem von Bob zu vermitteln. Dann Dialogue: 0,0:10:59.84,0:11:03.51,Default,,0000,0000,0000,,müssen wir über das 2. Beispiel nachdenken, das umgekehrt ist. Sie denken vielleicht, dass Dialogue: 0,0:11:03.51,0:11:07.11,Default,,0000,0000,0000,,es sich um ein sinnloses Beispiel handelt, weil wir im Grunde nur die Richtung des Dialogue: 0,0:11:07.11,0:11:11.45,Default,,0000,0000,0000,,Datenverkehrs ändern. Aber das Wichtigste hier ist, dass wir als Penetrationstester verstehen, Dialogue: 0,0:11:11.45,0:11:17.22,Default,,0000,0000,0000,,dass unser Kunde nur einen Teil der Transaktion kontrolliert. Falls unser Kunde, Dialogue: 0,0:11:17.22,0:11:20.76,Default,,0000,0000,0000,,sagen wir mal, für den Rest dieser Präsentation Alice oder Alices Organisation ist, Dialogue: 0,0:11:20.76,0:11:26.75,Default,,0000,0000,0000,,dann werden im 2. Beispiel, wenn wir eine E-Mail von Bob an Alice senden, nur E-Mails Dialogue: 0,0:11:26.75,0:11:34.60,Default,,0000,0000,0000,,gesendet. Grundsätzlich läuft ein Teil dieser Transaktion im 1. Beispiel über Alices Server. Dialogue: 0,0:11:34.60,0:11:40.98,Default,,0000,0000,0000,,Wenn wir E-Mails von Alice an Bob senden, wäre dies nicht der Fall. Wenn es also etwas Dialogue: 0,0:11:40.98,0:11:45.94,Default,,0000,0000,0000,,verwirrend ist, ist das in Ordnung. Wir werden etwas später darauf zurückkommen. Und Dialogue: 0,0:11:45.94,0:11:51.60,Default,,0000,0000,0000,,schließlich gibt es noch ein 3. Beispiel, das ähnlich, aber nicht ganz so aussieht. Und zwar Dialogue: 0,0:11:51.60,0:11:56.26,Default,,0000,0000,0000,,nur, wenn Alice kommuniziert. Alice ist unser Kunde. Und wenn sie mit ihren Kollegen Dialogue: 0,0:11:56.26,0:12:01.07,Default,,0000,0000,0000,,kommuniziert, die in der gleichen Organisation sind, denselben E-Mail-Server und die gleiche Dialogue: 0,0:12:01.07,0:12:04.32,Default,,0000,0000,0000,,Domain haben, wird es in diesem Beispiel logischerweise 2 E-Mail-Server geben, ein Dialogue: 0,0:12:04.32,0:12:09.00,Default,,0000,0000,0000,,Ausgangsserver und ein Eingangsserver. Dialogue: 0,0:12:09.00,0:12:15.85,Default,,0000,0000,0000,,Aber beide gehören unserem Kunden. Also können Sie im Moment, wenn Sie sich mit Dialogue: 0,0:12:15.85,0:12:20.15,Default,,0000,0000,0000,,E-Mail nicht auskennen, versuchen darüber nachzudenken, welche dieser 3 Szenarien Dialogue: 0,0:12:20.15,0:12:27.74,Default,,0000,0000,0000,,leichter zu schützen sind. Später werden wir sehen, sie es tatsächlich abläuft. Okay. Dialogue: 0,0:12:27.74,0:12:31.77,Default,,0000,0000,0000,,Dann müssen wir uns ansehen, was tatsächlich gesendet wird, wenn eine E-Mail versandt wird. Dialogue: 0,0:12:31.77,0:12:38.41,Default,,0000,0000,0000,,Also noch einmal, es wird das SMTP-Protokoll verwendet und es ist ein wirklich gutes Dialogue: 0,0:12:38.41,0:12:44.79,Default,,0000,0000,0000,,Protokoll. Wie Sie sehen können, handelt es sich nur um Text. Es handelt sich also um ein Dialogue: 0,0:12:44.79,0:12:48.03,Default,,0000,0000,0000,,reines Textprotokoll und es ist sehr einfach zu bedienen, weil man einfach eine Telnet- Dialogue: 0,0:12:48.03,0:12:54.41,Default,,0000,0000,0000,,Verbindung zum richtigen Server öffnet und man versuchen kann, die Befehle einfach mit Dialogue: 0,0:12:54.41,0:12:58.68,Default,,0000,0000,0000,,den Händen aufzuschreiben. Um zu versuchen, etwas zu zerstückeln oder zu modifizieren, oder Dialogue: 0,0:12:58.68,0:13:05.15,Default,,0000,0000,0000,,zu versuchen, verschiedene Typen auszuprobieren und in Echtzeit zu sehen, wie Dialogue: 0,0:13:05.15,0:13:11.21,Default,,0000,0000,0000,,es weitergeht. Auf der linken Seiten sehen wir hier also 2 Teile, die durch SMTP definiert sind. Dialogue: 0,0:13:11.21,0:13:14.72,Default,,0000,0000,0000,,Als erstes kommt der SMTP-Umschlag, den Sie im Grund mit dem Server verbinden. Sagen Sie Dialogue: 0,0:13:14.72,0:13:22.07,Default,,0000,0000,0000,,"Hallo". Dann sagen Sie, was der Absender der E-Mail und der Empfänger der E-Mail Dialogue: 0,0:13:22.07,0:13:26.98,Default,,0000,0000,0000,,angegeben haben. "Mail von" ist der Absender. Empfänger ist zum Beispiel Bob. Und dann Dialogue: 0,0:13:26.98,0:13:32.16,Default,,0000,0000,0000,,beginnt der 2. Teil mit Daten und endet mit "Beenden". Und das ist der Teil, der sich Dialogue: 0,0:13:32.16,0:13:35.48,Default,,0000,0000,0000,,Inhalt/Nachricht nennt. Wenn Sie also ein bisschen damit herumspielen wollen, wird dies Dialogue: 0,0:13:35.48,0:13:38.03,Default,,0000,0000,0000,,durch einen anderen Standard definiert, der für Penetrationstester nicht so wichtig ist. Aber Dialogue: 0,0:13:38.03,0:13:43.89,Default,,0000,0000,0000,,wenn Sie sich die Details ansehen möchten, dann könnte es wichtig sein. Und diese interne Dialogue: 0,0:13:43.89,0:13:49.07,Default,,0000,0000,0000,,Nachricht, die entweder Inhalt oder SMTP genannt wird, enthält wiederum 2. Teile. Der Dialogue: 0,0:13:49.07,0:13:53.30,Default,,0000,0000,0000,,eine Teil ist die Kopfzeile und der andere der Hauptteile. Und ich denke, dass einige Leute Dialogue: 0,0:13:53.30,0:13:57.57,Default,,0000,0000,0000,,vielleicht nicht mit der E-Mail vertraut sind, aber wahrscheinlich ist jeder Zuhörer mit HTTP Dialogue: 0,0:13:57.57,0:14:02.60,Default,,0000,0000,0000,,vertraut und das sieht ganz ähnlich aus. Also leicht zu verstehen. Aber der interessante Teil Dialogue: 0,0:14:02.60,0:14:08.55,Default,,0000,0000,0000,,ist, dass sie vielleicht bemerkt haben, dass wir Dialogue: 0,0:14:08.55,0:14:14.35,Default,,0000,0000,0000,,Alices und Bobs Adressen zweimal haben. Das stimmt. Zum Beispiel ist Alices Adresse in der Dialogue: 0,0:14:14.35,0:14:19.71,Default,,0000,0000,0000,,zweiten Zeile "Mail von". Und dann haben wir die gleiche Adresse. Alice @ ihre Organisation in Dialogue: 0,0:14:19.71,0:14:26.81,Default,,0000,0000,0000,,der Kopfzeile "Von". Die roten Bereiche sind die Kopfzeilen. Und das gleiche gilt für Bob. Und Dialogue: 0,0:14:26.81,0:14:33.47,Default,,0000,0000,0000,,warum ist das so? Nun, es kommt darauf an, wie wir E-Mails sehen. Ich als eine normale Dialogue: 0,0:14:33.47,0:14:39.14,Default,,0000,0000,0000,,Person, die E-Mails in den letzten Jahren benutzt hat, sehe sie normalerweise so, wie Dialogue: 0,0:14:39.14,0:14:44.98,Default,,0000,0000,0000,,auf der linken Seite beschrieben, wie eine Art Postkarte. Auf der Postkarte steht also jemand, Dialogue: 0,0:14:44.98,0:14:48.98,Default,,0000,0000,0000,,der sie abgeschickt hat. Der Absender. Da ist dann noch der Empfänger. Das bin ich Dialogue: 0,0:14:48.98,0:14:53.57,Default,,0000,0000,0000,,normalerweise. Ich empfange. Und dann ist da noch eine Nachricht. Zumindest habe ich das so Dialogue: 0,0:14:53.57,0:14:58.67,Default,,0000,0000,0000,,wahrgenommen, bevor ich etwas mehr darüber gelernt habe. Aber E-Mail Administratoren und Dialogue: 0,0:14:58.67,0:15:04.61,Default,,0000,0000,0000,,die Standardgremien sehen diese Situation, wie sie rechts dargestellt ist. Da ist ein Umschlag Dialogue: 0,0:15:04.61,0:15:10.48,Default,,0000,0000,0000,,und darin befindet sich diese Nachricht oder vielleicht eine Postkarte. Sie haben also 2 Dialogue: 0,0:15:10.48,0:15:15.35,Default,,0000,0000,0000,,Adressen in diesem Szenario. Sie haben die Adresse von und an wen sie sich den Umschlag Dialogue: 0,0:15:15.35,0:15:20.73,Default,,0000,0000,0000,,senden. Dies ist beispielsweise der Teil, den die Post einsehen wird. Aber das Postbüro wird im Dialogue: 0,0:15:20.73,0:15:24.59,Default,,0000,0000,0000,,Allgemeinen nicht in Ihrem Umschlag nachsehen und sehen, dass sich dort eine Dialogue: 0,0:15:24.59,0:15:28.88,Default,,0000,0000,0000,,weitere Nachricht, die interne Nachricht befindet, die eigentliche für den Empfänger Dialogue: 0,0:15:28.88,0:15:33.89,Default,,0000,0000,0000,,bestimmt ist. Man könnte also eigentlich sogar noch mehr machen und man könnte sogar den Dialogue: 0,0:15:33.89,0:15:40.06,Default,,0000,0000,0000,,ganzen Umschlag mit der Nachricht der Postkarte in einen anderen Umschlag stecken. Dialogue: 0,0:15:40.06,0:15:46.50,Default,,0000,0000,0000,,Und das klingt für mich als normalen Menschen verrückt, aber tatsächlich ist das bei E-Mail. Dialogue: 0,0:15:46.50,0:15:50.03,Default,,0000,0000,0000,,möglich. Und in dem RFC, dem Standarddokument, gibt es einige Beispiele, Dialogue: 0,0:15:50.03,0:15:56.94,Default,,0000,0000,0000,,warum das notwendig ist. Warum solche Dinge erlaubt sind. Aber sie sind doch verwirrend. Dialogue: 0,0:15:56.94,0:16:03.01,Default,,0000,0000,0000,,Und so als Ergebnis sehen wir in diesem ersten Beispiel , dass wir im Allgemeine die gleiche Dialogue: 0,0:16:03.01,0:16:07.94,Default,,0000,0000,0000,,Adresse zweimal angeben. Aber als Penetrationstester sollten wir uns die Frage Dialogue: 0,0:16:07.94,0:16:12.17,Default,,0000,0000,0000,,stellen: Ist das aktuell erforderlich? Ist das immer wahr, oder handelt es sich nur um Dialogue: 0,0:16:12.17,0:16:17.12,Default,,0000,0000,0000,,Wunschdenken? Und es ist tatsächlich ein Wunschdenken. Standards schreiben nicht Dialogue: 0,0:16:17.12,0:16:20.87,Default,,0000,0000,0000,,ausdrücklich vor, dass Sie die gleiche Adresse für den Empfänger oder für das "Von" des Dialogue: 0,0:16:20.87,0:16:27.14,Default,,0000,0000,0000,,Absenders auf dem Umschlag und innerhalb einer Nachricht angeben. Es gibt also Dialogue: 0,0:16:27.14,0:16:32.30,Default,,0000,0000,0000,,tatsächlich viel mehr Kopfzeilen als die, die ich gezeigt habe. Die, die ich gezeigt habe, sind Dialogue: 0,0:16:32.30,0:16:38.52,Default,,0000,0000,0000,,meiner Meinung nach nur die, mit denen wir alle Erfahrung haben, denn wenn man nur Dialogue: 0,0:16:38.52,0:16:42.85,Default,,0000,0000,0000,,E-Mail benutzt, sind das normalerweise die Dinge, die man sieht oder man sieht das Dialogue: 0,0:16:42.85,0:16:45.92,Default,,0000,0000,0000,,Datum, den Betreff, den Inhalt, wer Dir etwas gesendet hat und an wen es gesendet wurde. Dialogue: 0,0:16:45.92,0:16:52.68,Default,,0000,0000,0000,,Üblicherweise Du selbst. Und dort könnten es natürlich auch mehrere Empfänger geben. Dialogue: 0,0:16:52.68,0:16:57.80,Default,,0000,0000,0000,,Oh ja. Und die Frage ist dann noch eine andere: Dialogue: 0,0:16:57.80,0:17:03.77,Default,,0000,0000,0000,,Was ist eigentlich, wenn wir aus irgendeinem Grund etwas versehentlich angegeben haben Dialogue: 0,0:17:03.77,0:17:07.30,Default,,0000,0000,0000,,oder vor allem, wenn wir unterschiedliche Adressen in diesem Umschlag angegeben Dialogue: 0,0:17:07.30,0:17:11.89,Default,,0000,0000,0000,,haben, welche der Benutzer sehen wird. Der Empfänger, das ist eigentlich die Kopfzeile. Ok. Dialogue: 0,0:17:11.89,0:17:18.01,Default,,0000,0000,0000,,Wie ich schon sagte, gibt es tatsächlich Standards, die mehr Kopfzeilen erlauben. Und Dialogue: 0,0:17:18.01,0:17:22.51,Default,,0000,0000,0000,,es gibt aktuell 3 