< Return to Video

36C3 - Email authentication for penetration testers

  • 0:00 - 0:22
    [Vorspann]
  • 0:22 - 0:29
    So, habt Ihr Euch jemals gefragt, wie man perfekt eine Email testen kann? Dann seid Ihr hier im
  • 0:29 - 0:33
    richtigen Podcast. Wir haben hier unseren nächsten Sprecher. Andrew arbeitet gerade für das
  • 0:33 - 0:41
    Nationale CERT in Lettland. Er ist ein Sicherheitsforscher.
  • 0:41 - 0:50
    Und er wird gleich über E-Mail Fälschungen sprechen und Strategien für modernes Anti-Spoofing..
  • 0:50 - 0:53
    Die Bühne gehört Dir.
  • 0:53 - 1:04
    Applaus
  • 1:04 - 1:14
    Also Grüße. Ich bin Andrew und ich habe für das Lettische National CERT gearbeitet. Eines unserer aktuellen Ziele ist
  • 1:14 - 1:21
    die Verbesserung des Zustands der E-Mail-Sicherheit in unserem Land und
  • 1:21 - 1:26
    das erreichen wir hauptsächlich durch die Erhöhung der Sensibilisierung für dieses Problem und die Vermittlung bewährter Praktiken.
  • 1:26 - 1:31
    Und natürlich sind wir nicht die einzige Organisation, die dies tut.
  • 1:31 - 1:34
    Es gibt viel mehr Gruppen in anderen Ländern und es gibt verschiedene Nichtregierungsorganisationen,
  • 1:34 - 1:39
    die das Gleiche tun. Und konventionelle Einrichtungen.
  • 1:39 - 1:46
    Doch bisher sind, offen gesagt, unsere
    kollektiven Fortschritte ziemlich enttäuschend
  • 1:46 - 1:54
    Daher ist hier zum Beispiel eine Statistik, die die Nutzung einer bestimmten
  • 1:54 - 2:00
    Technologie in Dänemark zeigt, was, wie Sie in diesem Vortrag erfahren werden,
  • 2:00 - 2:07
    ziemlich wichtig ist und ich hoffe, dass jeder diese Technologie verwendet. Auf der linken Seite
  • 2:07 - 2:11
    werden 20.000 Domains weltweit angezeigt, die wichtige Domains sind für
  • 2:11 - 2:16
    wichtige Organisationen, die es eigentlich besser wissen sollten. Und auf der rechten Seite
  • 2:16 - 2:25
    sehen wir die Top 50 der TOP 500 EU-Einzelhändler und in beiden Gruppen haben 2/3
  • 2:25 - 2:30
    DMARC bisher nicht einmal konfiguriert. Und von denen, die die Mehrheit konfiguriert haben,
  • 2:30 - 2:36
    haben nicht keine strengen Richtlinien aktiviert. Wenn es also nur eine wichtige Erkenntnis aus
  • 2:36 - 2:41
    diesem Vortrag gibt, hoffe ich, dass jeder damit beginnen sollte, DMARC zu verwenden. Es ist
  • 2:41 - 2:49
    wichtig, es auch für Domains zu verwenden, die keine E-Mails senden sollen. Eine Erklärung
  • 2:49 - 2:57
    für diese niedrige Akzeptanzrate ist meiner Meinung nach, dass es anscheinend zu viele
  • 2:57 - 3:04
    konkurrierende Technologien gibt. Das ist der Inhalt meines Vortrags. Und ich habe wirklich
  • 3:04 - 3:12
    mein Bestes gegeben, um ihn einzuschränken. Aber wie Sie sehen, gibt es 3 Abkürzungen, also
  • 3:12 - 3:19
    und SMTP und außerdem SPF, DKIM und DMARC, an deren Namen ich mich
  • 3:19 - 3:26
    nicht einmal erinnere. Aber trotzdem sind sie alle wichtig. Und natürlich dieses Problem, dass
  • 3:26 - 3:29
    es zu viele Schlagworte gibt, zu viele Technologien, und es ist nicht klar
  • 3:29 - 3:35
    welche wir davon verwenden sollten, das ist nicht spezifisch für E-Mails. Und wir haben dies
  • 3:35 - 3:40
    in der ganzen Branche und als Sicherheitsbranche denke ich, dass wir
  • 3:40 - 3:48
    inzwischen mindestens einen Weg gefunden haben , das Problem zu lösen. Und zwar mit Hilfe von
  • 3:48 - 3:53
    Penetrationstests. Also wenn der Penetrationstest richtig durchgeführt werden
  • 3:53 - 3:58
    und die Ergebnisse veröffentlicht werden, können wir mit dem Gespräch beginnen. Wir
  • 3:58 - 4:04
    können das Gespräch darüber führen, ob Ihre Organisation Technologie A oder B bevorzugt,
  • 4:04 - 4:10
    oder wir können stattdessen die Fragen beantworten, die wirklich wichtig sind, wie:
  • 4:10 - 4:15
    Ist es möglich, dass jemand für eine 3. Person die E-Mails ihrer Organisation fälscht und
  • 4:15 - 4:21
    solche E-Mail zum Beispiel an Ihre Kunden oder Ihre Partner oder an Medienorganisationen so
  • 4:21 - 4:25
    versendet, dass diese denken, dass die E-Mails wirklich von Ihrer Organisation
  • 4:25 - 4:32
    stammt? Deshalb sind Penetrationstester die wichtigste Zielgruppe für diesen Vortrag.
  • 4:32 - 4:36
    Ich hoffe jedoch, dass alle Blue-Teamer im Publikum diesen
  • 4:36 - 4:41
    Vortrag interessant finden. Ich bin sicher, dass Sie bereits alle Grundlagen über die
  • 4:41 - 4:44
    E-Mail und über diese Technologien kennen, aber wenn man das Problem aus den
  • 4:44 - 4:50
    verschiedenen Perspektiven des Angreifers betrachtet, kann man die Dinge ins rechte Licht
  • 4:50 - 4:55
    rücken. Es kann Ihnen helfen zu verstehen, worauf Sie sich beim Schutz Ihrer Umwelt
  • 4:55 - 5:01
    konzentrieren sollten. Und schließlich das SMTP Protokoll. Die Technologie, die in unseren
  • 5:01 - 5:08
    E-Mail-Konversationen steckt, ist eigentlich relativ leicht zu verstehen.
  • 5:08 - 5:14
    Und auch die Lehren, die man daraus gezogen hat. Diese Entwicklung von SMTP, wie es wurde
  • 5:14 - 5:21
    und wie es möglich ist, es zu fälschen, und all die Technologien, die versuchen,
  • 5:21 - 5:28
    Spoofing zu verhindern. Ich denke, es ist eine interessante Fallstudie und es sollte auch für
  • 5:28 - 5:34
    solche Leute interessant sein sie zu verfolgen, die neu im E-Mail-Bereich sind. Nun final zur
  • 5:34 - 5:41
    Bedrohungslandschaft. E-Mail Sicherheit ist ein ziemlich umfangreicher Themenbereich. Heute
  • 5:41 - 5:48
    werde ich mich auf einen kleinen Teil fokussieren. Dieser ist das erfolgreiche
  • 5:48 - 5:55
    Spoofing von E-Mails, also Manipulationsattacken. Ich weiß, dass viele Pentrationstester bereits teilweise
  • 5:55 - 6:01
    Phishing oder Spear-Phishing-Emulation in ihre Arbeiten einbeziehen. So viel ich weiß, tun sie
  • 6:01 - 6:07
    dies meist aus der Social-Engineering-Perspektive, indem sie beispielsweise Tools wie
  • 6:07 - 6:13
    das Social-Engineering-Toolkit verwenden und ich möchte nicht behaupten, dass es wichtig ist,
  • 6:13 - 6:17
    dies zu tun und dem Kunden zu zeigen, welche Risiken in dieser Hinsicht bestehen. Ich denke
  • 6:17 - 6:24
    jedoch, dass Sie mit Social Engineering dem Kunden einen Dienst erweisen, wenn dies das
  • 6:24 - 6:28
    Einzige ist, was Sie aus der E-Mail-Perspektive testen, denn aus der Perspektive der Kunden,
  • 6:28 - 6:33
    beispielsweise von Managern, die Ihre Berichte lesen, erwähnen Sie dann nur Social-
  • 6:33 - 6:39
    Engineering-Angriffe. Die logische Schlussfolgerung ist, dass der beste Weg, diese
  • 6:39 - 6:45
    Bedrohungen einzudämmen. darin besteht, Ihr Personal zu schulen, insbesondere diejenigen,
  • 6:45 - 6:52
    die am wenigsten technisch versiert sind, wie dies in diesem Vortrag zu sehen ist.
  • 6:52 - 6:55
    Es gibt ziemlich viele Angriffe und viele Organisationen sind anfällig für diese Angriffe.
  • 6:55 - 7:00
    Und hier hilft auch keine noch so große Benutzerschulung, denn wir können von den
  • 7:00 - 7:04
    Benutzer nicht erwarten, dass sie beispielsweise die Kopfzeilen manuell
  • 7:04 - 7:11
    überprüfen. Deshalb müssen wir unsere E-Mail-Infrastruktur tatsächlich verbessern. Daran
  • 7:11 - 7:17
    führt kein Weg vorbei. Bevor wir uns schließlich den eigentlich technischen Dingen zuwenden,
  • 7:17 - 7:22
    gibt es noch ein kleines Geheimnis. Ich denke, es könnte Leute helfen zu verstehen , die nicht
  • 7:22 - 7:28
    in der E-Mail-Branche arbeiten, warum wir solche Probleme haben, und für E-Mail-
  • 7:28 - 7:38
    Administratoren, die in der Vergangenheit die Verfügbarkeit ihres Systems und die
  • 7:38 - 7:45
    Zuverlässigkeit viel mehr schätzten, als die Sicherheit. Und das liegt daran, dass das keine
  • 7:45 - 7:50
    ideologische Entscheidung ist. Es ist eine sehr pragmatische. Wenn Sie also beispielsweise
  • 7:50 - 7:56
    ein E-Mail-Administrator in einer Organisation sind und einige ihrer Kunden keine Rechnungen
  • 7:56 - 8:01
    mehr erhalten, wird Ihr Management Sie finden, sie darüber informieren und Sie freundlich
  • 8:01 - 8:06
    bitten, das Problem so schnell wie möglich zu beheben, auch wenn es nicht Ihre Schuld ist.
  • 8:06 - 8:14
    Es könnte sein, dass das Problem möglicherweise auf einer anderen Seite liegt,
  • 8:14 - 8:20
    nicht auf Ihrem Server. Ein anderes Beispiel ist, dass Sie, dass einige Ihrer Mitarbeiter bald
  • 8:20 - 8:25
    keine E-Mails mehr empfangen können, oder E-Mails nicht früh genug erhalten, um das
  • 8:25 - 8:30
    Passwort wiederherzustellen oder um die E-Mail zu verifizieren oder ein
  • 8:30 - 8:34
    Mehrfaktor-Authentifizierungs-Token zu verwenden und sie können sich bei einigen
  • 8:34 - 8:40
    wichtigen Systeme nicht mehr einloggen. Dann müssen Sie das lösen. Aber wenn Ihr System
  • 8:40 - 8:46
    Sicherheitslücken hat, wenn es für Spoofing-Angriffe und so weiter anfällig ist, dann wird es
  • 8:46 - 8:51
    normalerweise weder den Anwendern, noch dem Management auffallen. Aber Sie haben
  • 8:51 - 8:56
    diese Schwachstelle. Deshalb sind Penetrationstester natürlich wichtig. Okay.
  • 8:56 - 9:01
    Jetzt können wir endlich anfangen, über die Technik zu sprechen. Wir starten mit der
  • 9:01 - 9:07
    kurzen Einführung in das SMTP-Protokoll. SMTP ist das Protokoll, das der gesamten E-Mail-
  • 9:07 - 9:12
    Kommunikation zugrunde liegt und es ist ziemlich einfach zu befolgen. Hier ist also
  • 9:12 - 9:18
    ein Datenfluss, der zeigt, was passiert, wenn eine Person E-Mails an eine andere Person
  • 9:18 - 9:21
    sendet. Zum Bespielt sendet Alice an Bob und sie arbeiten für unterschiedliche Unternehmen.
