Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.682.435 Produkten

Jürgen Schmidt 255

Viele Mail-Programme anfällig für neue Spam-Tricks Update

Viele Mail-Programme anfällig für neue Spam-Tricks

Durch spezielle Kodierung lassen sich Anti-Spam-Techniken austricksen. Spammer können dem Empfänger damit einen beliebigen, vertrauensfördernden Absender vorgaukeln. Ein Forscher demonstriert das ausgerechnet mit Trumps "potus@whitehouse.gov".

Eines der zentralen Probleme von E-Mail ist, dass deren Absenderadressen nicht wirklich vertrauenswürdig sind, sondern sich sogar recht leicht fälschen lassen. Mit Hilfe von Anti-Spam-Techniken wie DMARC (DKIM/SPF) können Mail-Server solche Tricksereien jedoch mittlerweile oft entlarven und die Mails als Spam erkennen oder gleich ganz abweisen. Durch zusätzliche Tricks könnten Spammer das jedoch umgehen, demonstriert der Sicherheitsforscher Sabri Haddouche und nennt das ganze Mailsploit (angelehnt an den Exploit, der eine Sicherheitslücke ausnutzt).

Anzeige

Haddouche nutzt für seine Demos die Tatsache, dass E-Mail-Header, in denen der Absender aufgeführt sein muss, ausschließlich reine ASCII-Zeichen enthalten dürfen. Alle Sonderzeichen müssen gemäß dem Internet-Standard (RFC-1342) speziell kodiert sein – etwa als Base-64 oder Quoted-Printable. Dummerweise interpretieren Server beim Anwenden der DKIM-Regeln diese Zeichenfolgen oft anders als die Mail-Clients – insbesondere wenn man noch besondere Zeichen wie das Null-Byte \0 oder Zeilenumbruch \n einstreut.

Der Server sieht in den Test-Mails von Haddouche dann beispielsweise den korrekten Absender "demo@mailsploit.com" und leitet die Mail normal weiter. Clients hingegen extrahieren aus der Zeichenkette das einkodierte "potus@whitehouse.gov" und zeigen dem Anwender den US-Präsidenten als Absender an. (Wieso ein Internet-Nutzer, der seine Sinne halbwegs beieinander hat, ausgerechnet einer Mail von Donald Trump etwas glauben sollte, erklärt Haddouche dabei nicht). In einigen Einzelfällen wie Yahoo Mail kann ein Angreifer auf diesem Weg einem Mail-Programm sogar Code unterjubeln, der zur Ausführung gelangt (Cross Site Scripting, XSS).

Anfällig für diese Tricks sind laut Haddouche über 30 Email-Programme, darunter die von Apple (Mail für iOS und macOS), Microsoft (Mail für Windows 10) und Mozilla (Thunderbird bis 52.5.0). Außerdem sind demnach auch eine Reihe von Web-Mail-Plattformen wie Hushmail und Protonmail anfällig – nicht jedoch GMX, 1&1, Google-Mail und Microsoft Outlook Web.

Einige der vorab informierten Hersteller haben das Verhalten ihrer Software bereits geändert; andere wie Mozilla und Opera verorten das Fehlverhalten auf der Seite des Servers und wollen deshalb nichts unternehmen ("Won't Fix"). Haddouche stellt eine umfangreiche Tabelle mit dem Status der getesteten Plattformen als Google-Tabelle bereit. Außerdem kann man sich eine ganze Reihe von harmlosen Demo-Mails mit verschiedenen Mailsploit-Tricksereien zusenden lassen.

Update 17:15, 7.12.2017: Mozilla hat gegenüber heise Security erklärt, dass man das Verhalten von Thunderbird sehr wohl als Fehler einstufe, an dessen Beseitigung auch bereits gearbeitet wird. Eine Einstufung als "Won't fix" sei nicht erfolgt; diese Angabe von Haddouche beruhe wohl auf einem Missverständnis in der Kommunikation. (ju)

255 Kommentare

Themen:

Anzeige
  1. Thunderbird bleibt bei Mozilla – und wird unabhängig

    Thunderbird bleibt bei Mozilla – und wird unabhängig

    Die Zukunft von Thunderbird ist offenbar gesichert: Mozilla wird das "rechtliche und fiskalische Zuhause" für das Projekt. Die operative Steuerung nimmt Thunderbird künftig aber selbst in die Hand.

  2. Thunderbird: Version 52.5.2 fixt Mailsploit und weitere Schwachstellen

    Thunderbird: Version 52.5.5 fixt Mailsploit und weitere Schwachstellen

    Mozilla reagiert auf unlängst von Forschern entdeckte Sicherheitsprobleme und bessert seinen Mail-Client nach. Nutzer sollten zeitnah auf die aktuelle Version umsteigen.

  3. Browser noch immer für Phishing per Unicode-Domain anfällig

    Browser noch immer für Phisihing durch Unicode-Domains anfällig.

    Fast 15 Jahre nach der Einführung internationaler Domainnamen (IDN) sind Chrome, Firefox und andere Browser noch immer für Phishing mittels homographischer Angriffe anfällig. Die bisherigen Gegenmaßnahmen der Browser sind unzureichend.

  4. Thunderbird-Projekt stellt neue Entwickler ein

    Thunderbird-Projekt stellt neue Mitarbeiter ein

    Lebenszeichen von Thunderbird: Vier neue Mitarbeiter sollen das Projekt weiter voranbringen – gesucht werden noch Entwickler, die die Codebasis modernisieren. Außerdem erschien eine Beta-Version mit dem neuen Photon-Design.

  1. Mac: Signatur in Thunderbird einfügen

    Du möchtest, dass deine Signatur unter deinen Thunderbird-Mails erscheint? Dann folge einfach unserer Anleitung.

  2. Wie funktioniert Webhosting?

    Mit eigenem Webspace lassen sich Webseiten oder privater Cloud-Speicher aufsetzen - wenn man weiß, wie Hoster funktionieren und was man braucht.

  3. E-Mails verschlüsseln - lohnt sich das?

    E-Mail-Verschlüsselung ist seit Jahren ein Thema. Und seit Jahren setzt sie sich nicht durch. Das hat verschiedene Gründe. Wir zeigen trotzdem, wie es geht.

  1. Godwin's Law auf Islamistisch

    Der "Takfir"-Vorwurf nimmt in dezidiert moslemisch ausgerichteten Foren die Position ein, welche im restlichen Internet dem Nazivergleich zukommt

  2. Österreich: Mit permanenten Tabubrüchen wird eine neue Normalität geschaffen

    Österreichs Rechtsregierung bekennt sich immer offener zu ihrer lang verleugneten Zuneigung zum Nationalsozialismus. Ein Kommentar

Anzeige