Kopfzeilen "Von", "Absender", "Antwort an", die semantisch wirklich nahe Dialogue: 0,0:17:22.51,0:17:25.88,Default,,0000,0000,0000,,beieinander liegen und im Standard ist eigentlich erklärt, wann man welche Überschrift Dialogue: 0,0:17:25.88,0:17:31.08,Default,,0000,0000,0000,,verwenden sollte. Und das Lustige für mich ist, dass zum Beispiel die "Von" Überschrift ist, Dialogue: 0,0:17:31.08,0:17:34.04,Default,,0000,0000,0000,,diejenige ist, in der wir sehen, was sie beinhaltet. Wenn Sie den RFC lesen, werden Sie Dialogue: 0,0:17:34.04,0:17:39.31,Default,,0000,0000,0000,,sehen, dass man nicht mehr als eine solche Kopfzeile haben sollte, aber die Kopfzeile selbst Dialogue: 0,0:17:39.31,0:17:44.45,Default,,0000,0000,0000,,könnte mehrere Adressen beinhalten. Persönlich habe ich noch nie eine E-Mail Dialogue: 0,0:17:44.45,0:17:48.02,Default,,0000,0000,0000,,erhalten, die von verschiedenen Personen stammen würde, aber das ist erlaubt. Aber das Dialogue: 0,0:17:48.02,0:17:53.11,Default,,0000,0000,0000,,Wichtigste, was Sie hier noch einmal verstehen müssen, ist dies bereits erwähnte Dialogue: 0,0:17:53.11,0:17:57.53,Default,,0000,0000,0000,,Rückwärtskompatibilität. Obwohl die Standards erklären, wie Sie die Haupt-Kopfzeile Dialogue: 0,0:17:57.53,0:18:02.48,Default,,0000,0000,0000,,verwenden sollten, und dass Sie in der Praxis nicht mehr als eine dieser Kopfzeilen haben Dialogue: 0,0:18:02.48,0:18:07.13,Default,,0000,0000,0000,,sollten, können Sie bei einer Zustimmung zu fehlerhaften E-Mails diese mit mehreren Dialogue: 0,0:18:07.13,0:18:12.48,Default,,0000,0000,0000,,Kopfzeilen in der selben Kopfzeile senden. Sie könnten Kopfzeilen senden, die laut RFC kein Dialogue: 0,0:18:12.48,0:18:17.04,Default,,0000,0000,0000,,"Von" enthält, aber einen "Absender". Das ist nicht korrekt. In der Praxis wird es. Dialogue: 0,0:18:17.04,0:18:21.24,Default,,0000,0000,0000,,funktionieren. Die meisten Organisationen, die meisten E-Mail-Dienste werden Ihr Bestes tun, Dialogue: 0,0:18:21.24,0:18:27.55,Default,,0000,0000,0000,,ihre völlig fehlerhafte E-Mail nach besten Kräften zu analysieren, weil sie wirklich daran Dialogue: 0,0:18:27.55,0:18:33.72,Default,,0000,0000,0000,,interessiert sind, die Supportkosten zu senken. Wenn etwas also nicht funktioniert, wird man Dialogue: 0,0:18:33.72,0:18:37.58,Default,,0000,0000,0000,,zu Ihnen kommen. Es ist also besser, dafür zu sorgen, dass meistens alles funktioniert. Dialogue: 0,0:18:37.58,0:18:42.16,Default,,0000,0000,0000,,Für Penetrationstester bedeutet das natürlich, dass Sie damit herumspielen können, weil es Dialogue: 0,0:18:42.16,0:18:45.67,Default,,0000,0000,0000,,verschiedene Implementierungen gibt und es genau darauf ankommt, welche Gefahr besteht. Dialogue: 0,0:18:45.67,0:18:49.48,Default,,0000,0000,0000,,Wenn beispielsweise 2 Kopfzeilen angezeigt werden oder für einen Algorithmus verwendet, Dialogue: 0,0:18:49.48,0:18:53.83,Default,,0000,0000,0000,,hängt dies von der jeweiligen Implementierung ab. Da es so viele Implementierungen gibt, sind Dialogue: 0,0:18:53.83,0:18:59.15,Default,,0000,0000,0000,,diese auf unterschiedliche Weise miteinander verbunden. Sie können und sollten als Dialogue: 0,0:18:59.15,0:19:03.72,Default,,0000,0000,0000,,Penetrationstester verschiedene Dinge ausprobieren, zum Beispiel die gleiche Dialogue: 0,0:19:03.72,0:19:09.27,Default,,0000,0000,0000,,Kopfzeile mehrmals hinzufügen. OK. Nachdem wir nun diese Grundlagen behandelt haben, Dialogue: 0,0:19:09.27,0:19:13.99,Default,,0000,0000,0000,,wollen wir uns ansehen, Wie Sie versuchen würden, zum Beispiel eine E-Mail zu fälschen. Dialogue: 0,0:19:13.99,0:19:18.36,Default,,0000,0000,0000,,Ja, genau. Und hier sind wir wieder, wir kommen zurück zu diesem Diagramm, das wir Dialogue: 0,0:19:18.36,0:19:23.93,Default,,0000,0000,0000,,schon einmal gesehen haben. Und beispielsweise in dem 1. Beispiel, wo Alice eine Dialogue: 0,0:19:23.93,0:19:29.96,Default,,0000,0000,0000,,E-Mail an Bob gesendet hat. Sagen wir mal, wir sind Chuck. Wir sind also eine dritte Partei. Wir Dialogue: 0,0:19:29.96,0:19:33.70,Default,,0000,0000,0000,,sind lizenzierte Penetrationstester, wir haben eine Vereinbarung, die uns erlaubt, dies zu tun Dialogue: 0,0:19:33.70,0:19:38.92,Default,,0000,0000,0000,,und wir versuchen, eine gefälschte E-Mail an Bob zu senden. In diesem Beispiel versuchen Dialogue: 0,0:19:38.92,0:19:44.44,Default,,0000,0000,0000,,wir, die Nachricht von Alice zu fälschen. Unsere Absicht ist es, dass Bob will, dass Bob eine Dialogue: 0,0:19:44.44,0:19:52.58,Default,,0000,0000,0000,,E-Mail erhält. Es sollte für Bob so aussehen, dass die E-Mail von Alice gesendet Dialogue: 0,0:19:52.58,0:19:57.58,Default,,0000,0000,0000,,wurde. Also ein Risiko. Okay. Ich möchte das Risiko nicht übernehmen. Ich denke, Sie können Dialogue: 0,0:19:57.58,0:20:01.43,Default,,0000,0000,0000,,das verstehen. Ich kann mir vorstellen, dass gefälschte Nachrichten eines der Probleme Dialogue: 0,0:20:01.43,0:20:06.33,Default,,0000,0000,0000,,sind, die wir in Lettland gesehen haben. Sie wurden gegen Regieurngsbehörden eingesetzt. Dialogue: 0,0:20:06.33,0:20:13.66,Default,,0000,0000,0000,,Und als jemand gefälschte Nachrichten per E-Mail an andere Leute, Organisationen etc. Dialogue: 0,0:20:13.66,0:20:19.51,Default,,0000,0000,0000,,sendete und versucht hat, sich als jemand anderes auszugeben. Und natürlich können Sie Dialogue: 0,0:20:19.51,0:20:23.71,Default,,0000,0000,0000,,sich vorstellen, dass das keine gute Sache ist. Aber das Interessante hier ist, dass Chuck zwar Dialogue: 0,0:20:23.71,0:20:28.45,Default,,0000,0000,0000,,angreift, es aber von Ihrer Perspektive abhängt. Es könnte wie ein Angriff auf Alice oder Bob Dialogue: 0,0:20:28.45,0:20:32.48,Default,,0000,0000,0000,,aussehen. In diesem Fall werden E-Mails nicht durch Alices Systeme geleitet. Wie Sie sehen Dialogue: 0,0:20:32.48,0:20:37.59,Default,,0000,0000,0000,,können, sendet Chuck E-Mails an Bobs Posteingangsserver. Nun gibt es eine 2. Art von Dialogue: 0,0:20:37.59,0:20:44.49,Default,,0000,0000,0000,,Angriffsart, die wir uns ansehen werden. Wenn wir eine E-Mail in die andere Richtung senden, Dialogue: 0,0:20:44.49,0:20:48.54,Default,,0000,0000,0000,,von Bob an Alice. Und unser Kunde ist Alice. Und in diesem Fall versuchen wir wieder, Chuck Dialogue: 0,0:20:48.54,0:20:52.90,Default,,0000,0000,0000,,zu sein. Wir senden E-Mails. in diesem Fall wird die E-Mail durch das System Dialogue: 0,0:20:52.90,0:20:58.57,Default,,0000,0000,0000,,von Alice geleitet. Die interessante Frage ist daher, was einfacher zu schützen ist. Dialogue: 0,0:20:58.57,0:21:03.79,Default,,0000,0000,0000,,Es könnte den Anschein haben, dass seit dem 2. Beispiel, die E-Mail tatsächlich durch die Dialogue: 0,0:21:03.79,0:21:07.27,Default,,0000,0000,0000,,Systeme von Alice läuft. Das bedeutet, dass Alice mehr Befugnisse hat, etwas zu tun, um Dialogue: 0,0:21:07.27,0:21:11.88,Default,,0000,0000,0000,,einige zusätzliche Kontrollen und Abgleiche usw. durchzuführen. Aber wie wir in Zukunft Dialogue: 0,0:21:11.88,0:21:16.19,Default,,0000,0000,0000,,sehen werden, ist es tatsächlich einfacher, das 1. Beispiel zu schützen. Auch wenn unser Kunde Dialogue: 0,0:21:16.19,0:21:21.71,Default,,0000,0000,0000,,Alice ist, versuchen wir Alice zu schützen. Aber in der Praxis ist es einfacher, dieses Beispiel zu Dialogue: 0,0:21:21.71,0:21:26.54,Default,,0000,0000,0000,,schützen und in die Praxis umzusetzen, in dem jemand E-Mail verkauft und versucht, sich als Dialogue: 0,0:21:26.54,0:21:32.80,Default,,0000,0000,0000,,Alice auszugeben. Okay. Oh, ja. Es gibt noch das 3. Beispiel: Wenn Alice mit ihren Kollegen Dialogue: 0,0:21:32.80,0:21:37.69,Default,,0000,0000,0000,,innerhalb derselben Organisation kommuniziert, sind wir Chuck. Dialogue: 0,0:21:37.69,0:21:41.82,Default,,0000,0000,0000,,In diesem Fall werden wir die E-Mail nur an den Posteingangsserver von Alice senden, nicht an Dialogue: 0,0:21:41.82,0:21:47.59,Default,,0000,0000,0000,,Postausgangsserver. Richtig. Das ist wichtig zu beachten. Im Prinzip ist dieses 3. Beispiel am Dialogue: 0,0:21:47.59,0:21:54.46,Default,,0000,0000,0000,,einfachsten zu erkennen weil Alices Organisation vermutlich weiß, dass ihre E-Mails Dialogue: 0,0:21:54.46,0:21:59.79,Default,,0000,0000,0000,,immer von einem, von diesem bestimmten Postausgangsserver kommen sollen. Richtig. Dialogue: 0,0:21:59.79,0:22:03.79,Default,,0000,0000,0000,,Wenn wir beispielsweise eine E-Mail von Alices Kollegen senden, sollte der Posteingangsserver im Dialogue: 0,0:22:03.79,0:22:08.78,Default,,0000,0000,0000,,Prinzip auch ohne Standards oder ähnliches, die volle Leistung haben. Dialogue: 0,0:22:08.78,0:22:15.61,Default,,0000,0000,0000,,Aber in der Praxis gibt es tatsächlich ziemlich oft eine spezielle Whitelist für Alices eigene Organisation. Dialogue: 0,0:22:15.61,0:22:24.14,Default,,0000,0000,0000,,Es finden keine Überprüfungen statt, falls der Posteingangsserver von Alice E-Mails empfängt, Dialogue: 0,0:22:24.14,0:22:28.88,Default,,0000,0000,0000,,die wiederum von Alice stammen. Dialogue: 0,0:22:28.88,0:22:34.61,Default,,0000,0000,0000,,Übrigens gibt es dieses Beispiel, das wir in den letzten Jahren gesehen haben. Dialogue: 0,0:22:34.61,0:22:38.73,Default,,0000,0000,0000,,Ich denke, das ist nicht spezifisch für Lettland. Deshalb ist hier als Beispiel eine kanadische Adresse und auch Dialogue: 0,0:22:38.73,0:22:43.59,Default,,0000,0000,0000,,andere, wie Sie sehen können. Es handelt sich hierbei um gefälschte E-Mails, wie Ransomware-Sachen. Dialogue: 0,0:22:43.59,0:22:48.29,Default,,0000,0000,0000,,Im Grunde sagen sie Ihnen, dass Sie in diesem Fall Ihren Computer oder Ihre E-Mails gehackt haben. Und Dialogue: 0,0:22:48.29,0:22:53.82,Default,,0000,0000,0000,,alle möglichen Aktivitäten arrangiert haben oder Sie erpresst. Dialogue: 0,0:22:53.82,0:22:59.16,Default,,0000,0000,0000,,Und senden Sie uns bitte das Geld. Ihr Geld. Ich meine Ihr Geld in Bitcoins an deren Adresse. Dialogue: 0,0:22:59.16,0:23:04.52,Default,,0000,0000,0000,,Soweit diese E-Mails. Der interessante Teil dieser E-Mails besteht darin, dass sie normalerweise Dialogue: 0,0:23:04.52,0:23:08.92,Default,,0000,0000,0000,,dazu dienen; Ihnen zu beweisen, dass Sie Zugang zu Ihrem E-Mail-Konto haben. Dialogue: 0,0:23:08.92,0:23:13.21,Default,,0000,0000,0000,,Sie senden E-Mails von Ihrer Adresse an Ihre Adresse. Dialogue: 0,0:23:13.21,0:23:20.10,Default,,0000,0000,0000,,Bei vielen Menschen funktioniert das, Sie sehen also, dass jemand Ihr Konto gehackt hat, weil Sie eine Dialogue: 0,0:23:20.10,0:23:22.73,Default,,0000,0000,0000,,E-Mail von sich selbst erhalten haben. Dialogue: 0,0:23:22.73,0:23:28.62,Default,,0000,0000,0000,,Wie Sie also später sehen werden, ist es sehr