  • 9:21 - 9:25
    Sie verwenden unterschiedliche Domains. Was also passiert ist, dass beide sagen würden
  • 9:25 - 9:29
    benutze E-Mail-Clients wie Outlook oder Thunderbird. Alice sendet E-Mails. Sie geht
  • 9:29 - 9:35
    über dieses Protokoll SMTP an Alices Mail-Server. Wichtig ist aber zu beachten dass dies
  • 9:35 - 9:42
    ein Server für ausgehende E-Mails ist. Üblicherweise verfügen Organisationen über
  • 9:42 - 9:45
    2 Arten von Diensten, einen für eingehende und Transaktionen und einen für ausgehenden.
  • 9:45 - 9:49
    Und auch für kleine Organisationen kann es einer sein, aber auch hier ist es für
  • 9:49 - 9:52
    Penetrationstester wichtig, sich dies als unterschiedliche Systeme vorzustellen. Denn
  • 9:52 - 9:57
    selbst wenn es physisch ein einziger Computer ist, wird er eine unterschiedliche Konfiguration
  • 9:57 - 10:01
    für ausgehende und eingehende E-Mails haben. Als Penetrationstester müssen Sie also
  • 10:01 - 10:05
    überprüfen, ob beide in Ordnung sind. Wenn Alices Server nun versucht, E-Mails an Bobs
  • 10:05 - 10:12
    Server zu senden, gibt es eine Art von Problem, das darin besteht, dass der Server irgendwie
  • 10:12 - 10:16
    automatisch den richtigen Server zum Versenden von E-Mails finden muss. Dies
  • 10:16 - 10:25
    geschieht über diese blaue Box MX und DNS-spezfischen MX typen.
  • 10:25 - 10:30
    Das ist also etwas, das von Bobs Organisation gepflegt wird,
  • 10:30 - 10:35
    Bobs Organisation wird also, wenn sie E-Mails erhalten möchten, diesen DNS-Eintrag erstellen.
  • 10:35 - 10:39
    Und ich sage: Okay, wenn Sie uns eine E-Mail senden möchten, benutzen Sie bitte diesen
  • 10:39 - 10:44
    speziellen Server. Es sollte also auf Bobs verwiesen werden. Und jetzt kann Alices
  • 10:44 - 10:51
    Ausgangsserver, der die eingehende Serveradresse von Bob kennt, mit diesem
  • 10:51 - 10:55
    kommunizieren und Bob wird später seine E-Mail erhalten. Wir als Penetrationstester
  • 10:55 - 11:00
    versuchen eigentlich, zwischen dem Server von Alice und dem von Bob zu vermitteln. Dann
  • 11:00 - 11:04
    müssen wir über das 2. Beispiel nachdenken, das umgekehrt ist. Sie denken vielleicht, dass
  • 11:04 - 11:07
    es sich um ein sinnloses Beispiel handelt, weil wir im Grunde nur die Richtung des
  • 11:07 - 11:11
    Datenverkehrs ändern. Aber das Wichtigste hier ist, dass wir als Penetrationstester verstehen,
  • 11:11 - 11:17
    dass unser Kunde nur einen Teil der Transaktion kontrolliert. Falls unser Kunde,
  • 11:17 - 11:21
    sagen wir mal, für den Rest dieser Präsentation Alice oder Alices Organisation ist,
  • 11:21 - 11:27
    dann werden im 2. Beispiel, wenn wir eine E-Mail von Bob an Alice senden, nur E-Mails
  • 11:27 - 11:35
    gesendet. Grundsätzlich läuft ein Teil dieser Transaktion im 1. Beispiel über Alices Server.
  • 11:35 - 11:41
    Wenn wir E-Mails von Alice an Bob senden, wäre dies nicht der Fall. Wenn es also etwas
  • 11:41 - 11:46
    verwirrend ist, ist das in Ordnung. Wir werden etwas später darauf zurückkommen. Und
  • 11:46 - 11:52
    schließlich gibt es noch ein 3. Beispiel, das ähnlich, aber nicht ganz so aussieht. Und zwar
  • 11:52 - 11:56
    nur, wenn Alice kommuniziert. Alice ist unser Kunde. Und wenn sie mit ihren Kollegen
  • 11:56 - 12:01
    kommuniziert, die in der gleichen Organisation sind, denselben E-Mail-Server und die gleiche
  • 12:01 - 12:04
    Domain haben, wird es in diesem Beispiel logischerweise 2 E-Mail-Server geben, ein
  • 12:04 - 12:09
    Ausgangsserver und ein Eingangsserver.
  • 12:09 - 12:16
    Aber beide gehören unserem Kunden. Also können Sie im Moment, wenn Sie sich mit
  • 12:16 - 12:20
    E-Mail nicht auskennen, versuchen darüber nachzudenken, welche dieser 3 Szenarien
  • 12:20 - 12:28
    leichter zu schützen sind. Später werden wir sehen, sie es tatsächlich abläuft. Okay.
  • 12:28 - 12:32
    Dann müssen wir uns ansehen, was tatsächlich gesendet wird, wenn eine E-Mail versandt wird.
  • 12:32 - 12:38
    Also noch einmal, es wird das SMTP-Protokoll verwendet und es ist ein wirklich gutes
  • 12:38 - 12:45
    Protokoll. Wie Sie sehen können, handelt es sich nur um Text. Es handelt sich also um ein
  • 12:45 - 12:48
    reines Textprotokoll und es ist sehr einfach zu bedienen, weil man einfach eine Telnet-
  • 12:48 - 12:54
    Verbindung zum richtigen Server öffnet und man versuchen kann, die Befehle einfach mit
  • 12:54 - 12:59
    den Händen aufzuschreiben. Um zu versuchen, etwas zu zerstückeln oder zu modifizieren, oder
  • 12:59 - 13:05
    zu versuchen, verschiedene Typen auszuprobieren und in Echtzeit zu sehen, wie
  • 13:05 - 13:11
    es weitergeht. Auf der linken Seiten sehen wir hier also 2 Teile, die durch SMTP definiert sind.
  • 13:11 - 13:15
    Als erstes kommt der SMTP-Umschlag, den Sie im Grund mit dem Server verbinden. Sagen Sie
  • 13:15 - 13:22
    "Hallo". Dann sagen Sie, was der Absender der E-Mail und der Empfänger der E-Mail
  • 13:22 - 13:27
    angegeben haben. "Mail von" ist der Absender. Empfänger ist zum Beispiel Bob. Und dann
  • 13:27 - 13:32
    beginnt der 2. Teil mit Daten und endet mit "Beenden". Und das ist der Teil, der sich
  • 13:32 - 13:35
    Inhalt/Nachricht nennt. Wenn Sie also ein bisschen damit herumspielen wollen, wird dies
  • 13:35 - 13:38
    durch einen anderen Standard definiert, der für Penetrationstester nicht so wichtig ist. Aber
  • 13:38 - 13:44
    wenn Sie sich die Details ansehen möchten, dann könnte es wichtig sein. Und diese interne
  • 13:44 - 13:49
    Nachricht, die entweder Inhalt oder SMTP genannt wird, enthält wiederum 2. Teile. Der
  • 13:49 - 13:53
    eine Teil ist die Kopfzeile und der andere der Hauptteile. Und ich denke, dass einige Leute
  • 13:53 - 13:58
    vielleicht nicht mit der E-Mail vertraut sind, aber wahrscheinlich ist jeder Zuhörer mit HTTP
  • 13:58 - 14:03
    vertraut und das sieht ganz ähnlich aus. Also leicht zu verstehen. Aber der interessante Teil
  • 14:03 - 14:09
    ist, dass sie vielleicht bemerkt haben, dass wir
  • 14:09 - 14:14
    Alices und Bobs Adressen zweimal haben. Das stimmt. Zum Beispiel ist Alices Adresse in der
  • 14:14 - 14:20
    zweiten Zeile "Mail von". Und dann haben wir die gleiche Adresse. Alice @ ihre Organisation in
  • 14:20 - 14:27
    der Kopfzeile "Von". Die roten Bereiche sind die Kopfzeilen. Und das gleiche gilt für Bob. Und
  • 14:27 - 14:33
    warum ist das so? Nun, es kommt darauf an, wie wir E-Mails sehen. Ich als eine normale
  • 14:33 - 14:39
    Person, die E-Mails in den letzten Jahren benutzt hat, sehe sie normalerweise so, wie
  • 14:39 - 14:45
    auf der linken Seite beschrieben, wie eine Art Postkarte. Auf der Postkarte steht also jemand,
  • 14:45 - 14:49
    der sie abgeschickt hat. Der Absender. Da ist dann noch der Empfänger. Das bin ich
  • 14:49 - 14:54
    normalerweise. Ich empfange. Und dann ist da noch eine Nachricht. Zumindest habe ich das so
  • 14:54 - 14:59
    wahrgenommen, bevor ich etwas mehr darüber gelernt habe. Aber E-Mail Administratoren und
  • 14:59 - 15:05
    die Standardgremien sehen diese Situation, wie sie rechts dargestellt ist. Da ist ein Umschlag
  • 15:05 - 15:10
    und darin befindet sich diese Nachricht oder vielleicht eine Postkarte. Sie haben also 2
  • 15:10 - 15:15
    Adressen in diesem Szenario. Sie haben die Adresse von und an wen sie sich den Umschlag
  • 15:15 - 15:21
    senden. Dies ist beispielsweise der Teil, den die Post einsehen wird. Aber das Postbüro wird im
  • 15:21 - 15:25
    Allgemeinen nicht in Ihrem Umschlag nachsehen und sehen, dass sich dort eine
  • 15:25 - 15:29
    weitere Nachricht, die interne Nachricht befindet, die eigentliche für den Empfänger
  • 15:29 - 15:34
    bestimmt ist. Man könnte also eigentlich sogar noch mehr machen und man könnte sogar den
  • 15:34 - 15:40
    ganzen Umschlag mit der Nachricht der Postkarte in einen anderen Umschlag stecken.
  • 15:40 - 15:46
    Und das klingt für mich als normalen Menschen verrückt, aber tatsächlich ist das bei E-Mail.
  • 15:46 - 15:50
    möglich. Und in dem RFC, dem Standarddokument, gibt es einige Beispiele,
  • 15:50 - 15:57
    warum das notwendig ist. Warum solche Dinge erlaubt sind. Aber sie sind doch verwirrend.
  • 15:57 - 16:03
    Und so als Ergebnis sehen wir in diesem ersten Beispiel , dass wir im Allgemeine die gleiche
  • 16:03 - 16:08
    Adresse zweimal angeben. Aber als Penetrationstester sollten wir uns die Frage
  • 16:08 - 16:12
    stellen: Ist das aktuell erforderlich? Ist das immer wahr, oder handelt es sich nur um
  • 16:12 - 16:17
    Wunschdenken? Und es ist tatsächlich ein Wunschdenken. Standards schreiben nicht
  • 16:17 - 16:21
    ausdrücklich vor, dass Sie die gleiche Adresse für den Empfänger oder für das "Von" des
  • 16:21 - 16:27
    Absenders auf dem Umschlag und innerhalb einer Nachricht angeben. Es gibt also
  • 16:27 - 16:32
    tatsächlich viel mehr Kopfzeilen als die, die ich gezeigt habe. Die, die ich gezeigt habe, sind
  • 16:32 - 16:39
    meiner Meinung nach nur die, mit denen wir alle Erfahrung haben, denn wenn man nur
  • 16:39 - 16:43
    E-Mail benutzt, sind das normalerweise die Dinge, die man sieht oder man sieht das
  • 16:43 - 16:46
    Datum, den Betreff, den Inhalt, wer Dir etwas gesendet hat und an wen es gesendet wurde.
