VORSICHT: Bei DREI.AT ein „man in the middle“


Drei.AT - man in the middle

Man in the middle – oder anders gesagt – ein heimlicher Computer zwischen 2 Computern:

Mehrere Kunden aus Österreich konnten plötzlich und ohne einen erkennbaren Grund, keine Mails mehr versenden! Unser Support von 1awww hat den Vorgang dabei untersucht und bedrohliches fest gestellt! Die Suche begann mit den normal üblichen Analysen, wie z.B. kann der Kunde die Webseite aufrufen, was problemlos funktionierte und dann der Versuch via Telnet eben eine Verbindung direkt zum Mail-Server über den Port 25 auf zu bauen, was aber nicht gelang, auch nicht zu verschiedenen anderen Servern auf verschiedenen Host-Systemen! Aber was war da faul, denn die IPs der Kunden waren nirgendwo geblockt, aber nur bei ausgeschalteter Firewall der Zielserver, war dann jeweils der Telnet – Test erfolgreich!

Ein fremder Server von Drei.AT war geblockt – und wieso hatte dies Auswirkungen darauf, daß Kunden via SMTP nicht direkt an unseren Mail-Server senden konnten?

Ohne daß die Kunden es von Drei.AT wissen, werden alle Kommunikationen, die über Port 25 erfolgen, über einen Server geleitet, selbst bei verschlüsselten Verbindungen! Dabei baut der Kunde eigentlich eine Verbindung direkt über die IP zum Zielserver auf, aber bei DREI.AT wird diese einfach an einen anderen Server bei DREI.AT geleitet. Dieser baut eine Verbindung zum MX-Ziel-Server auf, also der IP, die der Kunde erreichen wollte und bei Verschlüsselungs-Anforderung, wird dann zwischen dem Kunden-Computer und dem heimlichen Zwischen-Server verschlüsselt und von diesem Zwischenserver zum Endziel-Server – und klar, die Zugangsdaten werden also erst im heimlichen Zwischenserver zwischengespeichert und dann für den Verbindungs-Aufbau weiter verwendet!

Wahrscheinlich niemanden aufgefallen – bis eben zur Sperrung der IP des heimlichen Zwischen-Servers:

Die IP 109.126.64.2 (von diesem Zwischenserver) war in Blocklist.de von einem anderen User (ISP/Mail-Empfänger) negativ gelistet worden und somit konnten alle Mails, die über DREI.AT, die an andere Provider über den Port 25 versendet werden sollten und bei denen die ISPs die Blackliste von blocklist.de verwendet, nicht versendet werden! Obwohl negativ gelistet, versuchten verschiedene Clients immer wieder an den Mail-Server zu senden, irrsinniger Weise über die gleiche IP und damit kam es dann zur Vollsperrung der IP in der Firewall! Die Suche war eben deshalb so kompliziert, weil eigentlich kein Provider Pakete, die an eine IP adressiert werden, abfiltert und diese mit einer anderen IP versendet!

Wir ahnen, was DREI.AT damit erreichen wollte, aber ob daß wirklich der richtige Ansatz ist?

Also daß IP-Pakete still und heimlich umgeleitet werden, ist schon ein starkes Stück und insbesondere kann dies auch sehr unsicher sein! Man gaukelt ja dem Kunden vor, daß die Pakete direkt fließen. Vielleicht will damit DREI.AT ein Teil von Konfigurations-Fehlern ausmerzen, denn wenn direkt über den Port 465 versendet wird, der verschlüsselte SSL-Port von SMTP, der aber eigentlich nicht mehr verwendet werden soll, werden die Pakete direkt übertragen! Heut zu Tage soll Port 25 mit STARTTLS verwendet werden, so gibt das CERT daß aktuell vor! Auch könnte bei einem zwischen gepufferten IP-Traffic dieser mit gelesen werden! Also jeder darf sich dazu gerne seine eigenen Gedanken machen und auch gerne dazu mit diskutieren!

Noch gefährlicher ist es, wenn ein Kunde Spam verschickt und diese Zwischen-Server-IP von DREI.AT negativ gelistet wird. Dann kann keiner der Millionen Internet-User mehr eine Mail versenden, wohlgemerkt, wenn diese Blacklisten dann auch von den MX-Servern, die die Mails entgegen nehmen sollen, verwenden!

Workarround:

Stellen Sie Ihren SMTP-Ausgang auf Port 465 um und verwenden Sie vorrübergehend statt STARTTLS einfach SSL oder TLS, sofern Ihr Provider dies ermöglicht! Port 465 soll eigentlich nicht mehr verwendet werden, sondern Port 25 mit STARTTLS, aber dies ist scheinbar sehr unsicher über DREI.AT

Und daß könnte Sie auch interessieren:

VORSICHT: WordPress-MySQL-Injection durch SEO-Plugin Yoast

Virenschutz-Software soll Windows-Systeme zerschiessen

VNC-Root-Server mit XFCE unter Debian 8.0 Jessie (Testing)

.KAUFEN – eine interessante Domain in Sonder-Spar-Aktion

.CLUB-Domains – Spar-Preis-Promotion

2 Gedanken zu „VORSICHT: Bei DREI.AT ein „man in the middle““

  1. Zitat von 3Österreich in Facebook: „Hallo Christian, unserer Ansicht nach handelt es sich um einen Vorzeigefall des §16a TKG: § 16a (1) TKG verpflichtet den Betreiber eines öffentlichen Kommunikationsnetzes dazu, geeignete Maßnahmen zur Gewährleistung der Integrität seines Netzes zu ergreifen und die fortlaufende Verfügbarkeit der über dieses Netz erbrachten Dienste sicher zu stellen. Genau das ist hier der Fall. Vor Einführung des Filters waren die IP-Adressranges von Drei auf zahlreichen Sperrlisten anderer Telekommunikationsbetreiber, da von ihnen aus große Mengen SPAM versandt wurden. Dadurch waren die von diesen Betreibern unterhaltenen Web- und Mailserver von Kunden-Mailservern, sowie vom Mailserver von Drei, nicht mehr erreichbar. Damit konnte unser Kommunikationsnetz nicht mehr seine Aufgabe erfüllen, nämlich unseren Nutzern den uneingeschränkten Zugang zu sämtlichen öffentlichen Angeboten im Internet zu verschaffen. Die Verfügbarkeit der über unser Netz erbrachten Dienste war somit nicht sichergestellt und die Einführung eines Filters notwendig. Und um deine Frage noch zu beantworten: Ja, es ist legal.

    P.S. Die Grafik auf in dem Blogg ist nicht ganz korrekt, da es sich um SMTPOUT handelt. “

    Anmerkung von uns:

    In der Grafik wird beschrieben, daß es sich bei dem „heimlichen Server“ nur um Verbindungen über den Port 25 handelt, der für SMTPOUT verwendet wird! Allerdings wird dieser „heimliche Server“ auch für verschlüsselte SMTP-OUT verwendet, sofern über Port 25 – Mail-Header-Auszug: „Received: from “ **** nachträglich Kunden-Daten hier im Blog-Artikel entfernt! **** „(smtpout2.drei.com [109.126.64.2])
    (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits))
    (No client certificate requested)“

    Dem Endkunden bei DREI.AT wird vorgekaukelt, daß der Kunde die SMTP-Verbindung Port 25 verschlüsselt direkt zum Zielserver aufgebaut hat (SMTP-Server), aber tatsächlich erfolgt offensichtlich nur eine Verschlüsselung vom Kunden-Computer zum „heimlichen Server“ und von dort aus zum SMTP-Server!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.