einfach, solche E-Mails zu fälschen, falls keine Dialogue: 0,0:23:28.62,0:23:34.10,Default,,0000,0000,0000,,Schutzvorkehrungen vorgenommen wurden. Das Wichtigste ist also, dass ich hoffe, dass niemand in Dialogue: 0,0:23:34.10,0:23:38.12,Default,,0000,0000,0000,,diesem Publikum auf einen solchen Betrug hereinfällt. Dialogue: 0,0:23:38.12,0:23:43.91,Default,,0000,0000,0000,,Aber vielleicht haben Sie Freunde oder Kollegen, die Sie kontaktiert haben und Ihnen von solchen E-Mails Dialogue: 0,0:23:43.91,0:23:48.23,Default,,0000,0000,0000,,erzählt haben. Aber eines der Dinge, die neben der Überprüfung der Passwörter zum Einsatz kommen Dialogue: 0,0:23:48.23,0:23:53.11,Default,,0000,0000,0000,,sollte, ist eine effektivere Authentifizierung zu nutzen. Vielleicht könnten Sie Ihnen sagen, dass sie Ihre E-Mail Dialogue: 0,0:23:53.11,0:23:57.77,Default,,0000,0000,0000,,Administratoren oder ihr IT-Team kontaktieren und nach dem Anti-Spoofing-Schutz fragen sollten. Dialogue: 0,0:23:57.77,0:24:03.47,Default,,0000,0000,0000,,Denn wenn sie solche E-Mails empfangen können und diese nicht gefiltert werden, Dialogue: 0,0:24:03.47,0:24:09.02,Default,,0000,0000,0000,,stimmt etwas nicht. Okay. Dialogue: 0,0:24:09.02,0:24:16.99,Default,,0000,0000,0000,,Und nun sehen wir uns eine gefälschte SMTP-Konversation an, also ein ähnliches Beispiel wie eben. Dialogue: 0,0:24:16.99,0:24:22.09,Default,,0000,0000,0000,,Aber in diesem Beispiel jetzt sind wir tatsächlich Chuck, also wird dies von Chuck an Bob gesendet. Dialogue: 0,0:24:22.09,0:24:25.92,Default,,0000,0000,0000,,Aber wir tun so, als wären wir Alice. Die Frage ist, können Sie den Unterschied zu der vorherigen Dialogue: 0,0:24:25.92,0:24:30.11,Default,,0000,0000,0000,,erkennen? Und es ist schwer, den Unterschied zu erkennen, da es keinen Unterschied gibt, da es Dialogue: 0,0:24:30.11,0:24:33.23,Default,,0000,0000,0000,,sich um das gleiche Gespräch handelt. Dialogue: 0,0:24:33.23,0:24:39.54,Default,,0000,0000,0000,,Der Punkt hier ist also, dass das SMTP-Protokoll an sich eigentlich keinen Schutz bietet. Dialogue: 0,0:24:39.54,0:24:43.64,Default,,0000,0000,0000,,Oh ja, Sie könnten es einfach zum Beispiel tun, wenn Sie dieser Typ sind, der die gefälschten Lösegeldbrief verschickt. Dialogue: 0,0:24:43.64,0:24:49.58,Default,,0000,0000,0000,,verschickt. Sie können diesen Text einfach aufschreiben und ihn einfach an Telnet senden. Dialogue: 0,0:24:49.58,0:24:55.83,Default,,0000,0000,0000,,Das funktioniert bei vielen Organisationen. Aber nicht bei allen. Und natürlich kennen die E-Mail- Dialogue: 0,0:24:55.83,0:25:01.21,Default,,0000,0000,0000,,Administratoren sich damit aus. Sie wissen, dass SMTP in diesem Fall nicht sehr zuverlässig ist. Dialogue: 0,0:25:01.21,0:25:05.07,Default,,0000,0000,0000,,Das ist leicht zu fälschen und so weiter. Und es gäbe viele Versuche, einen gewissen Schutz hinzuzufügen, Dialogue: 0,0:25:05.07,0:25:11.52,Default,,0000,0000,0000,,einfach auf Ad-hoc-Art. Also ohne Standards. Fügen Sie einfachen paar zusätzliche Filter und ähnliches in Dialogue: 0,0:25:11.52,0:25:15.95,Default,,0000,0000,0000,,Ihre eigene Mail ein. Und einige dieser Schutzmaßnahmen verstoßen tatsächlich gegen RFC, Dialogue: 0,0:25:15.95,0:25:20.64,Default,,0000,0000,0000,,Aber wen interessiert das schon? RFC ist ja kein heiliger Text, den ich zum Beispiel absolut Dialogue: 0,0:25:20.64,0:25:26.26,Default,,0000,0000,0000,,befürworte. Also machen Sie weiter. Aber das Problem ist, dass es nicht genügend Informationen gibt. Dialogue: 0,0:25:26.26,0:25:31.64,Default,,0000,0000,0000,,Wenn Sie also zurückdenken, sind wir Bob und versuchen, unsere Systeme zu schützen. Dialogue: 0,0:25:31.64,0:25:35.10,Default,,0000,0000,0000,,Wir sind also Bob, irgendein Systemadministrator, oder Bob ist der Systemadministrator und wir Dialogue: 0,0:25:35.10,0:25:39.73,Default,,0000,0000,0000,,versuchen, einige zusätzliche Regeln und so etwas hinzuzufügen. Dialogue: 0,0:25:39.73,0:25:44.59,Default,,0000,0000,0000,,Was können wir dann eigentlich tun? Ein Beispiel, das ich hier aufgelistet habe, ist die Durchführung dieses Dialogue: 0,0:25:44.59,0:25:49.98,Default,,0000,0000,0000,,SMTP-Rückrufs. Das bedeutet, dass wir E-Mails von Alice erhalten. Wir prüfen tatsächlich, ob Dialogue: 0,0:25:49.98,0:25:56.97,Default,,0000,0000,0000,,diese E-Mail überhaupt vorhanden ist. Denn viele Spammer senden einfach E-Mail von nicht Dialogue: 0,0:25:56.97,0:26:02.00,Default,,0000,0000,0000,,existierenden E-Mails. Und es wird funktionieren, wenn Sie nur einen einfachen Dialogue: 0,0:26:02.00,0:26:08.64,Default,,0000,0000,0000,,SMTP-Server haben. SMTP-Callback bedeutet also, dass Sie, eine E-Mail erhalten, Dialogue: 0,0:26:08.64,0:26:13.30,Default,,0000,0000,0000,,Wenn Sie beispielsweise E-Mails von Alice erhalten, versuchen Sie, einen separaten Dialogue: 0,0:26:13.30,0:26:17.22,Default,,0000,0000,0000,,Prozess zu starten. Dieser wird eine Verbindung zu Alices Server herzustellen, etc. Dialogue: 0,0:26:17.22,0:26:24.50,Default,,0000,0000,0000,,Und er wird versuchen, ihr eine E-Mail zu senden. Wenn ein Server sagt, "Ja, das ist OK", Dialogue: 0,0:26:24.50,0:26:27.54,Default,,0000,0000,0000,,eine solche E-Mail existiert und so weiter, dann ist es nicht so, als hätten Sie die Konversation Dialogue: 0,0:26:27.54,0:26:31.29,Default,,0000,0000,0000,,tatsächlich beendet. Aber dann kann Ihr System automatisch feststellen, dass diese E-Mail auch Dialogue: 0,0:26:31.29,0:26:36.57,Default,,0000,0000,0000,,wirklich existiert. Eine andere Möglichkeit, dies zu tun, ist durch Überprüfung dieses "Hello". Dialogue: 0,0:26:36.57,0:26:42.03,Default,,0000,0000,0000,,Und das ist die erste Zeile und in der ersten Zeile sollte normalerweise der Hostname des Dialogue: 0,0:26:42.03,0:26:48.00,Default,,0000,0000,0000,,Servers stehen, der die E-Mail sendet. Dialogue: 0,0:26:48.00,0:26:52.58,Default,,0000,0000,0000,,Interessanter Teil. Laut RFC sollten Sie also nicht überprüfen, ob man es verifizieren kann. Dialogue: 0,0:26:52.58,0:26:56.54,Default,,0000,0000,0000,,Und wenn es sich um eine zufällige Zeichenfolge handelt, sollten Sie es akzeptieren. Dialogue: 0,0:26:56.54,0:27:04.52,Default,,0000,0000,0000,,Aber viele Server werden zunächst versuchen, diesen Hostname zu überprüfen, von dem Sie Dialogue: 0,0:27:04.52,0:27:07.80,Default,,0000,0000,0000,,sagen, dass Sie dieser Hostname sind. Zunächst ob es tatsächlich auf dieselbe IP-Adresse Dialogue: 0,0:27:07.80,0:27:12.80,Default,,0000,0000,0000,,verweist und dann machen Sie das Gegenteil. Sie nehmen die IP-Adresse und versuchen, Dialogue: 0,0:27:12.80,0:27:18.88,Default,,0000,0000,0000,,eine umgekehrte DNS-PTR-Abfrage auszuführen. Und Sie werden versuchen Dialogue: 0,0:27:18.88,0:27:23.15,Default,,0000,0000,0000,,herauszufinden, ob diese IP-Adresse wirklich auf diesen Hostname antwortet. Also nochmal. Dialogue: 0,0:27:23.15,0:27:26.52,Default,,0000,0000,0000,,Als Penetrationstester sollten wir uns über diese Schutzmaßnahmen, Ad-Hoc- Dialogue: 0,0:27:26.52,0:27:31.04,Default,,0000,0000,0000,,Schutzmaßnahmen im Klaren sein. Denn wenn Sie sie nicht kennen, werden Sie versuchen Dialogue: 0,0:27:31.04,0:27:34.70,Default,,0000,0000,0000,,etwas auszuführen und es wird bei Ihnen nicht funktionieren. Aber Sie einfach, wenn Sie Dialogue: 0,0:27:34.70,0:27:40.47,Default,,0000,0000,0000,,kennen und erkannt haben, dass diese Organisation sie verwendet. Sie sind leicht zu Dialogue: 0,0:27:40.47,0:27:44.53,Default,,0000,0000,0000,,umgehen, so dass sie keinen guten Schutz bieten. Sie sollen vor massenhaftem Dialogue: 0,0:27:44.53,0:27:52.91,Default,,0000,0000,0000,,Missbrauch durch Spam schützen. Ok. Also bietet SMTP, wie wir gesehen haben, keinen Dialogue: 0,0:27:52.91,0:27:59.38,Default,,0000,0000,0000,,Schutz. Welche Ergänzungen zum Protokoll können also nachträglich tatsächlich verwendet Dialogue: 0,0:27:59.38,0:28:06.86,Default,,0000,0000,0000,,werden, um uns zu schützen? Eines dieser Protokolle ist SPF. SPF versucht wie ein Spiegel Dialogue: 0,0:28:06.86,0:28:12.87,Default,,0000,0000,0000,,MX-System sein. Das MX-System ist ein gemischtes System, das Alice grundsätzlich Dialogue: 0,0:28:12.87,0:28:18.15,Default,,0000,0000,0000,,benutzen kann, damit Alices Server automatisch den Server finden kann, der Bob und seinem Dialogue: 0,0:28:18.15,0:28:24.58,Default,,0000,0000,0000,,Posteingangsserver gehört. SPF ist also das Gegenteil davon. Da ist also eine Idee, das Dialogue: 0,0:28:24.58,0:28:30.27,Default,,0000,0000,0000,,System automatisch auf dem Posteingangsserver von Bob auszuführen. Dialogue: 0,0:28:30.27,0:28:35.72,Default,,0000,0000,0000,,Wenn Bob nun die E-Mail erhalt, können sie wieder eine DNS-Abfrage ausführen und Dialogue: 0,0:28:35.72,0:28:41.82,Default,,0000,0000,0000,,herausfinden, welche IP-Adressen eigentlich zu Alices Postausgangsserver gehören. Das Dialogue: 0,0:28:41.82,0:28:45.78,Default,,0000,0000,0000,,stimmt. Ich denke, es ist einfach zu verstehen, dass dies tatsächlich ein sinnvoller Weg ist. Es Dialogue: 0,0:28:45.78,0:28:52.57,Default,,0000,0000,0000,,ist eine Ergänzung. Und das eine Feld, das in diesem Beispiel überprüft wird, ist der Dialogue: 0,0:28:52.57,0:28:59.36,Default,,0000,0000,0000,,Absender des Umschlags. OK. Und hier ist ein Beispiel für minimale SPF-Syntax. Wie wir Dialogue: 0,0:28:59.36,0:29:04.61,Default,,0000,0000,0000,,sehen können, ist es meiner Meinung nach leicht zu verstehen, auch wenn man die Syntax Dialogue: 0,0:29:04.61,0:29:08.47,Default,,0000,0000,0000,,nicht kennt. Die Syntax besteht darin, dass sie IP-Adresse aufgelistet wird, die die IP-Adresse Dialogue: 0,0:29:08.47,0:29:12.78,Default,,0000,0000,0000,,des Postausgangsservers ist. Und dann steht da noch dieses "alle", was wiederum leicht zu Dialogue: 0,0:29:12.78,0:29:18.70,Default,,0000,0000,0000,,verstehen ist. In diesem Fall bedeutet es, das dies das einzige Mal ist. Wenn Sie also eine Dialogue: 0,0:29:18.70,0:29:22.98,Default,,0000,0000,0000,,Nachricht erhalten, kommt diese von dieser IP-Adresse, Das ist cool. Ich akzeptiere es. Wenn es Dialogue: 0,0:29:22.98,0:29:27.19,Default,,0000,0000,0000,,etwas anderes ist, dann lösche ich es einfach. Und es gibt mehrere Möglichkeiten, die IP- Dialogue: 0,0:29:27.19,0:29:31.61,Default,,0000,0000,0000,,Adresse anzugeben. Sie könnten einfach die IP-Adresse angeben. Sie könnten ein IP-Subnetz Dialogue: 0,0:29:31.61,0:29:37.07,Default,,0000,0000,0000,,angeben, Sie könnten einen DNS-Hostname angeben. Es ist also nur für den Administrator. Dialogue: 0,0:29:37.07,0:29:44.75,Default,,0000,0000,0000,,Für einen Penetrationstest ist es grundsätzlich nicht viel anders, für Administratoren ist es Dialogue: 0,0:29:49.62,0:29:56.16,Default,,0000,0000,0000,,einfacher, diese Systeme