  • 16:46 - 16:53
    Üblicherweise Du selbst. Und dort könnten es natürlich auch mehrere Empfänger geben.
  • 16:53 - 16:58
    Oh ja. Und die Frage ist dann noch eine andere:
  • 16:58 - 17:04
    Was ist eigentlich, wenn wir aus irgendeinem Grund etwas versehentlich angegeben haben
  • 17:04 - 17:07
    oder vor allem, wenn wir unterschiedliche Adressen in diesem Umschlag angegeben
  • 17:07 - 17:12
    haben, welche der Benutzer sehen wird. Der Empfänger, das ist eigentlich die Kopfzeile. Ok.
  • 17:12 - 17:18
    Wie ich schon sagte, gibt es tatsächlich Standards, die mehr Kopfzeilen erlauben. Und
  • 17:18 - 17:23
    es gibt aktuell 3 Kopfzeilen "Von", "Absender", "Antwort an", die semantisch wirklich nahe
  • 17:23 - 17:26
    beieinander liegen und im Standard ist eigentlich erklärt, wann man welche Überschrift
  • 17:26 - 17:31
    verwenden sollte. Und das Lustige für mich ist, dass zum Beispiel die "Von" Überschrift ist,
  • 17:31 - 17:34
    diejenige ist, in der wir sehen, was sie beinhaltet. Wenn Sie den RFC lesen, werden Sie
  • 17:34 - 17:39
    sehen, dass man nicht mehr als eine solche Kopfzeile haben sollte, aber die Kopfzeile selbst
  • 17:39 - 17:44
    könnte mehrere Adressen beinhalten. Persönlich habe ich noch nie eine E-Mail
  • 17:44 - 17:48
    erhalten, die von verschiedenen Personen stammen würde, aber das ist erlaubt. Aber das
  • 17:48 - 17:53
    Wichtigste, was Sie hier noch einmal verstehen müssen, ist dies bereits erwähnte
  • 17:53 - 17:58
    Rückwärtskompatibilität. Obwohl die Standards erklären, wie Sie die Haupt-Kopfzeile
  • 17:58 - 18:02
    verwenden sollten, und dass Sie in der Praxis nicht mehr als eine dieser Kopfzeilen haben
  • 18:02 - 18:07
    sollten, können Sie bei einer Zustimmung zu fehlerhaften E-Mails diese mit mehreren
  • 18:07 - 18:12
    Kopfzeilen in der selben Kopfzeile senden. Sie könnten Kopfzeilen senden, die laut RFC kein
  • 18:12 - 18:17
    "Von" enthält, aber einen "Absender". Das ist nicht korrekt. In der Praxis wird es.
  • 18:17 - 18:21
    funktionieren. Die meisten Organisationen, die meisten E-Mail-Dienste werden Ihr Bestes tun,
  • 18:21 - 18:28
    ihre völlig fehlerhafte E-Mail nach besten Kräften zu analysieren, weil sie wirklich daran
  • 18:28 - 18:34
    interessiert sind, die Supportkosten zu senken. Wenn etwas also nicht funktioniert, wird man
  • 18:34 - 18:38
    zu Ihnen kommen. Es ist also besser, dafür zu sorgen, dass meistens alles funktioniert.
  • 18:38 - 18:42
    Für Penetrationstester bedeutet das natürlich, dass Sie damit herumspielen können, weil es
  • 18:42 - 18:46
    verschiedene Implementierungen gibt und es genau darauf ankommt, welche Gefahr besteht.
  • 18:46 - 18:49
    Wenn beispielsweise 2 Kopfzeilen angezeigt werden oder für einen Algorithmus verwendet,
  • 18:49 - 18:54
    hängt dies von der jeweiligen Implementierung ab. Da es so viele Implementierungen gibt, sind
  • 18:54 - 18:59
    diese auf unterschiedliche Weise miteinander verbunden. Sie können und sollten als
  • 18:59 - 19:04
    Penetrationstester verschiedene Dinge ausprobieren, zum Beispiel die gleiche
  • 19:04 - 19:09
    Kopfzeile mehrmals hinzufügen. OK. Nachdem wir nun diese Grundlagen behandelt haben,
  • 19:09 - 19:14
    wollen wir uns ansehen, Wie Sie versuchen würden, zum Beispiel eine E-Mail zu fälschen.
  • 19:14 - 19:18
    Ja, genau. Und hier sind wir wieder, wir kommen zurück zu diesem Diagramm, das wir
  • 19:18 - 19:24
    schon einmal gesehen haben. Und beispielsweise in dem 1. Beispiel, wo Alice eine
  • 19:24 - 19:30
    E-Mail an Bob gesendet hat. Sagen wir mal, wir sind Chuck. Wir sind also eine dritte Partei. Wir
  • 19:30 - 19:34
    sind lizenzierte Penetrationstester, wir haben eine Vereinbarung, die uns erlaubt, dies zu tun
  • 19:34 - 19:39
    und wir versuchen, eine gefälschte E-Mail an Bob zu senden. In diesem Beispiel versuchen
  • 19:39 - 19:44
    wir, die Nachricht von Alice zu fälschen. Unsere Absicht ist es, dass Bob will, dass Bob eine
  • 19:44 - 19:53
    E-Mail erhält. Es sollte für Bob so aussehen, dass die E-Mail von Alice gesendet
  • 19:53 - 19:58
    wurde. Also ein Risiko. Okay. Ich möchte das Risiko nicht übernehmen. Ich denke, Sie können
  • 19:58 - 20:01
    das verstehen. Ich kann mir vorstellen, dass gefälschte Nachrichten eines der Probleme
  • 20:01 - 20:06
    sind, die wir in Lettland gesehen haben. Sie wurden gegen Regieurngsbehörden eingesetzt.
  • 20:06 - 20:14
    Und als jemand gefälschte Nachrichten per E-Mail an andere Leute, Organisationen etc.
  • 20:14 - 20:20
    sendete und versucht hat, sich als jemand anderes auszugeben. Und natürlich können Sie
  • 20:20 - 20:24
    sich vorstellen, dass das keine gute Sache ist. Aber das Interessante hier ist, dass Chuck zwar
  • 20:24 - 20:28
    angreift, es aber von Ihrer Perspektive abhängt. Es könnte wie ein Angriff auf Alice oder Bob
  • 20:28 - 20:32
    aussehen. In diesem Fall werden E-Mails nicht durch Alices Systeme geleitet. Wie Sie sehen
  • 20:32 - 20:38
    können, sendet Chuck E-Mails an Bobs Posteingangsserver. Nun gibt es eine 2. Art von
  • 20:38 - 20:44
    Angriffsart, die wir uns ansehen werden. Wenn wir eine E-Mail in die andere Richtung senden,
  • 20:44 - 20:49
    von Bob an Alice. Und unser Kunde ist Alice. Und in diesem Fall versuchen wir wieder, Chuck
  • 20:49 - 20:53
    zu sein. Wir senden E-Mails. in diesem Fall wird die E-Mail durch das System
  • 20:53 - 20:59
    von Alice geleitet. Die interessante Frage ist daher, was einfacher zu schützen ist.
  • 20:59 - 21:04
    Es könnte den Anschein haben, dass seit dem 2. Beispiel, die E-Mail tatsächlich durch die
  • 21:04 - 21:07
    Systeme von Alice läuft. Das bedeutet, dass Alice mehr Befugnisse hat, etwas zu tun, um
  • 21:07 - 21:12
    einige zusätzliche Kontrollen und Abgleiche usw. durchzuführen. Aber wie wir in Zukunft
  • 21:12 - 21:16
    sehen werden, ist es tatsächlich einfacher, das 1. Beispiel zu schützen. Auch wenn unser Kunde
  • 21:16 - 21:22
    Alice ist, versuchen wir Alice zu schützen. Aber in der Praxis ist es einfacher, dieses Beispiel zu
  • 21:22 - 21:27
    schützen und in die Praxis umzusetzen, in dem jemand E-Mail verkauft und versucht, sich als
  • 21:27 - 21:33
    Alice auszugeben. Okay. Oh, ja. Es gibt noch das 3. Beispiel: Wenn Alice mit ihren Kollegen
  • 21:33 - 21:38
    innerhalb derselben Organisation kommuniziert, sind wir Chuck.
  • 21:38 - 21:42
    In diesem Fall werden wir die E-Mail nur an den Posteingangsserver von Alice senden, nicht an
  • 21:42 - 21:48
    Postausgangsserver. Richtig. Das ist wichtig zu beachten. Im Prinzip ist dieses 3. Beispiel am
  • 21:48 - 21:54
    einfachsten zu erkennen weil Alices Organisation vermutlich weiß, dass ihre E-Mails
  • 21:54 - 22:00
    immer von einem, von diesem bestimmten Postausgangsserver kommen sollen. Richtig.
  • 22:00 - 22:04
    Wenn wir beispielsweise eine E-Mail von Alices Kollegen senden, sollte der Posteingangsserver im
  • 22:04 - 22:09
    Prinzip auch ohne Standards oder ähnliches, die volle Leistung haben.
  • 22:09 - 22:16
    Aber in der Praxis gibt es tatsächlich ziemlich oft eine spezielle Whitelist für Alices eigene Organisation.
  • 22:16 - 22:24
    Es finden keine Überprüfungen statt, falls der Posteingangsserver von Alice E-Mails empfängt,
  • 22:24 - 22:29
    die wiederum von Alice stammen.
  • 22:29 - 22:35
    Übrigens gibt es dieses Beispiel, das wir in den letzten Jahren gesehen haben.
  • 22:35 - 22:39
    Ich denke, das ist nicht spezifisch für Lettland. Deshalb ist hier als Beispiel eine kanadische Adresse und auch
  • 22:39 - 22:44
    andere, wie Sie sehen können. Es handelt sich hierbei um gefälschte E-Mails, wie Ransomware-Sachen.
  • 22:44 - 22:48
    Im Grunde sagen sie Ihnen, dass Sie in diesem Fall Ihren Computer oder Ihre E-Mails gehackt haben. Und
  • 22:48 - 22:54
    alle möglichen Aktivitäten arrangiert haben oder Sie erpresst.
  • 22:54 - 22:59
    Und senden Sie uns bitte das Geld. Ihr Geld. Ich meine Ihr Geld in Bitcoins an deren Adresse.
  • 22:59 - 23:05
    Soweit diese E-Mails. Der interessante Teil dieser E-Mails besteht darin, dass sie normalerweise
  • 23:05 - 23:09
    dazu dienen; Ihnen zu beweisen, dass Sie Zugang zu Ihrem E-Mail-Konto haben.
  • 23:09 - 23:13
    Sie senden E-Mails von Ihrer Adresse an Ihre Adresse.
  • 23:13 - 23:20
    Bei vielen Menschen funktioniert das, Sie sehen also, dass jemand Ihr Konto gehackt hat, weil Sie eine
  • 23:20 - 23:23
    E-Mail von sich selbst erhalten haben.
  • 23:23 - 23:29
    Wie Sie also später sehen werden, ist es sehr einfach, solche E-Mails zu fälschen, falls keine
  • 23:29 - 23:34
    Schutzvorkehrungen vorgenommen wurden. Das Wichtigste ist also, dass ich hoffe, dass niemand in
  • 23:34 - 23:38
    diesem Publikum auf einen solchen Betrug hereinfällt.
  • 23:38 - 23:44
    Aber vielleicht haben Sie Freunde oder Kollegen, die Sie kontaktiert haben und Ihnen von solchen E-Mails
  • 23:44 - 23:48
    erzählt haben. Aber eines der Dinge, die neben der Überprüfung der Passwörter zum Einsatz kommen
  • 23:48 - 23:53
    sollte, ist eine effektivere Authentifizierung zu nutzen. Vielleicht könnten Sie Ihnen sagen, dass sie Ihre E-Mail
  • 23:53 - 23:58
    Administratoren oder ihr IT-Team kontaktieren und nach dem Anti-Spoofing-Schutz fragen sollten.