zu warten. Und dann gibt es diese Qualifikanten. Das ist etwas, das Dialogue: 0,0:29:56.16,0:30:00.10,Default,,0000,0000,0000,,man den Methoden voranstellt. Hier in diesem Beispiel hat IPv4 keinen Qualifikanten. Es gibt Dialogue: 0,0:30:00.10,0:30:03.91,Default,,0000,0000,0000,,kein Plus oder Minus oder so etwas. Das liegt daran, dass das Plus standardmäßig Dialogue: 0,0:30:03.91,0:30:12.60,Default,,0000,0000,0000,,angenommen wird. Dadurch wird standardmäßig alles, was im SPF-Eintrag Dialogue: 0,0:30:12.60,0:30:15.85,Default,,0000,0000,0000,,aufgeführt ist, mit einem legitimen SMTP-Ausgangsserver übereinstimmen sollte. Es Dialogue: 0,0:30:15.85,0:30:20.38,Default,,0000,0000,0000,,gibt jedoch andere Optionen, die Sie verwenden können. Minus verwenden, das heißt "Fehler". Dialogue: 0,0:30:20.38,0:30:26.71,Default,,0000,0000,0000,,Und das bedeutet, wenn etwas mit diesem Datensatz übereinstimmt, das ist Dialogue: 0,0:30:26.71,0:30:32.09,Default,,0000,0000,0000,,normalerweise die letzte Möglichkeiten, dann senden Sie bitte die Mail ab. Es ist nicht echt. Es Dialogue: 0,0:30:32.09,0:30:37.15,Default,,0000,0000,0000,,ist eine gefälschte Mail. Un dann ist da noch die 3. Option, bei der es sich um eine Software Dialogue: 0,0:30:37.15,0:30:42.69,Default,,0000,0000,0000,,handelt, die für die Testphase gedacht ist. Wenn Sie also gerade mit der Implementierung von Dialogue: 0,0:30:42.69,0:30:47.73,Default,,0000,0000,0000,,SPF beginnen, könnte es welche geben. Problematisch könnte sein, dass Sie vergessen, Dialogue: 0,0:30:47.73,0:30:52.75,Default,,0000,0000,0000,,einige SMTP-Server hinzuzufügen. Weil Sie das noch nicht getan haben, denken Sie vielleicht, Dialogue: 0,0:30:52.75,0:30:56.36,Default,,0000,0000,0000,,Sie haben nur einen SMTP-Postausgangsserver. Aber in Wirklichkeit haben Sie tatsächlich Dialogue: 0,0:30:56.36,0:31:03.60,Default,,0000,0000,0000,,mehrere Möglichkeiten, E-Mail zu senden. Wenn Sie in diesem Fall beginnen würden, den Dialogue: 0,0:31:03.60,0:31:07.23,Default,,0000,0000,0000,,oben genannten SPF-Eintrag mit der "Fail"-Strong-Richtlinie festzulegen, könnten Ihre Dialogue: 0,0:31:07.23,0:31:13.46,Default,,0000,0000,0000,,Benutzer die Nachricht nicht mehr senden. Deshalb ist das Testen gut. Hier sind einige Dialogue: 0,0:31:13.46,0:31:16.40,Default,,0000,0000,0000,,andere Beispiele, die etwas komplizierter sind. Eines davon wurde aufgenommen. Anstatt also Dialogue: 0,0:31:16.40,0:31:19.27,Default,,0000,0000,0000,,die Richtlinie selbst zu definieren, weil Sie in diesem Beispiel einen Drittanbieter verwenden, Dialogue: 0,0:31:19.27,0:31:24.72,Default,,0000,0000,0000,,zum Beispiel Google, dann schließen Sie einfach das ein, was Google veröffentlicht hat. Und das Dialogue: 0,0:31:24.72,0:31:31.53,Default,,0000,0000,0000,,Interessante daran ist de Verwendung von SPF. Wenn wir uns nur die Anzahl der Domains Dialogue: 0,0:31:31.53,0:31:36.89,Default,,0000,0000,0000,,ansehen, die eine Art Richtlinie definiert haben, dann sieht die Zahl ziemlich gut aus. Ich denke, Dialogue: 0,0:31:36.89,0:31:42.29,Default,,0000,0000,0000,,das gilt zum Beispiel für die beliebtesten Domains, ungefähr 70 %. Aber das Problem Dialogue: 0,0:31:42.29,0:31:45.71,Default,,0000,0000,0000,,ist, dass die meisten von ihnen entweder schlecht konfiguriert sind, oder nur die Softfail- Dialogue: 0,0:31:45.71,0:31:51.79,Default,,0000,0000,0000,,Option benutzen. Und was die Softfail praktisch tut, ist nichts. Auch wenn es eine Richtlinie für Dialogue: 0,0:31:51.79,0:31:56.70,Default,,0000,0000,0000,,Softfail gibt, können Sie in den meisten Fällen Ihre E-Mail fälschen und sie wird trotzdem Dialogue: 0,0:31:56.70,0:32:00.72,Default,,0000,0000,0000,,ankommen, weil der Empfänger denkt, dass sie sich nur im Testmodus befindet. Sie sollten E- Dialogue: 0,0:32:00.72,0:32:07.94,Default,,0000,0000,0000,,Mails nicht automatische löschen. Ja. Eigentlich ist der Prozentsatz nicht so groß. Aber das Dialogue: 0,0:32:07.94,0:32:13.91,Default,,0000,0000,0000,,Wichtigste für uns als Penetrationstester ist es, dies zu verstehen. Was sollen wir also tun, wenn Dialogue: 0,0:32:13.91,0:32:18.42,Default,,0000,0000,0000,,wir diese SPF sehen? Bedeutet das, dass wir jetzt keine E-Mail mehr fälschen können? Nein, Dialogue: 0,0:32:18.42,0:32:24.67,Default,,0000,0000,0000,,das bedeutet es nicht. Damit ist das Spiel für uns vorbei. Wir können einige Sachen tun. Dialogue: 0,0:32:24.67,0:32:30.06,Default,,0000,0000,0000,,Also zunächst einmal ist diese Softtail, die ich erwähnt habe. Und dass bedeutet im Grunde, Dialogue: 0,0:32:30.06,0:32:33.83,Default,,0000,0000,0000,,dass Sie einige Regeln, Regeln, Regeln haben und am Ende setzen Sie typischerweise nur Dialogue: 0,0:32:33.83,0:32:41.46,Default,,0000,0000,0000,,diese Softfail ein. Falls wir als Penetrationstester also versuchen, von einer unbekannten IP- Dialogue: 0,0:32:41.46,0:32:46.33,Default,,0000,0000,0000,,Adresse aus zu fälschen, die nicht in den vorherigen Regeln aufgeführt ist, dann tun sie Dialogue: 0,0:32:46.33,0:32:51.52,Default,,0000,0000,0000,,nichts. Machen Sie nichts. Ich meine, lassen Sie keine E-Mail fallen. Das ist doch gut für uns, Dialogue: 0,0:32:51.52,0:32:56.72,Default,,0000,0000,0000,,oder? Das bedeutet, dass wir tatsächlich auf die gleiche Art und Weise fälschen können und es Dialogue: 0,0:32:56.72,0:33:02.25,Default,,0000,0000,0000,,wird meistens funktionieren. Eine Anmerkung hier ist, dass einige Systeme nicht nur diese Dialogue: 0,0:33:02.25,0:33:06.59,Default,,0000,0000,0000,,binäre Klassifikation benutzen, egal ob etwas gut oder schlecht ist, sondern sie versuchen Dialogue: 0,0:33:06.59,0:33:11.32,Default,,0000,0000,0000,,eine Bewertung vorzunehmen. Und dann kann es sein, dass Sie, Ihre E-Mail nicht automatisch Dialogue: 0,0:33:11.32,0:33:16.37,Default,,0000,0000,0000,,löschen, obwohl Sie diese Softfail haben. Aber vielleicht fügen Sie ihr eine verdächtige Ebene Dialogue: 0,0:33:16.37,0:33:22.54,Default,,0000,0000,0000,,hinzu. Aber wichtig ist, das es nicht automatisch zu Ende ist. Dialogue: 0,0:33:22.54,0:33:29.97,Default,,0000,0000,0000,,Eine andere Sache ist dieses Include. Also Include ist sehr praktisch, wenn man mit Dialogue: 0,0:33:29.97,0:33:36.33,Default,,0000,0000,0000,,Drittparteien arbeitet. Aber das Problem ist, dass es für einige Leute nicht das ist, was es Dialogue: 0,0:33:36.33,0:33:43.10,Default,,0000,0000,0000,,scheint. Zumindest wird im Standard erwähnt, dass es ein schlecht gewählter Name war. Und Dialogue: 0,0:33:43.10,0:33:48.11,Default,,0000,0000,0000,,der Grund dafür ist, dass es sich nicht um ein Macro handelt. Um also zu verstehen, was Dialogue: 0,0:33:48.11,0:33:52.72,Default,,0000,0000,0000,,passiert, wenn dies eingeschlossen ist, sollten Sie nicht einfach alles von innen kopieren und Dialogue: 0,0:33:52.72,0:33:58.34,Default,,0000,0000,0000,,auf der obersten Ebene einfügen. Das ist nicht die Funktionsweise. Es wird versuchen, alle Dialogue: 0,0:33:58.34,0:34:05.48,Default,,0000,0000,0000,,darin enthaltenen Prüfungen durchzuführen. Aber wenn dies fehlschlägt, wird die Nachricht Dialogue: 0,0:34:05.48,0:34:10.25,Default,,0000,0000,0000,,nicht automatisch gelöscht. Es wird auf die oberste Ebene gehen und versuchen, die Dialogue: 0,0:34:10.25,0:34:14.51,Default,,0000,0000,0000,,anderen Regeln auszuführen. Das Problem dabei ist, dass es in 2 der häufigsten Fälle, Dialogue: 0,0:34:14.51,0:34:20.57,Default,,0000,0000,0000,,entweder vergessen hat, dieses Minus zu ergänzen, oder Ihr Administrator hat es Dialogue: 0,0:34:20.57,0:34:26.47,Default,,0000,0000,0000,,vergessen. In diesem Fall, selbst wenn Sie dieses Minus eingeschlossen haben, wird es Dialogue: 0,0:34:26.47,0:34:34.09,Default,,0000,0000,0000,,nicht funktionieren. Ich denke, dass es funktionieren würde, weil, wenn der Empfänger Dialogue: 0,0:34:34.09,0:34:39.57,Default,,0000,0000,0000,,es mit "Minus" überprüft hat, "all inside include" nicht dasselbe bedeutet wie auf der obersten Dialogue: 0,0:34:39.57,0:34:43.80,Default,,0000,0000,0000,,Ebene. Und das Zweite wäre, wenn Sie alles außer der Software hinzugefügt hätten. Und Dialogue: 0,0:34:43.80,0:34:47.81,Default,,0000,0000,0000,,einige Admins könnten das denken. Aber das ist okay, weil ich Gmail mit einbeziehe, und GMail Dialogue: 0,0:34:47.81,0:34:54.41,Default,,0000,0000,0000,,diesen schwerwiegenden Fehler hat. Auf diesem Weg funktioniert es nicht. Und dann Dialogue: 0,0:34:54.41,0:35:00.00,Default,,0000,0000,0000,,ist, glaube ich vielleicht der häufigste Fall, dass man oft diese Art von SPF-Einträgen sieht. Aber Dialogue: 0,0:35:00.00,0:35:03.57,Default,,0000,0000,0000,,da ist viel Zeug in den IP-Adressen. Es gibt diese A-Rekorde, es gibt einen MX. Es gibt einen Dialogue: 0,0:35:03.57,0:35:07.89,Default,,0000,0000,0000,,Zeiger. Im Grund genommen alles, was den Administratoren einfällt und der Grund dafür Dialogue: 0,0:35:07.89,0:35:12.99,Default,,0000,0000,0000,,ist, dass sie einfach nicht sicher sind, wie es funktioniert. Sie wissen nicht, was sie eingeben Dialogue: 0,0:35:12.99,0:35:17.10,Default,,0000,0000,0000,,sollen. Eine Sache, die darauf hinweist, ist zum Beispiel, Dialogue: 0,0:35:17.10,0:35:24.84,Default,,0000,0000,0000,,ob es einen MX-Eintrag im SPF gibt. Die meisten Organisationen, sofern sie nicht sehr klein sind Dialogue: 0,0:35:24.84,0:35:27.93,Default,,0000,0000,0000,,und nur einen Server haben, haben verschiedene Server, verschiedene IP-Adressen Dialogue: 0,0:35:27.93,0:35:31.06,Default,,0000,0000,0000,,für ausgehende Mails und für eingehende Mails. Das heißt, dass es für Organisationen Dialogue: 0,0:35:31.06,0:35:34.50,Default,,0000,0000,0000,,keinen praktischen Grund gibt, MX in SPF aufzunehmen, denn keine E-Mail sollte durch Dialogue: 0,0:35:34.50,0:35:41.11,Default,,0000,0000,0000,,ihren Posteingangsserver werden. Und ein anderer Fall könnte sein, dass die Dialogue: 0,0:35:41.11,0:35:45.90,Default,,0000,0000,0000,,Administratoren verstehen, wie es funktioniert. Ihre Architektur ist aber wirklich Dialogue: 0,0:35:45.90,0:35:51.47,Default,,0000,0000,0000,,chaotisch und sie senden E-Mails von vielen, vielen unterschiedlichen Stellen senden, was Dialogue: 0,0:35:51.47,0:35:55.73,Default,,0000,0000,0000,,für Penetrationstester gut ist. Dialogue: 0,0:35:55.73,0:36:03.36,Default,,0000,0000,0000,,Das bedeutet, dass sie nicht gut organisiert sind. OK. Und dann gibt es noch einen Dialogue: 0,0:36:03.36,0:36:09.22,Default,,0000,0000,0000,,Schwachpunkt, der darin besteht, dass die Granularität nicht sehr gut geeignet ist. Das Dialogue: 0,0:36:09.22,0:36:13.80,Default,,0000,0000,0000,,einzige, was Sie tun können, sind mehrere dieser Datensatztypen. Aber alles was sie tun, Dialogue: 0,0:36:13.80,0:36:19.65,Default,,0000,0000,0000,,ist