  • 23:58 - 24:03
    Denn wenn sie solche E-Mails empfangen können und diese nicht gefiltert werden,
  • 24:03 - 24:09
    stimmt etwas nicht. Okay.
  • 24:09 - 24:17
    Und nun sehen wir uns eine gefälschte SMTP-Konversation an, also ein ähnliches Beispiel wie eben.
  • 24:17 - 24:22
    Aber in diesem Beispiel jetzt sind wir tatsächlich Chuck, also wird dies von Chuck an Bob gesendet.
  • 24:22 - 24:26
    Aber wir tun so, als wären wir Alice. Die Frage ist, können Sie den Unterschied zu der vorherigen
  • 24:26 - 24:30
    erkennen? Und es ist schwer, den Unterschied zu erkennen, da es keinen Unterschied gibt, da es
  • 24:30 - 24:33
    sich um das gleiche Gespräch handelt.
  • 24:33 - 24:40
    Der Punkt hier ist also, dass das SMTP-Protokoll an sich eigentlich keinen Schutz bietet.
  • 24:40 - 24:44
    Oh ja, Sie könnten es einfach zum Beispiel tun, wenn Sie dieser Typ sind, der die gefälschten Lösegeldbrief verschickt.
  • 24:44 - 24:50
    verschickt. Sie können diesen Text einfach aufschreiben und ihn einfach an Telnet senden.
  • 24:50 - 24:56
    Das funktioniert bei vielen Organisationen. Aber nicht bei allen. Und natürlich kennen die E-Mail-
  • 24:56 - 25:01
    Administratoren sich damit aus. Sie wissen, dass SMTP in diesem Fall nicht sehr zuverlässig ist.
  • 25:01 - 25:05
    Das ist leicht zu fälschen und so weiter. Und es gäbe viele Versuche, einen gewissen Schutz hinzuzufügen,
  • 25:05 - 25:12
    einfach auf Ad-hoc-Art. Also ohne Standards. Fügen Sie einfachen paar zusätzliche Filter und ähnliches in
  • 25:12 - 25:16
    Ihre eigene Mail ein. Und einige dieser Schutzmaßnahmen verstoßen tatsächlich gegen RFC,
  • 25:16 - 25:21
    Aber wen interessiert das schon? RFC ist ja kein heiliger Text, den ich zum Beispiel absolut
  • 25:21 - 25:26
    befürworte. Also machen Sie weiter. Aber das Problem ist, dass es nicht genügend Informationen gibt.
  • 25:26 - 25:32
    Wenn Sie also zurückdenken, sind wir Bob und versuchen, unsere Systeme zu schützen.
  • 25:32 - 25:35
    Wir sind also Bob, irgendein Systemadministrator, oder Bob ist der Systemadministrator und wir
  • 25:35 - 25:40
    versuchen, einige zusätzliche Regeln und so etwas hinzuzufügen.
  • 25:40 - 25:45
    Was können wir dann eigentlich tun? Ein Beispiel, das ich hier aufgelistet habe, ist die Durchführung dieses
  • 25:45 - 25:50
    SMTP-Rückrufs. Das bedeutet, dass wir E-Mails von Alice erhalten. Wir prüfen tatsächlich, ob
  • 25:50 - 25:57
    diese E-Mail überhaupt vorhanden ist. Denn viele Spammer senden einfach E-Mail von nicht
  • 25:57 - 26:02
    existierenden E-Mails. Und es wird funktionieren, wenn Sie nur einen einfachen
  • 26:02 - 26:09
    SMTP-Server haben. SMTP-Callback bedeutet also, dass Sie, eine E-Mail erhalten,
  • 26:09 - 26:13
    Wenn Sie beispielsweise E-Mails von Alice erhalten, versuchen Sie, einen separaten
  • 26:13 - 26:17
    Prozess zu starten. Dieser wird eine Verbindung zu Alices Server herzustellen, etc.
  • 26:17 - 26:24
    Und er wird versuchen, ihr eine E-Mail zu senden. Wenn ein Server sagt, "Ja, das ist OK",
  • 26:24 - 26:28
    eine solche E-Mail existiert und so weiter, dann ist es nicht so, als hätten Sie die Konversation
  • 26:28 - 26:31
    tatsächlich beendet. Aber dann kann Ihr System automatisch feststellen, dass diese E-Mail auch
  • 26:31 - 26:37
    wirklich existiert. Eine andere Möglichkeit, dies zu tun, ist durch Überprüfung dieses "Hello".
  • 26:37 - 26:42
    Und das ist die erste Zeile und in der ersten Zeile sollte normalerweise der Hostname des
  • 26:42 - 26:48
    Servers stehen, der die E-Mail sendet.
  • 26:48 - 26:53
    Interessanter Teil. Laut RFC sollten Sie also nicht überprüfen, ob man es verifizieren kann.
  • 26:53 - 26:57
    Und wenn es sich um eine zufällige Zeichenfolge handelt, sollten Sie es akzeptieren.
  • 26:57 - 27:05
    Aber viele Server werden zunächst versuchen, diesen Hostname zu überprüfen, von dem Sie
  • 27:05 - 27:08
    sagen, dass Sie dieser Hostname sind. Zunächst ob es tatsächlich auf dieselbe IP-Adresse
  • 27:08 - 27:13
    verweist und dann machen Sie das Gegenteil. Sie nehmen die IP-Adresse und versuchen,
  • 27:13 - 27:19
    eine umgekehrte DNS-PTR-Abfrage auszuführen. Und Sie werden versuchen
  • 27:19 - 27:23
    herauszufinden, ob diese IP-Adresse wirklich auf diesen Hostname antwortet. Also nochmal.
  • 27:23 - 27:27
    Als Penetrationstester sollten wir uns über diese Schutzmaßnahmen, Ad-Hoc-
  • 27:27 - 27:31
    Schutzmaßnahmen im Klaren sein. Denn wenn Sie sie nicht kennen, werden Sie versuchen
  • 27:31 - 27:35
    etwas auszuführen und es wird bei Ihnen nicht funktionieren. Aber Sie einfach, wenn Sie
  • 27:35 - 27:40
    kennen und erkannt haben, dass diese Organisation sie verwendet. Sie sind leicht zu
  • 27:40 - 27:45
    umgehen, so dass sie keinen guten Schutz bieten. Sie sollen vor massenhaftem
  • 27:45 - 27:53
    Missbrauch durch Spam schützen. Ok. Also bietet SMTP, wie wir gesehen haben, keinen
  • 27:53 - 27:59
    Schutz. Welche Ergänzungen zum Protokoll können also nachträglich tatsächlich verwendet
  • 27:59 - 28:07
    werden, um uns zu schützen? Eines dieser Protokolle ist SPF. SPF versucht wie ein Spiegel
  • 28:07 - 28:13
    MX-System sein. Das MX-System ist ein gemischtes System, das Alice grundsätzlich
  • 28:13 - 28:18
    benutzen kann, damit Alices Server automatisch den Server finden kann, der Bob und seinem
  • 28:18 - 28:25
    Posteingangsserver gehört. SPF ist also das Gegenteil davon. Da ist also eine Idee, das
  • 28:25 - 28:30
    System automatisch auf dem Posteingangsserver von Bob auszuführen.
  • 28:30 - 28:36
    Wenn Bob nun die E-Mail erhalt, können sie wieder eine DNS-Abfrage ausführen und
  • 28:36 - 28:42
    herausfinden, welche IP-Adressen eigentlich zu Alices Postausgangsserver gehören. Das
  • 28:42 - 28:46
    stimmt. Ich denke, es ist einfach zu verstehen, dass dies tatsächlich ein sinnvoller Weg ist. Es
  • 28:46 - 28:53
    ist eine Ergänzung. Und das eine Feld, das in diesem Beispiel überprüft wird, ist der
  • 28:53 - 28:59
    Absender des Umschlags. OK. Und hier ist ein Beispiel für minimale SPF-Syntax. Wie wir
  • 28:59 - 29:05
    sehen können, ist es meiner Meinung nach leicht zu verstehen, auch wenn man die Syntax
  • 29:05 - 29:08
    nicht kennt. Die Syntax besteht darin, dass sie IP-Adresse aufgelistet wird, die die IP-Adresse
  • 29:08 - 29:13
    des Postausgangsservers ist. Und dann steht da noch dieses "alle", was wiederum leicht zu
  • 29:13 - 29:19
    verstehen ist. In diesem Fall bedeutet es, das dies das einzige Mal ist. Wenn Sie also eine
  • 29:19 - 29:23
    Nachricht erhalten, kommt diese von dieser IP-Adresse, Das ist cool. Ich akzeptiere es. Wenn es
  • 29:23 - 29:27
    etwas anderes ist, dann lösche ich es einfach. Und es gibt mehrere Möglichkeiten, die IP-
  • 29:27 - 29:32
    Adresse anzugeben. Sie könnten einfach die IP-Adresse angeben. Sie könnten ein IP-Subnetz
  • 29:32 - 29:37
    angeben, Sie könnten einen DNS-Hostname angeben. Es ist also nur für den Administrator.
  • 29:37 - 29:45
    Für einen Penetrationstest ist es grundsätzlich nicht viel anders, für Administratoren ist es
  • 29:50 - 29:56
    einfacher, diese Systeme zu warten. Und dann gibt es diese Qualifikanten. Das ist etwas, das
  • 29:56 - 30:00
    man den Methoden voranstellt. Hier in diesem Beispiel hat IPv4 keinen Qualifikanten. Es gibt
  • 30:00 - 30:04
    kein Plus oder Minus oder so etwas. Das liegt daran, dass das Plus standardmäßig
  • 30:04 - 30:13
    angenommen wird. Dadurch wird standardmäßig alles, was im SPF-Eintrag
  • 30:13 - 30:16
    aufgeführt ist, mit einem legitimen SMTP-Ausgangsserver übereinstimmen sollte. Es
  • 30:16 - 30:20
    gibt jedoch andere Optionen, die Sie verwenden können. Minus verwenden, das heißt "Fehler".
  • 30:20 - 30:27
    Und das bedeutet, wenn etwas mit diesem Datensatz übereinstimmt, das ist
  • 30:27 - 30:32
    normalerweise die letzte Möglichkeiten, dann senden Sie bitte die Mail ab. Es ist nicht echt. Es
  • 30:32 - 30:37
    ist eine gefälschte Mail. Un dann ist da noch die 3. Option, bei der es sich um eine Software
  • 30:37 - 30:43
    handelt, die für die Testphase gedacht ist. Wenn Sie also gerade mit der Implementierung von
  • 30:43 - 30:48
    SPF beginnen, könnte es welche geben. Problematisch könnte sein, dass Sie vergessen,
  • 30:48 - 30:53
    einige SMTP-Server hinzuzufügen. Weil Sie das noch nicht getan haben, denken Sie vielleicht,
  • 30:53 - 30:56
    Sie haben nur einen SMTP-Postausgangsserver. Aber in Wirklichkeit haben Sie tatsächlich
  • 30:56 - 31:04
    mehrere Möglichkeiten, E-Mail zu senden. Wenn Sie in diesem Fall beginnen würden, den
  • 31:04 - 31:07
    oben genannten SPF-Eintrag mit der "Fail"-Strong-Richtlinie festzulegen, könnten Ihre
  • 31:07 - 31:13
    Benutzer die Nachricht nicht mehr senden. Deshalb ist das Testen gut. Hier sind einige
  • 31:13 - 31:16
    andere Beispiele, die etwas komplizierter sind. Eines davon wurde aufgenommen. Anstatt also
  • 31:16 - 31:19
    die Richtlinie selbst zu definieren, weil Sie in diesem Beispiel einen Drittanbieter verwenden,
  • 31:19 - 31:25
    zum Beispiel Google, dann schließen Sie einfach das ein, was Google veröffentlicht hat. Und das
  • 31:25 - 31:32
    Interessante daran ist de Verwendung von SPF. Wenn wir uns nur die Anzahl der Domains
  • 31:32 - 31:37
    ansehen, die eine Art Richtlinie definiert haben, dann sieht die Zahl ziemlich gut aus. Ich denke,
  • 31:37 - 31:42
    das gilt zum Beispiel für die beliebtesten Domains, ungefähr 70 %. Aber das Problem
  • 31:42 - 31:46
    ist, dass die meisten von ihnen entweder schlecht konfiguriert sind, oder nur die Softfail-
  • 31:46 - 31:52
    Option benutzen. Und was die Softfail praktisch tut, ist nichts. Auch wenn es eine Richtlinie für
  • 31:52 - 31:57
    Softfail gibt, können Sie in den meisten Fällen Ihre E-Mail fälschen und sie wird trotzdem
  • 31:57 - 32:01
    ankommen, weil der Empfänger denkt, dass sie sich nur im Testmodus befindet. Sie sollten E-
  • 32:01 - 32:08
    Mails nicht automatische löschen. Ja. Eigentlich ist der Prozentsatz nicht so groß. Aber das
  • 32:08 - 32:14
    Wichtigste für uns als Penetrationstester ist es, dies zu verstehen. Was sollen wir also tun, wenn
  • 32:14 - 32:18
    wir diese SPF sehen? Bedeutet das, dass wir jetzt keine E-Mail mehr fälschen können? Nein,
  • 32:18 - 32:25
    das bedeutet es nicht. Damit ist das Spiel für uns vorbei. Wir können einige Sachen tun.
  • 32:25 - 32:30
    Also zunächst einmal ist diese Softtail, die ich erwähnt habe. Und dass bedeutet im Grunde,
  • 32:30 - 32:34
    dass Sie einige Regeln, Regeln, Regeln haben und am Ende setzen Sie typischerweise nur
  • 32:34 - 32:41
    diese Softfail ein. Falls wir als Penetrationstester also versuchen, von einer unbekannten IP-
  • 32:41 - 32:46
    Adresse aus zu fälschen, die nicht in den vorherigen Regeln aufgeführt ist, dann tun sie
  • 32:46 - 32:52
    nichts. Machen Sie nichts. Ich meine, lassen Sie keine E-Mail fallen. Das ist doch gut für uns,
  • 32:52 - 32:57
    oder? Das bedeutet, dass wir tatsächlich auf die gleiche Art und Weise fälschen können und es
  • 32:57 - 33:02
    wird meistens funktionieren. Eine Anmerkung hier ist, dass einige Systeme nicht nur diese
  • 33:02 - 33:07
    binäre Klassifikation benutzen, egal ob etwas gut oder schlecht ist, sondern sie versuchen
  • 33:07 - 33:11
    eine Bewertung vorzunehmen. Und dann kann es sein, dass Sie, Ihre E-Mail nicht automatisch
  • 33:11 - 33:16
    löschen, obwohl Sie diese Softfail haben. Aber vielleicht fügen Sie ihr eine verdächtige Ebene
  • 33:16 - 33:23
    hinzu. Aber wichtig ist, das es nicht automatisch zu Ende ist.
  • 33:23 - 33:30
    Eine andere Sache ist dieses Include. Also Include ist sehr praktisch, wenn man mit
  • 33:30 - 33:36
    Drittparteien arbeitet. Aber das Problem ist, dass es für einige Leute nicht das ist, was es
  • 33:36 - 33:43
    scheint. Zumindest wird im Standard erwähnt, dass es ein schlecht gewählter Name war. Und
  • 33:43 - 33:48
    der Grund dafür ist, dass es sich nicht um ein Macro handelt. Um also zu verstehen, was
  • 33:48 - 33:53
    passiert, wenn dies eingeschlossen ist, sollten Sie nicht einfach alles von innen kopieren und
  • 33:53 - 33:58
    auf der obersten Ebene einfügen. Das ist nicht die Funktionsweise. Es wird versuchen, alle
  • 33:58 - 34:05
    darin enthaltenen Prüfungen durchzuführen. Aber wenn dies fehlschlägt, wird die Nachricht
  • 34:05 - 34:10
    nicht automatisch gelöscht. Es wird auf die oberste Ebene gehen und versuchen, die
  • 34:10 - 34:15
    anderen Regeln auszuführen. Das Problem dabei ist, dass es in 2 der häufigsten Fälle,
  • 34:15 - 34:21
    entweder vergessen hat, dieses Minus zu ergänzen, oder Ihr Administrator hat es
  • 34:21 - 34:26
    vergessen. In diesem Fall, selbst wenn Sie dieses Minus eingeschlossen haben, wird es
  • 34:26 - 34:34
    nicht funktionieren. Ich denke, dass es funktionieren würde, weil, wenn der Empfänger
  • 34:34 - 34:40
    es mit "Minus" überprüft hat, "all inside include" nicht dasselbe bedeutet wie auf der obersten
  • 34:40 - 34:44
    Ebene. Und das Zweite wäre, wenn Sie alles außer der Software hinzugefügt hätten. Und
  • 34:44 - 34:48
    einige Admins könnten das denken. Aber das ist okay, weil ich Gmail mit einbeziehe, und GMail
  • 34:48 - 34:54
    diesen schwerwiegenden Fehler hat. Auf diesem Weg funktioniert es nicht. Und dann
  • 34:54 - 35:00
    ist, glaube ich vielleicht der häufigste Fall, dass man oft diese Art von SPF-Einträgen sieht. Aber
  • 35:00 - 35:04
    da ist viel Zeug in den IP-Adressen. Es gibt diese A-Rekorde, es gibt einen MX. Es gibt einen
  • 35:04 - 35:08
    Zeiger. Im Grund genommen alles, was den Administratoren einfällt und der Grund dafür
  • 35:08 - 35:13
    ist, dass sie einfach nicht sicher sind, wie es funktioniert. Sie wissen nicht, was sie eingeben
  • 35:13 - 35:17
    sollen. Eine Sache, die darauf hinweist, ist zum Beispiel,
  • 35:17 - 35:25
    ob es einen MX-Eintrag im SPF gibt. Die meisten Organisationen, sofern sie nicht sehr klein sind
  • 35:25 - 35:28
    und nur einen Server haben, haben verschiedene Server, verschiedene IP-Adressen
  • 35:28 - 35:31
    für ausgehende Mails und für eingehende Mails. Das heißt, dass es für Organisationen
  • 35:31 - 35:34
    keinen praktischen Grund gibt, MX in SPF aufzunehmen, denn keine E-Mail sollte durch
  • 35:34 - 35:41
    ihren Posteingangsserver werden. Und ein anderer Fall könnte sein, dass die
  • 35:41 - 35:46
    Administratoren verstehen, wie es funktioniert. Ihre Architektur ist aber wirklich
  • 35:46 - 35:51
    chaotisch und sie senden E-Mails von vielen, vielen unterschiedlichen Stellen senden, was
  • 35:51 - 35:56
    für Penetrationstester gut ist.
  • 35:56 - 36:03
    Das bedeutet, dass sie nicht gut organisiert sind. OK. Und dann gibt es noch einen
  • 36:03 - 36:09
    Schwachpunkt, der darin besteht, dass die Granularität nicht sehr gut geeignet ist. Das
  • 36:09 - 36:14
    einzige, was Sie tun können, sind mehrere dieser Datensatztypen. Aber alles was sie tun,
  • 36:14 - 36:20
    ist die Auflösung der IP-Adresse. Aber wie Sie sich vorstellen können. ist die IP in vielen Fällen
  • 36:20 - 36:24
    nicht nur mit dem Mailserver verknüpft. Auf einer IP kann möglicherweise ein Mailserver
  • 36:24 - 36:28
    und eine Webserver oder eine Datenbank oder etwas anderes vorhanden sein. Das bedeutet,
  • 36:28 - 36:32
    dass Sie als Penetrationstester dieses ausnutzen können. Nicht den Mailserver selbst,
  • 36:32 - 36:37
    denn der Mailserver ist üblicherweise ziemlich unauffällig. Es gibt nicht viele Schwachstellen.
  • 36:37 - 36:43
    Sie können sie einfach ausbessern, und das wars. Aber diese anderen Systeme, zum
  • 36:43 - 36:47
    Beispiel das Web, lassen sich in den meisten Fällen leicht ausnutzen. In gewisser Weise kann
  • 36:47 - 36:51
    man die Privilegien erhöhen, indem man sich Zugriff verschafft auf einem anderen Server mit
  • 36:51 - 37:00
    dieser IP-Adresse oder IP-Bereich. Sie können mit dem Versenden von E-Mails beginnen. Sie
  • 37:00 - 37:05
    werden alle SPF-Filter passieren. OK. Ein Beispiel ist "Shared Hosting", was sehr häufig
  • 37:05 - 37:10
    der Fall ist. Das Problem besteht darin, dass Sie in diesem Fall eine IP des SMTP-Servers haben.
  • 37:10 - 37:16
    Vielleicht ist das ein Server, der nur zum Versenden von E-Mails verwendet wird. Aber
  • 37:16 - 37:19
    der Server selbst arbeitet nicht nur für Sie. Er arbeitet für viele Domains, vielleicht Hunderte
  • 37:19 - 37:24
    bis Tausende. Das heißt, als Angreifer könne Sie mindestens einen von ihnen ausnutzen, oder
  • 37:24 - 37:27
    für Shared Hosting kaufen. Sie können Kunde dieses Shared Hosting werden. Sie müssen
  • 37:27 - 37:32
    nicht einmal etwas nutzen. Und dann können Sie möglicherweise eine E-Mail starten, die in
  • 37:32 - 37:38
    Bezug auf SPF genauso gut aussieht, wie die eigene. Und das andere ist die falsche
  • 37:38 - 37:45
    Überprüfung. Und das ist wahrscheinlich das schlimmste Problem mit SPF. Es gibt, wie ich
  • 37:45 - 37:50
    bereits erwähnt habe, mindestens 2 Identifikatoren. Der Umschlagabsender, der
  • 37:50 - 37:54
    externe also, der den Absender angibt. Und dann gibt es eine interne, die normalerweise
  • 37:54 - 37:59
    die "Von" Kopfzeile ist. Aber von diesen beiden überprüft SPF nur, ob SPF die einzige
  • 37:59 - 38:03
    Technologie ist, die Sie verwenden. SPF überprüft nur den ersten: den Umschlag-
  • 38:03 - 38:09
    Absender. Und wie ich bereits erwähnt habe, sehen tatsächliche Benutzer, die die E-Mail
  • 38:09 - 38:13
    erhalten, in den meisten Fällen keinen Umschlag-Absender. Sie werden
  • 38:13 - 38:18
    beispielsweise dies sehen und eine "Von" oder eine der anderen Kopfzeilen. Dieses Verhalten
  • 38:18 - 38:23
    wird tatsächlich durch DMARC behoben, was die Technologie ist, die ich erwähnt habe. Aber
  • 38:23 - 38:27
    die Mehrheit der SPF-Installationen, Domains, die SPF nutzen, haben kein DMARC. Also sind
  • 38:27 - 38:31
    dadurch nicht geschützt. Selbst wenn deren SPF großartig für Angreifer ist, bedeutet das, dass
  • 38:31 - 38:37
    Sie zum Weitergeben von SPF nur den Umschlag-Absender auf etwas anderes setzen.
  • 38:37 - 38:40
    Zum Beispiel Ihre eigene kontrollierte Adresse, die alle SPF-Prüfungen bestehen wird. Aber
  • 38:40 - 38:49
    dann können Sie die Kopfzeile innerhalb der "Von"-Adresse sehen, der mit der Organisation
  • 38:49 - 38:57
    übereinstimmt, die Sie vorgeben wollen zu sein. Okay, Dann gibt es eine andere Technologie, die
  • 38:57 - 39:02
    dies beheben soll und das ist DKIM. Wie wir gesehen haben, reicht SPF nicht aus. Also DKIM.