die Auflösung der IP-Adresse. Aber wie Sie sich vorstellen können. ist die IP in vielen Fällen Dialogue: 0,0:36:19.65,0:36:24.23,Default,,0000,0000,0000,,nicht nur mit dem Mailserver verknüpft. Auf einer IP kann möglicherweise ein Mailserver Dialogue: 0,0:36:24.23,0:36:28.07,Default,,0000,0000,0000,,und eine Webserver oder eine Datenbank oder etwas anderes vorhanden sein. Das bedeutet, Dialogue: 0,0:36:28.07,0:36:32.34,Default,,0000,0000,0000,,dass Sie als Penetrationstester dieses ausnutzen können. Nicht den Mailserver selbst, Dialogue: 0,0:36:32.34,0:36:36.74,Default,,0000,0000,0000,,denn der Mailserver ist üblicherweise ziemlich unauffällig. Es gibt nicht viele Schwachstellen. Dialogue: 0,0:36:36.74,0:36:42.74,Default,,0000,0000,0000,,Sie können sie einfach ausbessern, und das wars. Aber diese anderen Systeme, zum Dialogue: 0,0:36:42.74,0:36:46.68,Default,,0000,0000,0000,,Beispiel das Web, lassen sich in den meisten Fällen leicht ausnutzen. In gewisser Weise kann Dialogue: 0,0:36:46.68,0:36:50.81,Default,,0000,0000,0000,,man die Privilegien erhöhen, indem man sich Zugriff verschafft auf einem anderen Server mit Dialogue: 0,0:36:50.81,0:36:59.86,Default,,0000,0000,0000,,dieser IP-Adresse oder IP-Bereich. Sie können mit dem Versenden von E-Mails beginnen. Sie Dialogue: 0,0:36:59.86,0:37:04.95,Default,,0000,0000,0000,,werden alle SPF-Filter passieren. OK. Ein Beispiel ist "Shared Hosting", was sehr häufig Dialogue: 0,0:37:04.95,0:37:10.36,Default,,0000,0000,0000,,der Fall ist. Das Problem besteht darin, dass Sie in diesem Fall eine IP des SMTP-Servers haben. Dialogue: 0,0:37:10.36,0:37:15.90,Default,,0000,0000,0000,,Vielleicht ist das ein Server, der nur zum Versenden von E-Mails verwendet wird. Aber Dialogue: 0,0:37:15.90,0:37:18.85,Default,,0000,0000,0000,,der Server selbst arbeitet nicht nur für Sie. Er arbeitet für viele Domains, vielleicht Hunderte Dialogue: 0,0:37:18.85,0:37:24.29,Default,,0000,0000,0000,,bis Tausende. Das heißt, als Angreifer könne Sie mindestens einen von ihnen ausnutzen, oder Dialogue: 0,0:37:24.29,0:37:26.94,Default,,0000,0000,0000,,für Shared Hosting kaufen. Sie können Kunde dieses Shared Hosting werden. Sie müssen Dialogue: 0,0:37:26.94,0:37:31.75,Default,,0000,0000,0000,,nicht einmal etwas nutzen. Und dann können Sie möglicherweise eine E-Mail starten, die in Dialogue: 0,0:37:31.75,0:37:38.14,Default,,0000,0000,0000,,Bezug auf SPF genauso gut aussieht, wie die eigene. Und das andere ist die falsche Dialogue: 0,0:37:38.14,0:37:44.96,Default,,0000,0000,0000,,Überprüfung. Und das ist wahrscheinlich das schlimmste Problem mit SPF. Es gibt, wie ich Dialogue: 0,0:37:44.96,0:37:49.64,Default,,0000,0000,0000,,bereits erwähnt habe, mindestens 2 Identifikatoren. Der Umschlagabsender, der Dialogue: 0,0:37:49.64,0:37:53.74,Default,,0000,0000,0000,,externe also, der den Absender angibt. Und dann gibt es eine interne, die normalerweise Dialogue: 0,0:37:53.74,0:37:58.59,Default,,0000,0000,0000,,die "Von" Kopfzeile ist. Aber von diesen beiden überprüft SPF nur, ob SPF die einzige Dialogue: 0,0:37:58.59,0:38:03.14,Default,,0000,0000,0000,,Technologie ist, die Sie verwenden. SPF überprüft nur den ersten: den Umschlag- Dialogue: 0,0:38:03.14,0:38:09.06,Default,,0000,0000,0000,,Absender. Und wie ich bereits erwähnt habe, sehen tatsächliche Benutzer, die die E-Mail Dialogue: 0,0:38:09.06,0:38:13.28,Default,,0000,0000,0000,,erhalten, in den meisten Fällen keinen Umschlag-Absender. Sie werden Dialogue: 0,0:38:13.28,0:38:17.56,Default,,0000,0000,0000,,beispielsweise dies sehen und eine "Von" oder eine der anderen Kopfzeilen. Dieses Verhalten Dialogue: 0,0:38:17.56,0:38:22.83,Default,,0000,0000,0000,,wird tatsächlich durch DMARC behoben, was die Technologie ist, die ich erwähnt habe. Aber Dialogue: 0,0:38:22.83,0:38:27.32,Default,,0000,0000,0000,,die Mehrheit der SPF-Installationen, Domains, die SPF nutzen, haben kein DMARC. Also sind Dialogue: 0,0:38:27.32,0:38:31.33,Default,,0000,0000,0000,,dadurch nicht geschützt. Selbst wenn deren SPF großartig für Angreifer ist, bedeutet das, dass Dialogue: 0,0:38:31.33,0:38:36.63,Default,,0000,0000,0000,,Sie zum Weitergeben von SPF nur den Umschlag-Absender auf etwas anderes setzen. Dialogue: 0,0:38:36.63,0:38:40.43,Default,,0000,0000,0000,,Zum Beispiel Ihre eigene kontrollierte Adresse, die alle SPF-Prüfungen bestehen wird. Aber Dialogue: 0,0:38:40.43,0:38:49.01,Default,,0000,0000,0000,,dann können Sie die Kopfzeile innerhalb der "Von"-Adresse sehen, der mit der Organisation Dialogue: 0,0:38:49.01,0:38:56.78,Default,,0000,0000,0000,,übereinstimmt, die Sie vorgeben wollen zu sein. Okay, Dann gibt es eine andere Technologie, die Dialogue: 0,0:38:56.78,0:39:02.31,Default,,0000,0000,0000,,dies beheben soll und das ist DKIM. Wie wir gesehen haben, reicht SPF nicht aus. Also DKIM. Dialogue: 0,0:39:02.31,0:39:11.45,Default,,0000,0000,0000,,Sorry für die Abkürzungen. Es heißt: Domainkeys identified mail. Sie müssen sich Dialogue: 0,0:39:11.45,0:39:15.10,Default,,0000,0000,0000,,den langen Namen nicht Mehrken, nur die Abkürzung. Und was es im Grunde genommen Dialogue: 0,0:39:15.10,0:39:20.22,Default,,0000,0000,0000,,macht, es verwendet Kryptographie, was schön ist, oder? Es ist Mathematik. Es ist für Angreifer Dialogue: 0,0:39:20.22,0:39:24.64,Default,,0000,0000,0000,,schwer zu knacken. Es signiert jede Email, sodass jede E.Mail, die über den DKIM Dialogue: 0,0:39:24.64,0:39:29.87,Default,,0000,0000,0000,,aktivierten Server versendet wird, eine Signatur erhält, die Sie als Empfänger kryptographisch Dialogue: 0,0:39:29.87,0:39:35.06,Default,,0000,0000,0000,,verifizieren können. Wie Sie sehen können, ist es eigentlich ziemlich schwierig zu sehen, weil Dialogue: 0,0:39:35.06,0:39:39.94,Default,,0000,0000,0000,,es nicht dafür gedacht ist, von Menschen verarbeitet zu werden. Es handelt sich um Dialogue: 0,0:39:39.94,0:39:44.16,Default,,0000,0000,0000,,Kryptographie. Sie ist dafür gedacht, von Computern verarbeitet zu werden. Aber der Dialogue: 0,0:39:44.16,0:39:48.30,Default,,0000,0000,0000,,wichtige Teil hier ist im Grunde, dass das gelbe Zeug diese kryptische Signatur ist. Aber er Dialogue: 0,0:39:48.30,0:39:55.88,Default,,0000,0000,0000,,grüne Teil ist das, was man Domain-Erkennung nennt. Und den roten Teil nennt man - ich weiß Dialogue: 0,0:39:55.88,0:40:02.27,Default,,0000,0000,0000,,es nicht mehr. Lachen! Aber im Grund ist es eine Idee, dass Sie mehrere Schlüssel für Ihre Dialogue: 0,0:40:02.27,0:40:07.16,Default,,0000,0000,0000,,Organisation haben können, zum Beispiel könnte die Organisation E-Mails von Ihrem Dialogue: 0,0:40:07.16,0:40:12.39,Default,,0000,0000,0000,,ursprünglichen SMTP-Server senden und dann können Sie einen Backup-Server haben, oder Dialogue: 0,0:40:12.39,0:40:17.65,Default,,0000,0000,0000,,Sie haben vielleicht einige Nachrichten von Google oder eine Marketingkampagne und Dialogue: 0,0:40:17.65,0:40:21.76,Default,,0000,0000,0000,,so weiter. Und dann könnte jede von ihnen unterschiedliche "Rot"-Parameter haben. Das Dialogue: 0,0:40:21.76,0:40:26.97,Default,,0000,0000,0000,,Problem ist, dass der Empfänger dann eine DNS-Abfrage ausführen, was das 2. Beispiel ist, Dialogue: 0,0:40:26.97,0:40:32.53,Default,,0000,0000,0000,,bei dem diese Kombination aus grün und rot verwendet wird. Und dann erhalten Sie den Dialogue: 0,0:40:32.53,0:40:36.99,Default,,0000,0000,0000,,öffentlichen Schlüssel und können diesen verwenden, um die Signatur zu überprüfen. Dialogue: 0,0:40:36.99,0:40:43.80,Default,,0000,0000,0000,,Das hört sich also wirklich gut an. Das Problem hier ist, dass es noch ein anderes Problem gibt. Dialogue: 0,0:40:43.80,0:40:48.73,Default,,0000,0000,0000,,Wie man löst man es? Ich denke, es ist einfach, wenn man die öffentliche Kryptographie. Dialogue: 0,0:40:48.73,0:40:52.44,Default,,0000,0000,0000,,versteht. Auf der Absenderseite müssen Sie zuerst ein öffentliches und ein privates Dialogue: 0,0:40:52.44,0:40:56.27,Default,,0000,0000,0000,,Schlüsselpaar generieren. Dann veröffentlichen Sie den öffentlichen Teil im DNS. Dann Dialogue: 0,0:40:56.27,0:41:00.48,Default,,0000,0000,0000,,verwenden Sie den privaten Schlüssel, um jede Nachricht zu signieren. Der Empfänger macht Dialogue: 0,0:41:00.48,0:41:04.38,Default,,0000,0000,0000,,jetzt sozusagen das Gegenteil. Sobald er die E-Mail erhalten hat, findet er anhand dieses roten Dialogue: 0,0:41:04.38,0:41:09.00,Default,,0000,0000,0000,,und grünen Teils den richtigen DNS-Eintrag heraus, führen ihn aus, erhalten den Dialogue: 0,0:41:09.00,0:41:12.53,Default,,0000,0000,0000,,öffentlichen Schlüssen und vergleichen dann, ob dieser öffentliche Schlüssel mit der Signatur Dialogue: 0,0:41:12.53,0:41:19.17,Default,,0000,0000,0000,,übereinstimmt. Das klingt doch ganz gut, oder? Was ist das Problem? Also wählt der Kunde den Dialogue: 0,0:41:19.17,0:41:27.31,Default,,0000,0000,0000,,Namen aus, Das Problem dabei ist, dass es mehrere Selektoren als DKIM sein können, Dialogue: 0,0:41:27.31,0:41:31.67,Default,,0000,0000,0000,,wenn Sie die Konfiguration durchführen. Sie können so viele Selektoren auswählen, wie Sie Dialogue: 0,0:41:31.67,0:41:37.17,Default,,0000,0000,0000,,wollen und der Empfänger weiß nicht, ob Sie tatsächlich einen Selektor hätten verwenden Dialogue: 0,0:41:37.17,0:41:41.60,Default,,0000,0000,0000,,sollen und welchen Selektor Sie hätten verwenden sollen. Das Problem liegt darin, dass Dialogue: 0,0:41:41.60,0:41:48.69,Default,,0000,0000,0000,,wenn wir nur über das normale DKIM sprechen, es für einen Penentrationstester oder einen Dialogue: 0,0:41:48.69,0:41:52.63,Default,,0000,0000,0000,,Angreifer schwierig ist, die vorhandene Signatur zu ändern. Aber es ist einfach, es zu entfernen. Dialogue: 0,0:41:52.63,0:41:57.62,Default,,0000,0000,0000,,Denn wenn man DKIM aus allen Kopfzeilen entfernt hat, weiß der Empfänger nicht, dass Dialogue: 0,0:41:57.62,0:42:03.55,Default,,0000,0000,0000,,sie da sein sollte, denn um das zu prüfen, müsste sie dort sein. Hier also zum Beispiel, Dialogue: 0,0:42:03.55,0:42:08.64,Default,,0000,0000,0000,,muss ich, statt die Signatur zu überprüfen, diesen grünen Teil kennen. Diese Domain- Dialogue: 0,0:42:08.64,0:42:14.71,Default,,0000,0000,0000,,Kennung und den Selektor, die Teil dieser Kopfzeile sind. Richtig. Das ist also ein großes Dialogue: 0,0:42:14.71,0:42:20.82,Default,,0000,0000,0000,,Problem. Und das bedeutet, dass wir, obwohl wir DKIM selbst nicht fälschen können, können Dialogue: 0,0:42:20.82,0:42:26.70,Default,,0000,0000,0000,,wir die DKIM einfach abschneiden und die Nachricht ohne sie senden. Und falls die DKIM Dialogue: 0,0:42:26.70,0:42:31.50,Default,,0000,0000,0000,,das Einzige wäre, das das System geschützt hat, würde es funktionieren. Es könnte also sein, Dialogue: 0,0:42:31.50,0:42:37.31,Default,,0000,0000,0000,,dass es kein grünes Häkchen oder was auch immer gibt, aber es wird beim Empfänger Dialogue: 0,0:42:37.31,0:42:43.04,Default,,0000,0000,0000,,ankommen. Eine andere Sache ist dieser Domain-Selektor. Warum müssen wir das Dialogue: 0,0:42:43.04,0:42:48.28,Default,,0000,0000,0000,,überhabt einstellen? Weil die beste Übung natürlich ist, dass der Umschlag-Absender Dialogue: 0,0:42:48.28,0:42:52.43,Default,,0000,0000,0000,,gleich der Kopfzeile und gleich diesem DKIM Domain-Sektor ist. Wenn Sie also von Alice Dialogue: 0,0:42:52.43,0:42:59.03,Default,,0000,0000,0000,,senden, dann sind alle drei Alice.org oder was auch immer. Das Problem ist, dass es im RFC Dialogue: 0,0:42:59.03,0:43:04.03,Default,,0000,0000,0000,,nicht erwähnt wird, dass dies der Fall sein sollte. Was also passiert genau, wenn es nicht Dialogue: 0,0:43:04.03,0:43:09.62,Default,,0000,0000,0000,,so ist? Zum Beispiel gibt es auf der rechten Seite eine echte Domain, die Gmail, Google Dialogue: 0,0:43:09.62,0:43:17.47,Default,,0000,0000,0000,,Mail, Google Suite verwendet hat. In diesem Fall signiert Google Suite standardmäßig alle Dialogue: 0,0:43:17.47,0:43:22.43,Default,,0000,0000,0000,,Nachrichten. Wenn Sie jedoch keine eigene Konfiguration vornehmen, wird sie signiert mit Dialogue: 0,0:43:22.43,0:43:28.37,Default,,0000,0000,0000,,der von ihm kontrollierten Domain "gappssmtp". Und das bedeutet, dass, obwohl Dialogue: 0,0:43:28.37,0:43:32.58,Default,,0000,0000,0000,,technisch gesehen etwas mit DKIM signiert wurde, es aber nicht so signiert wurde, dass Dialogue: 0,0:43:32.58,0:43:36.41,Default,,0000,0000,0000,,man es zu seiner Organisation zurückführen kann. Es ist etwas völlig anderes. Was genau Dialogue: 0,0:43:36.41,0:43:40.07,Default,,0000,0000,0000,,sollte der Empfänger in diesem Fall tun? Sollten Sie es einfach ignorieren? Sollten Sie die Dialogue: 0,0:43:40.07,0:43:43.86,Default,,0000,0000,0000,,Nachricht zurückweisen oder etwas ähnliches? Der richtige Weg wäre also, sie nicht Dialogue: 0,0:43:43.86,0:43:49.38,Default,,0000,0000,0000,,abzulehnen, sondern sie einfach als ungültig, zumindest nicht als gültige DKIM zu betrachten, Dialogue: 0,0:43:49.38,0:43:53.83,Default,,0000,0000,0000,,aber es kommt darauf an. Also werden einige Validierer, sobald sie irgendeine DKIM sehen, Dialogue: 0,0:43:53.83,0:44:01.23,Default,,0000,0000,0000,,diese validieren und sagen, das ist cool, das entspricht dem RFC. Aber nun kommt der Dialogue: 0,0:44:01.23,0:44:06.71,Default,,0000,0000,0000,,interessante Teil. Ändern von DKIM, wofür ich keine Zeit habe. Aber die Idee ist, dass dies in Dialogue: 0,0:44:06.71,0:44:11.34,Default,,0000,0000,0000,,manchen, nicht in allen Fällen so ist, aber manchmal kann man es tatsächlich ändern. Dialogue: 0,0:44:11.34,0:44:17.19,Default,,0000,0000,0000,,Der am einfachsten zu ändernde Teil in den Nachrichten sind die Kopfzeilen. Weil DKIM, Dialogue: 0,0:44:17.19,0:44:21.30,Default,,0000,0000,0000,,da es in den Kopfzeilen selbst platziert ist, nicht automatisch alte Kopfzeilen signiert. Das ist wie Dialogue: 0,0:44:21.30,0:44:26.17,Default,,0000,0000,0000,,das Henne-Ei-Problem. Es werden standardmäßig nur 1 oder 2 Kopfzeilen signiert Dialogue: 0,0:44:26.17,0:44:30.91,Default,,0000,0000,0000,,und Sie können weitere Kopfzeilen angeben, die signiert werden sollen, aber das passiert nicht Dialogue: 0,0:44:30.91,0:44:35.57,Default,,0000,0000,0000,,automatisch. Für den Angreifer ist es eine einfache Sache, eine andere Kopfzeile Dialogue: 0,0:44:35.57,0:44:40.40,Default,,0000,0000,0000,,hinzuzufügen. Wenn das Ihrem Plan in irgendeiner Weise hilft, dann ist das einfach Dialogue: 0,0:44:40.40,0:44:43.94,Default,,0000,0000,0000,,zu machen. Sie fügen einfach eine weitere Kopfzeile hinzu. Ein interessante Teil ist, obwohl Dialogue: 0,0:44:43.94,0:44:49.18,Default,,0000,0000,0000,,obwohl RFC, ist, wie ich vorhin erwähnt habe, dass einige Kopfzeilen wie "Gegenstand" oder Dialogue: 0,0:44:49.18,0:44:53.09,Default,,0000,0000,0000,,"Von", nur in einer Kopie vorhanden sein sollten. Aktuell könnte man mehr, als eine Dialogue: 0,0:44:53.09,0:44:59.37,Default,,0000,0000,0000,,"Von" Kopfzeile hinzufügen. Was in diesem Fall passiert ist ziemlich interessant. DKIM wird Dialogue: 0,0:44:59.37,0:45:04.15,Default,,0000,0000,0000,,einverstanden sein, wenn Sie DKIM mitteilen, dass die Kopfzeile "Von" beispielsweise signiert Dialogue: 0,0:45:04.15,0:45:11.28,Default,,0000,0000,0000,,werden soll. Dann wird es übereinstimmen und signiert die erste "Von" Kopfzeile von unten. Dialogue: 0,0:45:11.28,0:45:16.81,Default,,0000,0000,0000,,Aber ziemlich viele Software E-Mail Kunden in einer Software werden dem Benutzer eigentlich Dialogue: 0,0:45:16.81,0:45:23.94,Default,,0000,0000,0000,,nur zuerst von der anderen Seite, der oberen Seite angezeigt. Das bedeutet also, dass der Dialogue: 0,0:45:23.94,0:45:29.55,Default,,0000,0000,0000,,Angreifer die Kopfzeilen verfälschen oder überschreiben kann, indem er einfach neue Dialogue: 0,0:45:29.55,0:45:33.09,Default,,0000,0000,0000,,Kopfzeilen hinzufügt. Und dieses eigentliche Problem wird im DKIM RFC erwähnt und der Dialogue: 0,0:45:33.09,0:45:38.88,Default,,0000,0000,0000,,Schutz, den sie vorschlagen ist dieser Code Over-Signing, damit Sie den RFC lesen können. Dialogue: 0,0:45:38.88,0:45:44.92,Default,,0000,0000,0000,,Aber nicht jeder macht das tatsächlich. Und wie auch immer, gilt das nur für die Kopfzeilen. Dialogue: 0,0:45:44.92,0:45:49.50,Default,,0000,0000,0000,,Manchmal ist das also gut. Manchmal ist das nicht gut. Ändern des Nachrichtentextes ist Dialogue: 0,0:45:49.50,0:45:54.07,Default,,0000,0000,0000,,tatsächlich viel schwieriger. Im Grunde genommen ist die naive Art es zu tun durch Dialogue: 0,0:45:54.07,0:45:58.14,Default,,0000,0000,0000,,Kryptographie, was wir aber nicht tun wollen. Und ein anderer Weg führt über diesen Dialogue: 0,0:45:58.14,0:46:05.12,Default,,0000,0000,0000,,Parameter, der die Textkörperlänge angibt und das ist eigentlich wie fragwürdig die Dialogue: 0,0:46:05.12,0:46:08.79,Default,,0000,0000,0000,,Funktionalität ist, die DKIM hat. Manchmal kann man festlegen, dass der Hash für Signierung- Dialogue: 0,0:46:08.79,0:46:13.79,Default,,0000,0000,0000,,zwecke verwendet werden soll. Wir sollten nicht den ganzen Körper betrachten, sondern nur die Dialogue: 0,0:46:13.79,0:46:18.87,Default,,0000,0000,0000,,ersten Bytes. Das ist in einigen Fällen bei Mailinglisten tatsächlich nützlich, aber in den Dialogue: 0,0:46:18.87,0:46:24.50,Default,,0000,0000,0000,,meisten Fällen nicht nützlich. Die meisten E-Mail-Programme tun dies in der Praxis nicht. Dialogue: 0,0:46:24.50,0:46:28.87,Default,,0000,0000,0000,,Falls sie es tun, besteht die Gefahr, dass der Textkörper möglicherweise überschrieben wird. Dialogue: 0,0:46:28.87,0:46:34.24,Default,,0000,0000,0000,,Sie können einen anderen Mime-Typ hinzufügen und dann die Kopfzeilen ändern, Dialogue: 0,0:46:34.24,0:46:37.57,Default,,0000,0000,0000,,um zu zeigen, dass dieser andere Mime-Typ DKIM passieren wird. In diesem Fall wird zum Dialogue: 0,0:46:37.57,0:46:42.63,Default,,0000,0000,0000,,Beispiel der grüne Button oder was auch immer angezeigt, weil DKIM gültig sein wird. Nun gibt Dialogue: 0,0:46:42.63,0:46:47.64,Default,,0000,0000,0000,,es also die 3. Technologie, die DMARC genannt wird. Und auch hier steht der vollständige Dialogue: 0,0:46:47.64,0:46:52.42,Default,,0000,0000,0000,,Name, der lang ist, aber in diesem Fall tatsächlich etwas bedeutet. Es gibt 2 Schlüssel- Dialogue: 0,0:46:52.42,0:46:56.66,Default,,0000,0000,0000,,wörter: Berichterstattung und Konformität. Berichterstattung ist das Wort, mit dem die Dialogue: 0,0:46:56.66,0:47:01.62,Default,,0000,0000,0000,,meisten Administratoren vertraut sind, denn das ist es, was DMARC meiner Meinung oft an Dialogue: 0,0:47:01.62,0:47:08.39,Default,,0000,0000,0000,,sie verkauft. Berichterstattung bedeutet, dass man bei Problemen in diesem Fall, der anderen Dialogue: 0,0:47:08.39,0:47:13.31,Default,,0000,0000,0000,,Seite sagen kann, was in diesem Fall zu tun ist. Grundsätzlich sagen Sie Ihnen, dass Sie Ihnen Dialogue: 0,0:47:13.31,0:47:16.89,Default,,0000,0000,0000,,entweder einmal am Tag oder jedes Mal Berichte senden sollen. Für Penetrationstester Dialogue: 0,0:47:16.89,0:47:20.51,Default,,0000,0000,0000,,ist das nicht sehr nützlich. Möglicherweise könnten wir verwenden, um zu verstehen, Dialogue: 0,0:47:20.51,0:47:25.00,Default,,0000,0000,0000,,welche Art von Konfiguration auf der anderen Seite läuft. Aber im Moment ist diese Funktion Dialogue: 0,0:47:25.00,0:47:30.31,Default,,0000,0000,0000,,noch nicht so weit verbreitet. Aber der andere Teil, die Konformität, ist wirklich sehr, sehr Dialogue: 0,0:47:30.31,0:47:35.25,Default,,0000,0000,0000,,leistungsstark. Es korrigiert die großem Fehler, die ich in SPF und DKIM erwähnt habe. DKIM Dialogue: 0,0:47:35.25,0:47:39.38,Default,,0000,0000,0000,,hatte dieses massive Problem, dass wenn man einfach die Kopfzeilen entfernt, dann hat der Dialogue: 0,0:47:39.38,0:47:43.11,Default,,0000,0000,0000,,Empfänger keine Möglichkeit zu wissen, ob DKIM an erster Stelle stehen sollte. Wenn Sie Dialogue: 0,0:47:43.11,0:47:49.38,Default,,0000,0000,0000,,DKIM zusammen mit DMARC verwenden, ist das Problem behoben, denn DMARC gibt nur Dialogue: 0,0:47:49.38,0:47:55.27,Default,,0000,0000,0000,,an, dass Sie DMARC selbst haben. Das bedeutet, dass Sie automatisch mindestens Dialogue: 0,0:47:55.27,0:47:59.22,Default,,0000,0000,0000,,eines von SPF oder DKIM passieren sollte. Also hat DKIM als Maßnahme das Problem Dialogue: 0,0:47:59.22,0:48:03.58,Default,,0000,0000,0000,,automatisch gelöst. Die andere Sache, die sich ändert, ist die Änderung Semantik für SPF. Dialogue: 0,0:48:03.58,0:48:08.60,Default,,0000,0000,0000,,Falls Sie nun beide, SPF und DMARC haben, könnte SPF gegen die "Von" Kopfzeile sein. Dialogue: 0,0:48:08.60,0:48:13.15,Default,,0000,0000,0000,,Wie ich schon anmerkte, war das die größte Schwachstelle von SPF, denn wenn Sie selbst Dialogue: 0,0:48:13.15,0:48:17.32,Default,,0000,0000,0000,,SPF selbst verwenden, war es sogar der Hard-to-Fail-Modus usw. Das bedeutet, dass Dialogue: 0,0:48:17.32,0:48:21.44,Default,,0000,0000,0000,,Angreifer die "Von" Kopfzeilen immer noch modifizieren können und der Empfänger wird Dialogue: 0,0:48:21.44,0:48:26.71,Default,,0000,0000,0000,,es nicht besser wissen. Ein minimales Beispiel für DMARC ist also wirklich sehr, sehr klein. Dialogue: 0,0:48:26.71,0:48:31.21,Default,,0000,0000,0000,,Und ich denke, es ist einfach zu verstehen. Sie haben gerade eine DMARC Ablehnung. Sie müssen Dialogue: 0,0:48:31.21,0:48:36.89,Default,,0000,0000,0000,,die richtige Stelle für