  • 39:02 - 39:11
    Sorry für die Abkürzungen. Es heißt: Domainkeys identified mail. Sie müssen sich
  • 39:11 - 39:15
    den langen Namen nicht Mehrken, nur die Abkürzung. Und was es im Grunde genommen
  • 39:15 - 39:20
    macht, es verwendet Kryptographie, was schön ist, oder? Es ist Mathematik. Es ist für Angreifer
  • 39:20 - 39:25
    schwer zu knacken. Es signiert jede Email, sodass jede E.Mail, die über den DKIM
  • 39:25 - 39:30
    aktivierten Server versendet wird, eine Signatur erhält, die Sie als Empfänger kryptographisch
  • 39:30 - 39:35
    verifizieren können. Wie Sie sehen können, ist es eigentlich ziemlich schwierig zu sehen, weil
  • 39:35 - 39:40
    es nicht dafür gedacht ist, von Menschen verarbeitet zu werden. Es handelt sich um
  • 39:40 - 39:44
    Kryptographie. Sie ist dafür gedacht, von Computern verarbeitet zu werden. Aber der
  • 39:44 - 39:48
    wichtige Teil hier ist im Grunde, dass das gelbe Zeug diese kryptische Signatur ist. Aber er
  • 39:48 - 39:56
    grüne Teil ist das, was man Domain-Erkennung nennt. Und den roten Teil nennt man - ich weiß
  • 39:56 - 40:02
    es nicht mehr. Lachen! Aber im Grund ist es eine Idee, dass Sie mehrere Schlüssel für Ihre
  • 40:02 - 40:07
    Organisation haben können, zum Beispiel könnte die Organisation E-Mails von Ihrem
  • 40:07 - 40:12
    ursprünglichen SMTP-Server senden und dann können Sie einen Backup-Server haben, oder
  • 40:12 - 40:18
    Sie haben vielleicht einige Nachrichten von Google oder eine Marketingkampagne und
  • 40:18 - 40:22
    so weiter. Und dann könnte jede von ihnen unterschiedliche "Rot"-Parameter haben. Das
  • 40:22 - 40:27
    Problem ist, dass der Empfänger dann eine DNS-Abfrage ausführen, was das 2. Beispiel ist,
  • 40:27 - 40:33
    bei dem diese Kombination aus grün und rot verwendet wird. Und dann erhalten Sie den
  • 40:33 - 40:37
    öffentlichen Schlüssel und können diesen verwenden, um die Signatur zu überprüfen.
  • 40:37 - 40:44
    Das hört sich also wirklich gut an. Das Problem hier ist, dass es noch ein anderes Problem gibt.
  • 40:44 - 40:49
    Wie man löst man es? Ich denke, es ist einfach, wenn man die öffentliche Kryptographie.
  • 40:49 - 40:52
    versteht. Auf der Absenderseite müssen Sie zuerst ein öffentliches und ein privates
  • 40:52 - 40:56
    Schlüsselpaar generieren. Dann veröffentlichen Sie den öffentlichen Teil im DNS. Dann
  • 40:56 - 41:00
    verwenden Sie den privaten Schlüssel, um jede Nachricht zu signieren. Der Empfänger macht
  • 41:00 - 41:04
    jetzt sozusagen das Gegenteil. Sobald er die E-Mail erhalten hat, findet er anhand dieses roten
  • 41:04 - 41:09
    und grünen Teils den richtigen DNS-Eintrag heraus, führen ihn aus, erhalten den
  • 41:09 - 41:13
    öffentlichen Schlüssen und vergleichen dann, ob dieser öffentliche Schlüssel mit der Signatur
  • 41:13 - 41:19
    übereinstimmt. Das klingt doch ganz gut, oder? Was ist das Problem? Also wählt der Kunde den
  • 41:19 - 41:27
    Namen aus, Das Problem dabei ist, dass es mehrere Selektoren als DKIM sein können,
  • 41:27 - 41:32
    wenn Sie die Konfiguration durchführen. Sie können so viele Selektoren auswählen, wie Sie
  • 41:32 - 41:37
    wollen und der Empfänger weiß nicht, ob Sie tatsächlich einen Selektor hätten verwenden
  • 41:37 - 41:42
    sollen und welchen Selektor Sie hätten verwenden sollen. Das Problem liegt darin, dass
  • 41:42 - 41:49
    wenn wir nur über das normale DKIM sprechen, es für einen Penentrationstester oder einen
  • 41:49 - 41:53
    Angreifer schwierig ist, die vorhandene Signatur zu ändern. Aber es ist einfach, es zu entfernen.
  • 41:53 - 41:58
    Denn wenn man DKIM aus allen Kopfzeilen entfernt hat, weiß der Empfänger nicht, dass
  • 41:58 - 42:04
    sie da sein sollte, denn um das zu prüfen, müsste sie dort sein. Hier also zum Beispiel,
  • 42:04 - 42:09
    muss ich, statt die Signatur zu überprüfen, diesen grünen Teil kennen. Diese Domain-
  • 42:09 - 42:15
    Kennung und den Selektor, die Teil dieser Kopfzeile sind. Richtig. Das ist also ein großes
  • 42:15 - 42:21
    Problem. Und das bedeutet, dass wir, obwohl wir DKIM selbst nicht fälschen können, können
  • 42:21 - 42:27
    wir die DKIM einfach abschneiden und die Nachricht ohne sie senden. Und falls die DKIM
  • 42:27 - 42:31
    das Einzige wäre, das das System geschützt hat, würde es funktionieren. Es könnte also sein,
  • 42:31 - 42:37
    dass es kein grünes Häkchen oder was auch immer gibt, aber es wird beim Empfänger
  • 42:37 - 42:43
    ankommen. Eine andere Sache ist dieser Domain-Selektor. Warum müssen wir das
  • 42:43 - 42:48
    überhabt einstellen? Weil die beste Übung natürlich ist, dass der Umschlag-Absender
  • 42:48 - 42:52
    gleich der Kopfzeile und gleich diesem DKIM Domain-Sektor ist. Wenn Sie also von Alice
  • 42:52 - 42:59
    senden, dann sind alle drei Alice.org oder was auch immer. Das Problem ist, dass es im RFC
  • 42:59 - 43:04
    nicht erwähnt wird, dass dies der Fall sein sollte. Was also passiert genau, wenn es nicht
  • 43:04 - 43:10
    so ist? Zum Beispiel gibt es auf der rechten Seite eine echte Domain, die Gmail, Google
  • 43:10 - 43:17
    Mail, Google Suite verwendet hat. In diesem Fall signiert Google Suite standardmäßig alle
  • 43:17 - 43:22
    Nachrichten. Wenn Sie jedoch keine eigene Konfiguration vornehmen, wird sie signiert mit
  • 43:22 - 43:28
    der von ihm kontrollierten Domain "gappssmtp". Und das bedeutet, dass, obwohl
  • 43:28 - 43:33
    technisch gesehen etwas mit DKIM signiert wurde, es aber nicht so signiert wurde, dass
  • 43:33 - 43:36
    man es zu seiner Organisation zurückführen kann. Es ist etwas völlig anderes. Was genau
  • 43:36 - 43:40
    sollte der Empfänger in diesem Fall tun? Sollten Sie es einfach ignorieren? Sollten Sie die
  • 43:40 - 43:44
    Nachricht zurückweisen oder etwas ähnliches? Der richtige Weg wäre also, sie nicht
  • 43:44 - 43:49
    abzulehnen, sondern sie einfach als ungültig, zumindest nicht als gültige DKIM zu betrachten,
  • 43:49 - 43:54
    aber es kommt darauf an. Also werden einige Validierer, sobald sie irgendeine DKIM sehen,
  • 43:54 - 44:01
    diese validieren und sagen, das ist cool, das entspricht dem RFC. Aber nun kommt der
  • 44:01 - 44:07
    interessante Teil. Ändern von DKIM, wofür ich keine Zeit habe. Aber die Idee ist, dass dies in
  • 44:07 - 44:11
    manchen, nicht in allen Fällen so ist, aber manchmal kann man es tatsächlich ändern.
  • 44:11 - 44:17
    Der am einfachsten zu ändernde Teil in den Nachrichten sind die Kopfzeilen. Weil DKIM,
  • 44:17 - 44:21
    da es in den Kopfzeilen selbst platziert ist, nicht automatisch alte Kopfzeilen signiert. Das ist wie
  • 44:21 - 44:26
    das Henne-Ei-Problem. Es werden standardmäßig nur 1 oder 2 Kopfzeilen signiert
  • 44:26 - 44:31
    und Sie können weitere Kopfzeilen angeben, die signiert werden sollen, aber das passiert nicht
  • 44:31 - 44:36
    automatisch. Für den Angreifer ist es eine einfache Sache, eine andere Kopfzeile
  • 44:36 - 44:40
    hinzuzufügen. Wenn das Ihrem Plan in irgendeiner Weise hilft, dann ist das einfach
  • 44:40 - 44:44
    zu machen. Sie fügen einfach eine weitere Kopfzeile hinzu. Ein interessante Teil ist, obwohl
  • 44:44 - 44:49
    obwohl RFC, ist, wie ich vorhin erwähnt habe, dass einige Kopfzeilen wie "Gegenstand" oder
  • 44:49 - 44:53
    "Von", nur in einer Kopie vorhanden sein sollten. Aktuell könnte man mehr, als eine
  • 44:53 - 44:59
    "Von" Kopfzeile hinzufügen. Was in diesem Fall passiert ist ziemlich interessant. DKIM wird
  • 44:59 - 45:04
    einverstanden sein, wenn Sie DKIM mitteilen, dass die Kopfzeile "Von" beispielsweise signiert
  • 45:04 - 45:11
    werden soll. Dann wird es übereinstimmen und signiert die erste "Von" Kopfzeile von unten.
  • 45:11 - 45:17
    Aber ziemlich viele Software E-Mail Kunden in einer Software werden dem Benutzer eigentlich
  • 45:17 - 45:24
    nur zuerst von der anderen Seite, der oberen Seite angezeigt. Das bedeutet also, dass der
  • 45:24 - 45:30
    Angreifer die Kopfzeilen verfälschen oder überschreiben kann, indem er einfach neue
  • 45:30 - 45:33
    Kopfzeilen hinzufügt. Und dieses eigentliche Problem wird im DKIM RFC erwähnt und der
  • 45:33 - 45:39
    Schutz, den sie vorschlagen ist dieser Code Over-Signing, damit Sie den RFC lesen können.
  • 45:39 - 45:45
    Aber nicht jeder macht das tatsächlich. Und wie auch immer, gilt das nur für die Kopfzeilen.
  • 45:45 - 45:49
    Manchmal ist das also gut. Manchmal ist das nicht gut. Ändern des Nachrichtentextes ist
  • 45:49 - 45:54
    tatsächlich viel schwieriger. Im Grunde genommen ist die naive Art es zu tun durch
  • 45:54 - 45:58
    Kryptographie, was wir aber nicht tun wollen. Und ein anderer Weg führt über diesen
  • 45:58 - 46:05
    Parameter, der die Textkörperlänge angibt und das ist eigentlich wie fragwürdig die
  • 46:05 - 46:09
    Funktionalität ist, die DKIM hat. Manchmal kann man festlegen, dass der Hash für Signierung-
  • 46:09 - 46:14
    zwecke verwendet werden soll. Wir sollten nicht den ganzen Körper betrachten, sondern nur die
  • 46:14 - 46:19
    ersten Bytes. Das ist in einigen Fällen bei Mailinglisten tatsächlich nützlich, aber in den
  • 46:19 - 46:24
    meisten Fällen nicht nützlich. Die meisten E-Mail-Programme tun dies in der Praxis nicht.
  • 46:24 - 46:29
    Falls sie es tun, besteht die Gefahr, dass der Textkörper möglicherweise überschrieben wird.