die Angabe herausfinden. Aber es ist einfach und alles, was Sie tun müssen, ist Dialogue: 0,0:48:36.89,0:48:40.74,Default,,0000,0000,0000,,diesen einen DNS-Eintrag zu erstellen. Und der Vorteil davon bestseht darin, wenn Sie DKIM Dialogue: 0,0:48:40.74,0:48:46.19,Default,,0000,0000,0000,,und DMARC nicht haben, wenn Sie es erstellt haben. Sorry, falls Sie DKIM nicht haben, aber Sie Dialogue: 0,0:48:46.19,0:48:50.68,Default,,0000,0000,0000,,haben DMARC erstellt. Das bedeutet, dass diese Domain keine E-Mails senden soll. Dialogue: 0,0:48:50.68,0:48:57.55,Default,,0000,0000,0000,,Denn der Empfänger sieht eine E-Mail als gültig an, sollte mindestens SPF oder DKIM gültig Dialogue: 0,0:48:57.55,0:49:02.28,Default,,0000,0000,0000,,sein. Wenn dies nicht der Fall ist, können sie nicht gültig sein. Das bedeutet also, dass die Dialogue: 0,0:49:02.28,0:49:07.48,Default,,0000,0000,0000,,meisten Domains da draußen darüber nachdenken sollten, die DMARC zu aktivieren. Dialogue: 0,0:49:07.48,0:49:15.47,Default,,0000,0000,0000,,Das ist genau das Richtige. OK. Es gibt noch mehr Stichworte. Die DMARC-Datensätze könnten viel Dialogue: 0,0:49:15.47,0:49:22.02,Default,,0000,0000,0000,,länger sein, aber es ist für die Penetratrionstester nicht von großem Nutzen. Dialogue: 0,0:49:22.02,0:49:26.01,Default,,0000,0000,0000,,So, ein wichtiger Teil hier ist wieder die Richtlinie, die diese drei Werte annehmen kann: Dialogue: 0,0:49:26.01,0:49:31.18,Default,,0000,0000,0000,,"keine", "Quarantäne" und "Ablehnung".Und wenn es "Quarantäne" ist, bedeutet das, Dialogue: 0,0:49:31.18,0:49:39.11,Default,,0000,0000,0000,,dass die Nachricht im Falle eines Fehlers, im Spam-Ordner landen sollte. Dialogue: 0,0:49:39.11,0:49:42.62,Default,,0000,0000,0000,,Wenn es "Ablehnung" ist, sollte sie direkt abgewiesen werden. Und wenn es "keine" ist, bedeutet es, Dialogue: 0,0:49:42.62,0:49:47.96,Default,,0000,0000,0000,,dass sie sich im Test-Modus befindet. Und das ist das Bild, das ich vorher gezeigt habe. Dialogue: 0,0:49:47.96,0:49:52.40,Default,,0000,0000,0000,,Es zeigt dass, obwohl DMARC die wirklich beste Technologie unter diesen 3 Technologien ist. Dialogue: 0,0:49:52.40,0:49:59.66,Default,,0000,0000,0000,,Sie ist nicht wirklich weit verbreitet. Unglücklicherweise für die Befürworter. Dialogue: 0,0:49:59.66,0:50:05.07,Default,,0000,0000,0000,,Eine ganz nette Tasche für alle Penetrationstester da draußen. Das bedeutet, dass man Dialogue: 0,0:50:05.07,0:50:14.55,Default,,0000,0000,0000,,tatsächlich die meisten E-Mails da draußen fälschen kann. Okay. Wie können wir das umgehen? Dialogue: 0,0:50:14.55,0:50:18.48,Default,,0000,0000,0000,,Was passiert, wenn jemand DMARC implementiert hat? Können Penetrationstester nun nichts tun? Dialogue: 0,0:50:18.48,0:50:23.53,Default,,0000,0000,0000,,nichts tun? Sie müssen nicht einmal Nachforschungen anstellen? Dialogue: 0,0:50:23.53,0:50:29.04,Default,,0000,0000,0000,,Nein, das ist nicht nötig. Also in der Praxis, wenn jemand sowohl DKIM als auch DMARC Dialogue: 0,0:50:29.04,0:50:33.86,Default,,0000,0000,0000,,implementiert hat, aber nicht SPF, also hat er nur zwei davon. Das ist wirklich eine coole Kombination. Dialogue: 0,0:50:33.86,0:50:38.47,Default,,0000,0000,0000,,DKIM ist sehr leistungsstark und DMARC behebt den Mangel. Das ist cool in der Theorie. Dialogue: 0,0:50:38.47,0:50:44.68,Default,,0000,0000,0000,,In der Praxis besteht das Problem darin, statt ihre eigenen E-Mails zu schützen, sollte die Dialogue: 0,0:50:44.68,0:50:49.75,Default,,0000,0000,0000,,Empfängerseite sowohl DKIM, als DMARC validieren. Unglücklicherweise tut dies eine Dialogue: 0,0:50:49.75,0:50:53.93,Default,,0000,0000,0000,,ganze Menge von Software immer noch nicht Eine solche Software ist Microsoft Exchange. Dialogue: 0,0:50:53.93,0:50:57.92,Default,,0000,0000,0000,,Und selbst wenn Sie nicht mit Microsoft Exchange arbeiten, stehen die Chancen gut, dass Dialogue: 0,0:50:57.92,0:51:02.05,Default,,0000,0000,0000,,einige der Partner, mit denen Sie kommunizieren, Microsoft Exchange ausführen. Dialogue: 0,0:51:02.05,0:51:05.70,Default,,0000,0000,0000,,Und standardmäßig gibt es keine Funktion zu DKIM. Dialogue: 0,0:51:05.70,0:51:12.62,Default,,0000,0000,0000,,Die meisten Systeme müssen tatsächlich SPF immer noch aus praktischen Gründen aktivieren. Dialogue: 0,0:51:12.62,0:51:16.61,Default,,0000,0000,0000,,Das ist gut für Penetrationstester. Wenn SPF und DMARC standardmäßig zusammen Dialogue: 0,0:51:16.61,0:51:21.50,Default,,0000,0000,0000,,aktiviert sind, dann behebt das wiederum eines der Hauptprobleme mit SPF, aber Dialogue: 0,0:51:21.50,0:51:25.86,Default,,0000,0000,0000,,es behebt nicht automatisch andere Probleme, weil nicht genug Potential für Fehlkonfigurationen Dialogue: 0,0:51:25.86,0:51:32.12,Default,,0000,0000,0000,,da ist. So. Und die interessante Tatsache ist, dass DMARC nur fordert, dass eine der anderen Dialogue: 0,0:51:32.12,0:51:37.97,Default,,0000,0000,0000,,Technologien SPF oderDKIM mitgegeben wird, um die E-Mail als gültig zu sehen. Dialogue: 0,0:51:37.97,0:51:42.75,Default,,0000,0000,0000,,Es gibt in DMARC keine Möglichkeit anzugeben, dass beide gültig sein sollen, oder dass DKIM Dialogue: 0,0:51:42.75,0:51:45.68,Default,,0000,0000,0000,,dem SPF vorgezogen werden soll, obwohl es viele andere Sektoren gibt. Dialogue: 0,0:51:45.68,0:51:50.02,Default,,0000,0000,0000,,In der Praxis bedeutet dies, dass die meisten Systeme alle drei aktivieren, Dialogue: 0,0:51:50.02,0:51:54.95,Default,,0000,0000,0000,,was eine gute praktische Lösung von Seiten der Penetrationstester ist. Dialogue: 0,0:51:54.95,0:51:59.85,Default,,0000,0000,0000,,Wir ignorieren DKIM komplett und konzentrieren uns nur auf SPF, was das schwächste Glied in Dialogue: 0,0:51:59.85,0:52:05.17,Default,,0000,0000,0000,,dieser Situation ist. Okay. Also nur eine Minute für Rekapitulation. Dialogue: 0,0:52:05.17,0:52:11.56,Default,,0000,0000,0000,,Ich bin nicht sicher, ob ich noch mehr Zeit habe. Viel Zeit habe ich nicht. Okay. Dialogue: 0,0:52:11.56,0:52:17.14,Default,,0000,0000,0000,,Okay. Entschuldigung. Yeah. Ein wirklich wichtiger Hinweis ist, wenn man die Systeme testet, Dialogue: 0,0:52:17.14,0:52:22.27,Default,,0000,0000,0000,,dass beide Szenarien berücksichtigt werden sollen. Konzentrieren Sie sich also nicht Dialogue: 0,0:52:22.27,0:52:27.60,Default,,0000,0000,0000,,nicht nur auf das Senden. Wenn es um das Testen von Alice geht, ist Alice die Organisation, die Ihr Dialogue: 0,0:52:27.60,0:52:33.57,Default,,0000,0000,0000,,Kunde ist. Konzentrieren Sie sich nicht nur auf das Testen von E-Mails, die als Alice versendet Dialogue: 0,0:52:33.57,0:52:38.67,Default,,0000,0000,0000,,werden, sondern auch auf die andere Seite. Denn es ist einfach, z.B. SPF und DMARC zu Dialogue: 0,0:52:38.67,0:52:43.96,Default,,0000,0000,0000,,implementieren, denn für beide brauchen Sie nur eine DNS-Konfiguration. Gerade eine für Dialogue: 0,0:52:43.96,0:52:48.78,Default,,0000,0000,0000,,jede. Aber sie zu testen, sie richtig zu validieren ist schwieriger. Dialogue: 0,0:52:48.78,0:52:52.64,Default,,0000,0000,0000,,Zunächst benötigen Sie die Software-Unterstützung, die man richtig konfigurieren muss. Dialogue: 0,0:52:52.64,0:52:56.58,Default,,0000,0000,0000,,In der Praxis könnte es sein, dass viele Organisationen, die DMARC oder SPF auf der Dialogue: 0,0:52:56.58,0:53:01.50,Default,,0000,0000,0000,,DNS-Seite für ausgehende E-Mailsaktiviert haben, es nicht richtig validieren. Dialogue: 0,0:53:01.50,0:53:07.96,Default,,0000,0000,0000,,Yeah Okay. Sorry ich habe keine Zeit dafür. Dialogue: 0,0:53:07.96,0:53:16.01,Default,,0000,0000,0000,,Das wars. Sorry. Vielleicht einige Fragen. Dialogue: 0,0:53:16.01,0:53:24.60,Default,,0000,0000,0000,,Applaus Dialogue: 0,0:53:24.60,0:53:29.72,Default,,0000,0000,0000,,Herald: Danke Andrew für diesen schönen Vortrag. Natürlich haben wir Zeit für ein paar Fragen. Dialogue: 0,0:53:29.72,0:53:33.84,Default,,0000,0000,0000,,Ich sehe schon eine Person. Mikrophon Nr.2 Dialogue: 0,0:53:33.84,0:53:40.15,Default,,0000,0000,0000,,M2: Hey, vielen Dank. Kennen Sie einige gute Tools zur Überwachung von DMARC- Dialogue: 0,0:53:40.15,0:53:44.34,Default,,0000,0000,0000,,Berichten, die ich von meinen Empfängern bekommen habe? A: Yeah. Das ist eine wirklich gute Dialogue: 0,0:53:44.34,0:53:49.94,Default,,0000,0000,0000,,Frage. Wir als CERT empfehlen jedem, dies zu aktivieren. Aber leider sammeln alle Tools, die im Dialogue: 0,0:53:49.94,0:53:55.19,Default,,0000,0000,0000,,Internet verbreitet sind, einige Daten über Sie. Dialogue: 0,0:53:55.19,0:53:59.67,Default,,0000,0000,0000,,Sie verwenden diese für Marketingzwecke. Dialogue: 0,0:53:59.67,0:54:04.41,Default,,0000,0000,0000,,Das ist nicht gut für Ihre Privatsphäre. Dialogue: 0,0:54:04.41,0:54:07.88,Default,,0000,0000,0000,,Wenn Sie darüber besorgt sind, müssen Sie selbst etwas implementieren oder Dialogue: 0,0:54:07.88,0:54:12.18,Default,,0000,0000,0000,,Sie müssen vielleicht ein Open-Source-Projekt starten. Herald: OK, Mikrophone Nr. 1 Dialogue: 0,0:54:12.18,0:54:16.43,Default,,0000,0000,0000,,M1: Danke für das gute Gespräch. Ich würde mich selbst als Administrator bezeichnen. Dialogue: 0,0:54:16.43,0:54:23.61,Default,,0000,0000,0000,,Mir wird geraten, den SPF-Eintrag zu kürzen, denn wenn er zu lang ist, wird er gelöscht. Dialogue: 0,0:54:23.61,0:54:28.86,Default,,0000,0000,0000,,Daher bekomme ich den Rat, den PTR-Eintrag zu löschen. Dialogue: 0,0:54:28.86,0:54:34.93,Default,,0000,0000,0000,,Aber in Ihrem Vortrag sagen Sie, dass er für Revers-DNS-Überprüfung nützlich ist, Dialogue: 0,0:54:34.93,0:54:39.55,Default,,0000,0000,0000,,was ich auch auch für nützlich halte. Dialogue: 0,0:54:39.55,0:54:42.92,Default,,0000,0000,0000,,Wie stehen Sie zu Verkürzung Ihres SPF und zum PTR-Datensatz im Allgemeinen? Dialogue: 0,0:54:42.92,0:54:47.53,Default,,0000,0000,0000,,A. Das hängt vom jeweiligen Anwendungsfall ab. Es kann sein, dass einige Dialogue: 0,0:54:47.53,0:54:51.23,Default,,0000,0000,0000,,Organisationen tatsächlich diesen langen SPF benötigen und daran Dialogue: 0,0:54:51.23,0:54:55.80,Default,,0000,0000,0000,,führt kein Weg vorbei. Was Sie tun können, ist, dieses Include einzuschließen. Verwenden Sie Dialogue: 0,0:54:55.80,0:55:01.48,Default,,0000,0000,0000,,Includes, da diese nicht vorhanden sind. Sie sind keine Macros, sie werden nicht erweitert. Dialogue: 0,0:55:01.48,0:55:07.76,Default,,0000,0000,0000,,Überlegen Sie, ob Sie wirklich so viele Datensätze brauchen, die so lang sind. Dialogue: 0,0:55:07.76,0:55:12.12,Default,,0000,0000,0000,,Häufige Probleme darin, sofern Sie nicht Google oder etwas Ähnliches verwenden, Dialogue: 0,0:55:12.12,0:55:16.97,Default,,0000,0000,0000,,benötigen Sie einen so langen SPF nicht wirklich. Dialogue: 0,0:55:16.97,0:55:20.50,Default,,0000,0000,0000,,Es ist wahrscheinlich ein Problem mit einigen. Dialogue: 0,0:55:20.50,0:55:26.66,Default,,0000,0000,0000,,Ja genau. Es ist wahrscheinlich ein Fehler bei den meisten Organisationen. Dialogue: 0,0:55:26.66,0:55:36.49,Default,,0000,0000,0000,,Herald: OK. Nun, sehr. Nur ganz kurz. Dialogue: 0,0:55:36.49,0:55:40.50,Default,,0000,0000,0000,,Nummer 1. M1: Aber auf der PTI-Rocker-Platte habe ich gehört, dass es mich dramatisch unter Dialogue: 0,0:55:40.50,0:55:43.49,Default,,0000,0000,0000,,den Standards gelandet ist. Aber sie ist nicht in den Standards enthalten . Dialogue: 0,0:55:43.49,0:55:48.86,Default,,0000,0000,0000,,A: Er ist im Standard. Nein. Der PTR-Eintrag selbst ist, wenn es wirklich Ihr Anwendungsfall ist. Dialogue: 0,0:55:48.86,0:55:53.60,Default,,0000,0000,0000,,Ich bin mir nicht bewusst, dass er automatisch irgendwo abgelegt wird. Müsste kein Problem sein. Dialogue: 0,0:55:53.60,0:55:56.38,Default,,0000,0000,0000,,Herald: Wir haben ein Menge weiterer Fragen hier. Dialogue: 0,0:55:56.38,0:55:59.35,Default,,0000,0000,0000,,Nummer 6, ganz, ganz hinten. Dialogue: 0,0:55:59.35,0:56:07.42,Default,,0000,0000,0000,,M6: Danke für Ihren Vortrag. Das hängt zwar nicht direkt damit zusammen, aber es könnt. Dialogue: 0,0:56:07.42,0:56:13.80,Default,,0000,0000,0000,,Falls der Mailserver DKIM, DKARC und SPF akzeptiert, ist alles in Ordnung. Aber vor allem bei Dialogue: 0,0:56:13.80,0:56:18.78,Default,,0000,0000,0000,,Google wird die E-Mail bei vielen Organisationen zugestellt, aber als Spam eingestuft. Dialogue: 0,0:56:18.78,0:56:24.09,Default,,0000,0000,0000,,Das bedeutet, dass Sie im Posteingang des Empfängers nicht angezeigt wird. Dialogue: 0,0:56:24.09,0:56:28.07,Default,,0000,0000,0000,,Haben Sie eine Lösung, um diese Problem gegen Google zu lösen? Dialogue: 0,0:56:28.07,0:56:33.63,Default,,0000,0000,0000,,A. Ja, Ok. Also, ich habe verschiedene Meinungen darüber, denn eine Sache, die tatsächlich Dialogue: 0,0:56:33.63,0:56:38.79,Default,,0000,0000,0000,,ermöglicht, was wir eigentlich tun sollten, ist, dass Sie so streng sind. Vielen Dank Google. Dialogue: 0,0:56:38.79,0:56:42.86,Default,,0000,0000,0000,,Denn das ist der einzige Grund, warum wir überhaupt einen hohen Prozentsatz Dialogue: 0,0:56:42.86,0:56:47.88,Default,,0000,0000,0000,,von SPF haben, der selbst falsch konfiguriert ist. Der einzige Grund, warum 70% Webseiten SPF Dialogue: 0,0:56:47.88,0:56:52.83,Default,,0000,0000,0000,,verwenden, ist, dass sie mit Google kommunizieren müssen. Und Google wird Ihre E-Mail Dialogue: 0,0:56:52.83,0:56:56.69,Default,,0000,0000,0000,,nicht akzeptieren, wenn SPF nicht auf der Grundlinie ist. So. Dialogue: 0,0:56:56.69,0:57:04.27,Default,,0000,0000,0000,,Eigentlich macht mir der Job, den ich mache, Spaß. Ich würde es vorziehen, dass Google das tut, Dialogue: 0,0:57:04.27,0:57:09.53,Default,,0000,0000,0000,,was es sagt, Ich verstehe die echten Administratoren, die dieses Problem haben. Google hat das Dialogue: 0,0:57:09.53,0:57:15.24,Default,,0000,0000,0000,,Werkzeug. Sie kenne es wahrscheinlich. Hier können Sie überprüfen, was es über Ihre Dialogue: 0,0:57:15.24,0:57:19.32,Default,,0000,0000,0000,,Domain denkt. Sie müssen dieses Problem also von Fall zu Fall prüfen. Dialogue: 0,0:57:19.32,0:57:23.56,Default,,0000,0000,0000,,Oftmals kommt es vor, dass es trotz DKIM,DMARC etc. nicht richtig konfiguriert ist. Dialogue: 0,0:57:23.56,0:57:28.58,Default,,0000,0000,0000,,Also ist es das, was es ist. Darum ging es im Vortrag. Sie haben es. und sie denken vielleicht, dass Sie Dialogue: 0,0:57:28.58,0:57:31.26,Default,,0000,0000,0000,,es richtig konfiguriert haben, aber es bist einige Fehler. Dialogue: 0,0:57:31.26,0:57:35.25,Default,,0000,0000,0000,,Herald: Okay. Geben wir dem Internet den Vorrang. Dialogue: 0,0:57:35.25,0:57:40.17,Default,,0000,0000,0000,,Signal Angel: Wir haben eine Frage aus dem Internet. Wenn wir versuchen, eine Adresse zu Dialogue: 0,0:57:40.17,0:57:43.82,Default,,0000,0000,0000,,überprüfen, wie wird mit E-Mail-Adressen ohne Antwort umgegangen. Dialogue: 0,0:57:43.82,0:57:49.100,Default,,0000,0000,0000,,A. Keine Antwort, Es tut mir leid. Können Sie es bitte noch einmal vorlesen? Dialogue: 0,0:57:49.100,0:57:55.17,Default,,0000,0000,0000,,Signal Angel: Wenn ich versuche, eine E-Mail Adresse zu überprüfen, wie geht man Dialogue: 0,0:57:55.17,0:58:04.53,Default,,0000,0000,0000,,dann mit No-reply-E-Mails um? A: Vielleicht ging es um die No-reply Kopfzeile? Dialogue: 0,0:58:04.53,0:58:10.65,Default,,0000,0000,0000,,Oder nicht vorhandene IP-Adressen? Signal Angel: Wie geht man mit E-Mails um? Dialogue: 0,0:58:10.65,0:58:14.81,Default,,0000,0000,0000,,No-reply-E-mail-Adressen. A: Ich werde versuchen, eine Antwort darauf zu geben, wie ich es Dialogue: 0,0:58:14.81,0:58:21.53,Default,,0000,0000,0000,,verstehe. Was also oft passiert ist, dass die E-Mail von nicht existierenden Adressen Dialogue: 0,0:58:21.53,0:58:25.29,Default,,0000,0000,0000,,gesendet wird. Das war vielleicht die Frage. Die Beispielfrage "keine Antwort" Dialogue: 0,0:58:25.29,0:58:29.79,Default,,0000,0000,0000,,ist nicht das Problem selbst. Keine Antwort. Das Problem ist, dass es sich nicht um eine echte Dialogue: 0,0:58:29.79,0:58:34.34,Default,,0000,0000,0000,,Adresse handelt. Es gibt keine solche Adresse. Richtig. Und deshalb habe ich keine Antwort Dialogue: 0,0:58:34.34,0:58:38.82,Default,,0000,0000,0000,,darauf. Denn laut RFC sollten Sie es praktisch trotzdem akzeptieren. Dialogue: 0,0:58:38.82,0:58:43.63,Default,,0000,0000,0000,,Ich sagte bereits, dass viele Mailsysteme diese Adressen bereits löschen, wenn sie von Dialogue: 0,0:58:43.63,0:58:46.42,Default,,0000,0000,0000,,nicht vorhandenen Adressen senden. Es sei denn, Sie sind Google oder etwas Großes. Dialogue: 0,0:58:46.42,0:58:50.15,Default,,0000,0000,0000,,Dann werden Sie auf die weiße Liste gesetzt. Sie können es einfach nicht tun. Dialogue: 0,0:58:50.15,0:58:54.78,Default,,0000,0000,0000,,Sie können keine E-Mails von einer nicht existierenden Adresse senden. Falls Sie in einer Dialogue: 0,0:58:54.78,0:59:00.31,Default,,0000,0000,0000,,erartigen Situation sind, erstellen Sie die Adresse entfernen Sie alle E-Mails, die dort eintreffen, aber Dialogue: 0,0:59:00.31,0:59:03.64,Default,,0000,0000,0000,,erstellen Sie die echte Adresse, damit Sie akzeptabel sind, wenn Sie auf der anderen Seite sind, Dialogue: 0,0:59:03.64,0:59:08.27,Default,,0000,0000,0000,,und diese E-Mail erhalten. Das hängt von diesem speziellen Anwendungsfall ab. Dialogue: 0,0:59:08.27,0:59:12.10,Default,,0000,0000,0000,,Überprüfen Sie also einfach, was los ist. Wenn Sie sie kontaktieren können, kontaktieren Sie sie. Dialogue: 0,0:59:12.10,0:59:16.22,Default,,0000,0000,0000,,Wenn Sie sie nicht kontaktieren, dann sollten Sie entscheiden, welches Risiko besteht, wenn Sie Dialogue: 0,0:59:16.22,0:59:23.92,Default,,0000,0000,0000,,dieselben Adressen weglassen. Sind sie wichtig für Sie? Laut RFC sollten Sie diese Adressen Dialogue: 0,0:59:23.92,0:59:28.66,Default,,0000,0000,0000,,also erhalten und verarbeiten. Herald: Okay. Mikrophon Nummer 4 bitte. Dialogue: 0,0:59:28.66,0:59:33.04,Default,,0000,0000,0000,,M4: Hey, danke für diesen Vortrag. Kennen Sie die Bemühungen, Probleme mit großen Dialogue: 0,0:59:33.04,0:59:40.63,Default,,0000,0000,0000,,E-mail-Versendern wie Online- Buchhändlern zu lösen, die sehr groß sind, weil sie anscheinend Dialogue: 0,0:59:40.63,0:59:47.45,Default,,0000,0000,0000,,keine eigenen SPF-Datensätze haben, zum Beispiel in der Kontrolle? Dialogue: 0,0:59:47.45,0:59:53.25,Default,,0000,0000,0000,,A: Ja. In vielen Fällen kann man einfach mit ihnen Kontakt aufnehmen. Dialogue: 0,0:59:53.25,0:59:56.71,Default,,0000,0000,0000,,Die Frage, ob sie nicht darüber nachgedacht haben oder ob ihnen vielleicht niemand gesagt hat, was Dialogue: 0,0:59:56.71,1:00:01.77,Default,,0000,0000,0000,,sie tun sollen oder vielleicht wissen sie nicht, wie sie es besser machen sollen. Das stimmt. Dialogue: 0,1:00:01.77,1:00:05.25,Default,,0000,0000,0000,,Das ist also eine der Sachen, die wir als CERT tun. Falls Sie dieses Problem mit einem großen Dialogue: 0,1:00:05.25,1:00:10.62,Default,,0000,0000,0000,,Unternehmen in einem bestimmten Land haben, schlage ich vor, das CERT zu kontaktieren. Dialogue: 0,1:00:10.62,1:00:14.47,Default,,0000,0000,0000,,Auch wenn es sich nicht um eine Regierungsorganisation handelt, zum Beispiel in Lettland, wenn es Dialogue: 0,1:00:14.47,1:00:18.70,Default,,0000,0000,0000,,sich um ein lettisches Unternehmen handelt. Wir würden die Trage vornehmen. Dialogue: 0,1:00:18.70,1:00:21.89,Default,,0000,0000,0000,,Wir würden versuchen mit ihnen zu reden, ihnen zu erklären, warum sie sich ändern müssen Dialogue: 0,1:00:21.89,1:00:26.29,Default,,0000,0000,0000,,und so weiter. Das ist vielleicht eine Möglichkeit für sie. Aber in der Praxis gilt: Wenn etwas für Sie Dialogue: 0,1:00:26.29,1:00:30.06,Default,,0000,0000,0000,,als Dritte als falsche Konfiguration erscheint, kann ich das in diesem Vortrag nicht erwähnen. Dialogue: 0,1:00:30.06,1:00:34.40,Default,,0000,0000,0000,,Wenn etwas nicht perfekt ist, heißt das nicht, dass es falsch ist. Dialogue: 0,1:00:34.40,1:00:39.46,Default,,0000,0000,0000,,Es könnte tatsächlich einen geschäftlichen Grund dafür geben. Richtig. Es ist zum Beispiel so, Dialogue: 0,1:00:39.46,1:00:42.23,Default,,0000,0000,0000,,wenn es sich um ein großes, ich weiß nicht, Amazon oder etwas in der Art handelt, und wenn sie es Dialogue: 0,1:00:42.23,1:00:46.70,Default,,0000,0000,0000,,getestet haben und wissen, dass sie, wenn sie eine sehr strenge Konfiguration haben, dass dann Dialogue: 0,1:00:46.70,1:00:51.70,Default,,0000,0000,0000,,ein gewisser Prozentsatz ihrer E-Mails einfach nicht ankommen. Nicht wegen ihrer Problems, Dialogue: 0,1:00:51.70,1:00:55.76,Default,,0000,0000,0000,,sofern wegen des Problems von jemand anderem. Richtig. Dialogue: 0,1:00:55.76,1:00:59.76,Default,,0000,0000,0000,,Aber dann gibt es tatsächlich einen echten Geschäftsfall, dass sie das nicht tun. Dialogue: 0,1:00:59.76,1:01:04.49,Default,,0000,0000,0000,,Es wäre dumm, wenn sie diese strikte Konfiguration ermöglichen würden, weil sie wissen, dass es Dialogue: 0,1:01:04.49,1:01:08.97,Default,,0000,0000,0000,,ihrem Geschäft schadet. Das macht Sinn, oder? Dialogue: 0,1:01:08.97,1:01:13.48,Default,,0000,0000,0000,,Herald: Okay. Leider läuft die Zeit für diejenigen aus, die an den Mikrofonen sitzen. Bitte stellen Sie Dialogue: 0,1:01:13.48,1:01:17.76,Default,,0000,0000,0000,,sich einfach bei dem Sprecher neben dem Pult auf. Er wird ganz sicher mit Ihnen sprechen. Dialogue: 0,1:01:17.76,1:01:21.20,Default,,0000,0000,0000,,Applaus