  • 46:29 - 46:34
    Sie können einen anderen Mime-Typ hinzufügen und dann die Kopfzeilen ändern,
  • 46:34 - 46:38
    um zu zeigen, dass dieser andere Mime-Typ DKIM passieren wird. In diesem Fall wird zum
  • 46:38 - 46:43
    Beispiel der grüne Button oder was auch immer angezeigt, weil DKIM gültig sein wird. Nun gibt
  • 46:43 - 46:48
    es also die 3. Technologie, die DMARC genannt wird. Und auch hier steht der vollständige
  • 46:48 - 46:52
    Name, der lang ist, aber in diesem Fall tatsächlich etwas bedeutet. Es gibt 2 Schlüssel-
  • 46:52 - 46:57
    wörter: Berichterstattung und Konformität. Berichterstattung ist das Wort, mit dem die
  • 46:57 - 47:02
    meisten Administratoren vertraut sind, denn das ist es, was DMARC meiner Meinung oft an
  • 47:02 - 47:08
    sie verkauft. Berichterstattung bedeutet, dass man bei Problemen in diesem Fall, der anderen
  • 47:08 - 47:13
    Seite sagen kann, was in diesem Fall zu tun ist. Grundsätzlich sagen Sie Ihnen, dass Sie Ihnen
  • 47:13 - 47:17
    entweder einmal am Tag oder jedes Mal Berichte senden sollen. Für Penetrationstester
  • 47:17 - 47:21
    ist das nicht sehr nützlich. Möglicherweise könnten wir verwenden, um zu verstehen,
  • 47:21 - 47:25
    welche Art von Konfiguration auf der anderen Seite läuft. Aber im Moment ist diese Funktion
  • 47:25 - 47:30
    noch nicht so weit verbreitet. Aber der andere Teil, die Konformität, ist wirklich sehr, sehr
  • 47:30 - 47:35
    leistungsstark. Es korrigiert die großem Fehler, die ich in SPF und DKIM erwähnt habe. DKIM
  • 47:35 - 47:39
    hatte dieses massive Problem, dass wenn man einfach die Kopfzeilen entfernt, dann hat der
  • 47:39 - 47:43
    Empfänger keine Möglichkeit zu wissen, ob DKIM an erster Stelle stehen sollte. Wenn Sie
  • 47:43 - 47:49
    DKIM zusammen mit DMARC verwenden, ist das Problem behoben, denn DMARC gibt nur
  • 47:49 - 47:55
    an, dass Sie DMARC selbst haben. Das bedeutet, dass Sie automatisch mindestens
  • 47:55 - 47:59
    eines von SPF oder DKIM passieren sollte. Also hat DKIM als Maßnahme das Problem
  • 47:59 - 48:04
    automatisch gelöst. Die andere Sache, die sich ändert, ist die Änderung Semantik für SPF.
  • 48:04 - 48:09
    Falls Sie nun beide, SPF und DMARC haben, könnte SPF gegen die "Von" Kopfzeile sein.
  • 48:09 - 48:13
    Wie ich schon anmerkte, war das die größte Schwachstelle von SPF, denn wenn Sie selbst
  • 48:13 - 48:17
    SPF selbst verwenden, war es sogar der Hard-to-Fail-Modus usw. Das bedeutet, dass
  • 48:17 - 48:21
    Angreifer die "Von" Kopfzeilen immer noch modifizieren können und der Empfänger wird
  • 48:21 - 48:27
    es nicht besser wissen. Ein minimales Beispiel für DMARC ist also wirklich sehr, sehr klein.
  • 48:27 - 48:31
    Und ich denke, es ist einfach zu verstehen. Sie haben gerade eine DMARC Ablehnung. Sie müssen
  • 48:31 - 48:37
    die richtige Stelle für die Angabe herausfinden. Aber es ist einfach und alles, was Sie tun müssen, ist
  • 48:37 - 48:41
    diesen einen DNS-Eintrag zu erstellen. Und der Vorteil davon bestseht darin, wenn Sie DKIM
  • 48:41 - 48:46
    und DMARC nicht haben, wenn Sie es erstellt haben. Sorry, falls Sie DKIM nicht haben, aber Sie
  • 48:46 - 48:51
    haben DMARC erstellt. Das bedeutet, dass diese Domain keine E-Mails senden soll.
  • 48:51 - 48:58
    Denn der Empfänger sieht eine E-Mail als gültig an, sollte mindestens SPF oder DKIM gültig
  • 48:58 - 49:02
    sein. Wenn dies nicht der Fall ist, können sie nicht gültig sein. Das bedeutet also, dass die
  • 49:02 - 49:07
    meisten Domains da draußen darüber nachdenken sollten, die DMARC zu aktivieren.
  • 49:07 - 49:15
    Das ist genau das Richtige. OK. Es gibt noch mehr Stichworte. Die DMARC-Datensätze könnten viel
  • 49:15 - 49:22
    länger sein, aber es ist für die Penetratrionstester nicht von großem Nutzen.
  • 49:22 - 49:26
    So, ein wichtiger Teil hier ist wieder die Richtlinie, die diese drei Werte annehmen kann:
  • 49:26 - 49:31
    "keine", "Quarantäne" und "Ablehnung".Und wenn es "Quarantäne" ist, bedeutet das,
  • 49:31 - 49:39
    dass die Nachricht im Falle eines Fehlers, im Spam-Ordner landen sollte.
  • 49:39 - 49:43
    Wenn es "Ablehnung" ist, sollte sie direkt abgewiesen werden. Und wenn es "keine" ist, bedeutet es,
  • 49:43 - 49:48
    dass sie sich im Test-Modus befindet. Und das ist das Bild, das ich vorher gezeigt habe.
  • 49:48 - 49:52
    Es zeigt dass, obwohl DMARC die wirklich beste Technologie unter diesen 3 Technologien ist.
  • 49:52 - 50:00
    Sie ist nicht wirklich weit verbreitet. Unglücklicherweise für die Befürworter.
  • 50:00 - 50:05
    Eine ganz nette Tasche für alle Penetrationstester da draußen. Das bedeutet, dass man
  • 50:05 - 50:15
    tatsächlich die meisten E-Mails da draußen fälschen kann. Okay. Wie können wir das umgehen?
  • 50:15 - 50:18
    Was passiert, wenn jemand DMARC implementiert hat? Können Penetrationstester nun nichts tun?
  • 50:18 - 50:24
    nichts tun? Sie müssen nicht einmal Nachforschungen anstellen?
  • 50:24 - 50:29
    Nein, das ist nicht nötig. Also in der Praxis, wenn jemand sowohl DKIM als auch DMARC
  • 50:29 - 50:34
    implementiert hat, aber nicht SPF, also hat er nur zwei davon. Das ist wirklich eine coole Kombination.
  • 50:34 - 50:38
    DKIM ist sehr leistungsstark und DMARC behebt den Mangel. Das ist cool in der Theorie.
  • 50:38 - 50:45
    In der Praxis besteht das Problem darin, statt ihre eigenen E-Mails zu schützen, sollte die
  • 50:45 - 50:50
    Empfängerseite sowohl DKIM, als DMARC validieren. Unglücklicherweise tut dies eine
  • 50:50 - 50:54
    ganze Menge von Software immer noch nicht Eine solche Software ist Microsoft Exchange.
  • 50:54 - 50:58
    Und selbst wenn Sie nicht mit Microsoft Exchange arbeiten, stehen die Chancen gut, dass
  • 50:58 - 51:02
    einige der Partner, mit denen Sie kommunizieren, Microsoft Exchange ausführen.
  • 51:02 - 51:06
    Und standardmäßig gibt es keine Funktion zu DKIM.
  • 51:06 - 51:13
    Die meisten Systeme müssen tatsächlich SPF immer noch aus praktischen Gründen aktivieren.
  • 51:13 - 51:17
    Das ist gut für Penetrationstester. Wenn SPF und DMARC standardmäßig zusammen
  • 51:17 - 51:22
    aktiviert sind, dann behebt das wiederum eines der Hauptprobleme mit SPF, aber
  • 51:22 - 51:26
    es behebt nicht automatisch andere Probleme, weil nicht genug Potential für Fehlkonfigurationen
  • 51:26 - 51:32
    da ist. So. Und die interessante Tatsache ist, dass DMARC nur fordert, dass eine der anderen
  • 51:32 - 51:38
    Technologien SPF oderDKIM mitgegeben wird, um die E-Mail als gültig zu sehen.
  • 51:38 - 51:43
    Es gibt in DMARC keine Möglichkeit anzugeben, dass beide gültig sein sollen, oder dass DKIM
  • 51:43 - 51:46
    dem SPF vorgezogen werden soll, obwohl es viele andere Sektoren gibt.
  • 51:46 - 51:50
    In der Praxis bedeutet dies, dass die meisten Systeme alle drei aktivieren,
  • 51:50 - 51:55
    was eine gute praktische Lösung von Seiten der Penetrationstester ist.
  • 51:55 - 52:00
    Wir ignorieren DKIM komplett und konzentrieren uns nur auf SPF, was das schwächste Glied in
  • 52:00 - 52:05
    dieser Situation ist. Okay. Also nur eine Minute für Rekapitulation.
  • 52:05 - 52:12
    Ich bin nicht sicher, ob ich noch mehr Zeit habe. Viel Zeit habe ich nicht. Okay.
  • 52:12 - 52:17
    Okay. Entschuldigung. Yeah. Ein wirklich wichtiger Hinweis ist, wenn man die Systeme testet,
  • 52:17 - 52:22
    dass beide Szenarien berücksichtigt werden sollen. Konzentrieren Sie sich also nicht
  • 52:22 - 52:28
    nicht nur auf das Senden. Wenn es um das Testen von Alice geht, ist Alice die Organisation, die Ihr
  • 52:28 - 52:34
    Kunde ist. Konzentrieren Sie sich nicht nur auf das Testen von E-Mails, die als Alice versendet
  • 52:34 - 52:39
    werden, sondern auch auf die andere Seite. Denn es ist einfach, z.B. SPF und DMARC zu
  • 52:39 - 52:44
    implementieren, denn für beide brauchen Sie nur eine DNS-Konfiguration. Gerade eine für
  • 52:44 - 52:49
    jede. Aber sie zu testen, sie richtig zu validieren ist schwieriger.
  • 52:49 - 52:53
    Zunächst benötigen Sie die Software-Unterstützung, die man richtig konfigurieren muss.
  • 52:53 - 52:57
    In der Praxis könnte es sein, dass viele Organisationen, die DMARC oder SPF auf der
  • 52:57 - 53:02
    DNS-Seite für ausgehende E-Mailsaktiviert haben, es nicht richtig validieren.
  • 53:02 - 53:08
    Yeah Okay. Sorry ich habe keine Zeit dafür.
  • 53:08 - 53:16
    Das wars. Sorry. Vielleicht einige Fragen.
  • 53:16 - 53:25
    Applaus
  • 53:25 - 53:30
    Herald: Danke Andrew für diesen schönen Vortrag. Natürlich haben wir Zeit für ein paar Fragen.
  • 53:30 - 53:34
    Ich sehe schon eine Person. Mikrophon Nr.2
  • 53:34 - 53:40
    M2: Hey, vielen Dank. Kennen Sie einige gute Tools zur Überwachung von DMARC-
  • 53:40 - 53:44
    Berichten, die ich von meinen Empfängern bekommen habe? A: Yeah. Das ist eine wirklich gute
  • 53:44 - 53:50
    Frage. Wir als CERT empfehlen jedem, dies zu aktivieren. Aber leider sammeln alle Tools, die im
  • 53:50 - 53:55
    Internet verbreitet sind, einige Daten über Sie.
  • 53:55 - 54:00
    Sie verwenden diese für Marketingzwecke.
  • 54:00 - 54:04
    Das ist nicht gut für Ihre Privatsphäre.
  • 54:04 - 54:08
    Wenn Sie darüber besorgt sind, müssen Sie selbst etwas implementieren oder
  • 54:08 - 54:12
    Sie müssen vielleicht ein Open-Source-Projekt starten. Herald: OK, Mikrophone Nr. 1
  • 54:12 - 54:16
    M1: Danke für das gute Gespräch. Ich würde mich selbst als Administrator bezeichnen.
  • 54:16 - 54:24
    Mir wird geraten, den SPF-Eintrag zu kürzen, denn wenn er zu lang ist, wird er gelöscht.
  • 54:24 - 54:29
    Daher bekomme ich den Rat, den PTR-Eintrag zu löschen.
  • 54:29 - 54:35
    Aber in Ihrem Vortrag sagen Sie, dass er für Revers-DNS-Überprüfung nützlich ist,
  • 54:35 - 54:40
    was ich auch auch für nützlich halte.
  • 54:40 - 54:43
    Wie stehen Sie zu Verkürzung Ihres SPF und zum PTR-Datensatz im Allgemeinen?
  • 54:43 - 54:48
    A. Das hängt vom jeweiligen Anwendungsfall ab. Es kann sein, dass einige
  • 54:48 - 54:51
    Organisationen tatsächlich diesen langen SPF benötigen und daran
  • 54:51 - 54:56
    führt kein Weg vorbei. Was Sie tun können, ist, dieses Include einzuschließen. Verwenden Sie
  • 54:56 - 55:01
    Includes, da diese nicht vorhanden sind. Sie sind keine Macros, sie werden nicht erweitert.
  • 55:01 - 55:08
    Überlegen Sie, ob Sie wirklich so viele Datensätze brauchen, die so lang sind.
  • 55:08 - 55:12
    Häufige Probleme darin, sofern Sie nicht Google oder etwas Ähnliches verwenden,
  • 55:12 - 55:17
    benötigen Sie einen so langen SPF nicht wirklich.
  • 55:17 - 55:20
    Es ist wahrscheinlich ein Problem mit einigen.
  • 55:20 - 55:27
    Ja genau. Es ist wahrscheinlich ein Fehler bei den meisten Organisationen.
  • 55:27 - 55:36
    Herald: OK. Nun, sehr. Nur ganz kurz.
  • 55:36 - 55:40
    Nummer 1. M1: Aber auf der PTI-Rocker-Platte habe ich gehört, dass es mich dramatisch unter
  • 55:40 - 55:43
    den Standards gelandet ist. Aber sie ist nicht in den Standards enthalten .
  • 55:43 - 55:49
    A: Er ist im Standard. Nein. Der PTR-Eintrag selbst ist, wenn es wirklich Ihr Anwendungsfall ist.
  • 55:49 - 55:54
    Ich bin mir nicht bewusst, dass er automatisch irgendwo abgelegt wird. Müsste kein Problem sein.
  • 55:54 - 55:56
    Herald: Wir haben ein Menge weiterer Fragen hier.
  • 55:56 - 55:59
    Nummer 6, ganz, ganz hinten.
  • 55:59 - 56:07
    M6: Danke für Ihren Vortrag. Das hängt zwar nicht direkt damit zusammen, aber es könnt.
  • 56:07 - 56:14
    Falls der Mailserver DKIM, DKARC und SPF akzeptiert, ist alles in Ordnung. Aber vor allem bei
  • 56:14 - 56:19
    Google wird die E-Mail bei vielen Organisationen zugestellt, aber als Spam eingestuft.
  • 56:19 - 56:24
    Das bedeutet, dass Sie im Posteingang des Empfängers nicht angezeigt wird.
  • 56:24 - 56:28
    Haben Sie eine Lösung, um diese Problem gegen Google zu lösen?
  • 56:28 - 56:34
    A. Ja, Ok. Also, ich habe verschiedene Meinungen darüber, denn eine Sache, die tatsächlich
  • 56:34 - 56:39
    ermöglicht, was wir eigentlich tun sollten, ist, dass Sie so streng sind. Vielen Dank Google.
  • 56:39 - 56:43
    Denn das ist der einzige Grund, warum wir überhaupt einen hohen Prozentsatz
  • 56:43 - 56:48
    von SPF haben, der selbst falsch konfiguriert ist. Der einzige Grund, warum 70% Webseiten SPF
  • 56:48 - 56:53
    verwenden, ist, dass sie mit Google kommunizieren müssen. Und Google wird Ihre E-Mail
  • 56:53 - 56:57
    nicht akzeptieren, wenn SPF nicht auf der Grundlinie ist. So.
  • 56:57 - 57:04
    Eigentlich macht mir der Job, den ich mache, Spaß. Ich würde es vorziehen, dass Google das tut,
  • 57:04 - 57:10
    was es sagt, Ich verstehe die echten Administratoren, die dieses Problem haben. Google hat das
  • 57:10 - 57:15
    Werkzeug. Sie kenne es wahrscheinlich. Hier können Sie überprüfen, was es über Ihre
  • 57:15 - 57:19
    Domain denkt. Sie müssen dieses Problem also von Fall zu Fall prüfen.
  • 57:19 - 57:24
    Oftmals kommt es vor, dass es trotz DKIM,DMARC etc. nicht richtig konfiguriert ist.
  • 57:24 - 57:29
    Also ist es das, was es ist. Darum ging es im Vortrag. Sie haben es. und sie denken vielleicht, dass Sie
  • 57:29 - 57:31
    es richtig konfiguriert haben, aber es bist einige Fehler.
  • 57:31 - 57:35
    Herald: Okay. Geben wir dem Internet den Vorrang.
  • 57:35 - 57:40
    Signal Angel: Wir haben eine Frage aus dem Internet. Wenn wir versuchen, eine Adresse zu
  • 57:40 - 57:44
    überprüfen, wie wird mit E-Mail-Adressen ohne Antwort umgegangen.
  • 57:44 - 57:50
    A. Keine Antwort, Es tut mir leid. Können Sie es bitte noch einmal vorlesen?
  • 57:50 - 57:55
    Signal Angel: Wenn ich versuche, eine E-Mail Adresse zu überprüfen, wie geht man
  • 57:55 - 58:05
    dann mit No-reply-E-Mails um? A: Vielleicht ging es um die No-reply Kopfzeile?
  • 58:05 - 58:11
    Oder nicht vorhandene IP-Adressen? Signal Angel: Wie geht man mit E-Mails um?
  • 58:11 - 58:15
    No-reply-E-mail-Adressen. A: Ich werde versuchen, eine Antwort darauf zu geben, wie ich es
  • 58:15 - 58:22
    verstehe. Was also oft passiert ist, dass die E-Mail von nicht existierenden Adressen
  • 58:22 - 58:25
    gesendet wird. Das war vielleicht die Frage. Die Beispielfrage "keine Antwort"
  • 58:25 - 58:30
    ist nicht das Problem selbst. Keine Antwort. Das Problem ist, dass es sich nicht um eine echte
  • 58:30 - 58:34
    Adresse handelt. Es gibt keine solche Adresse. Richtig. Und deshalb habe ich keine Antwort
  • 58:34 - 58:39
    darauf. Denn laut RFC sollten Sie es praktisch trotzdem akzeptieren.
  • 58:39 - 58:44
    Ich sagte bereits, dass viele Mailsysteme diese Adressen bereits löschen, wenn sie von
  • 58:44 - 58:46
    nicht vorhandenen Adressen senden. Es sei denn, Sie sind Google oder etwas Großes.
  • 58:46 - 58:50
    Dann werden Sie auf die weiße Liste gesetzt. Sie können es einfach nicht tun.
  • 58:50 - 58:55
    Sie können keine E-Mails von einer nicht existierenden Adresse senden. Falls Sie in einer
  • 58:55 - 59:00
    erartigen Situation sind, erstellen Sie die Adresse entfernen Sie alle E-Mails, die dort eintreffen, aber
  • 59:00 - 59:04
    erstellen Sie die echte Adresse, damit Sie akzeptabel sind, wenn Sie auf der anderen Seite sind,
  • 59:04 - 59:08
    und diese E-Mail erhalten. Das hängt von diesem speziellen Anwendungsfall ab.
  • 59:08 - 59:12
    Überprüfen Sie also einfach, was los ist. Wenn Sie sie kontaktieren können, kontaktieren Sie sie.
  • 59:12 - 59:16
    Wenn Sie sie nicht kontaktieren, dann sollten Sie entscheiden, welches Risiko besteht, wenn Sie
  • 59:16 - 59:24
    dieselben Adressen weglassen. Sind sie wichtig für Sie? Laut RFC sollten Sie diese Adressen
  • 59:24 - 59:29
    also erhalten und verarbeiten. Herald: Okay. Mikrophon Nummer 4 bitte.
  • 59:29 - 59:33
    M4: Hey, danke für diesen Vortrag. Kennen Sie die Bemühungen, Probleme mit großen
  • 59:33 - 59:41
    E-mail-Versendern wie Online- Buchhändlern zu lösen, die sehr groß sind, weil sie anscheinend
  • 59:41 - 59:47
    keine eigenen SPF-Datensätze haben, zum Beispiel in der Kontrolle?
  • 59:47 - 59:53
    A: Ja. In vielen Fällen kann man einfach mit ihnen Kontakt aufnehmen.
  • 59:53 - 59:57
    Die Frage, ob sie nicht darüber nachgedacht haben oder ob ihnen vielleicht niemand gesagt hat, was
  • 59:57 - 60:02
    sie tun sollen oder vielleicht wissen sie nicht, wie sie es besser machen sollen. Das stimmt.
  • 60:02 - 60:05
    Das ist also eine der Sachen, die wir als CERT tun. Falls Sie dieses Problem mit einem großen
  • 60:05 - 60:11
    Unternehmen in einem bestimmten Land haben, schlage ich vor, das CERT zu kontaktieren.
  • 60:11 - 60:14
    Auch wenn es sich nicht um eine Regierungsorganisation handelt, zum Beispiel in Lettland, wenn es
  • 60:14 - 60:19
    sich um ein lettisches Unternehmen handelt. Wir würden die Trage vornehmen.
  • 60:19 - 60:22
    Wir würden versuchen mit ihnen zu reden, ihnen zu erklären, warum sie sich ändern müssen
  • 60:22 - 60:26
    und so weiter. Das ist vielleicht eine Möglichkeit für sie. Aber in der Praxis gilt: Wenn etwas für Sie
  • 60:26 - 60:30
    als Dritte als falsche Konfiguration erscheint, kann ich das in diesem Vortrag nicht erwähnen.
  • 60:30 - 60:34
    Wenn etwas nicht perfekt ist, heißt das nicht, dass es falsch ist.
  • 60:34 - 60:39
    Es könnte tatsächlich einen geschäftlichen Grund dafür geben. Richtig. Es ist zum Beispiel so,
  • 60:39 - 60:42
    wenn es sich um ein großes, ich weiß nicht, Amazon oder etwas in der Art handelt, und wenn sie es
  • 60:42 - 60:47
    getestet haben und wissen, dass sie, wenn sie eine sehr strenge Konfiguration haben, dass dann
  • 60:47 - 60:52
    ein gewisser Prozentsatz ihrer E-Mails einfach nicht ankommen. Nicht wegen ihrer Problems,
  • 60:52 - 60:56
    sofern wegen des Problems von jemand anderem. Richtig.
  • 60:56 - 61:00
    Aber dann gibt es tatsächlich einen echten Geschäftsfall, dass sie das nicht tun.
  • 61:00 - 61:04
    Es wäre dumm, wenn sie diese strikte Konfiguration ermöglichen würden, weil sie wissen, dass es
  • 61:04 - 61:09
    ihrem Geschäft schadet. Das macht Sinn, oder?
  • 61:09 - 61:13
    Herald: Okay. Leider läuft die Zeit für diejenigen aus, die an den Mikrofonen sitzen. Bitte stellen Sie
  • 61:13 - 61:18
    sich einfach bei dem Sprecher neben dem Pult auf. Er wird ganz sicher mit Ihnen sprechen.
  • 61:18 - 61:21
    Applaus
Title:
36C3 - Email authentication for penetration testers
Description:

more » « less
Video Language:
English
Duration:
01:01:53

German subtitles

Revisions