VORSICHT: Bei DREI.AT ein „man in the middle“


Drei.AT - man in the middle

Man in the middle – oder anders gesagt – ein heimlicher Computer zwischen 2 Computern:

Mehrere Kunden aus Österreich konnten plötzlich und ohne einen erkennbaren Grund, keine Mails mehr versenden! Unser Support von 1awww hat den Vorgang dabei untersucht und bedrohliches fest gestellt! Die Suche begann mit den normal üblichen Analysen, wie z.B. kann der Kunde die Webseite aufrufen, was problemlos funktionierte und dann der Versuch via Telnet eben eine Verbindung direkt zum Mail-Server über den Port 25 auf zu bauen, was aber nicht gelang, auch nicht zu verschiedenen anderen Servern auf verschiedenen Host-Systemen! Aber was war da faul, denn die IPs der Kunden waren nirgendwo geblockt, aber nur bei ausgeschalteter Firewall der Zielserver, war dann jeweils der Telnet – Test erfolgreich!

Ein fremder Server von Drei.AT war geblockt – und wieso hatte dies Auswirkungen darauf, daß Kunden via SMTP nicht direkt an unseren Mail-Server senden konnten?

Ohne daß die Kunden es von Drei.AT wissen, werden alle Kommunikationen, die über Port 25 erfolgen, über einen Server geleitet, selbst bei verschlüsselten Verbindungen! Dabei baut der Kunde eigentlich eine Verbindung direkt über die IP zum Zielserver auf, aber bei DREI.AT wird diese einfach an einen anderen Server bei DREI.AT geleitet. Dieser baut eine Verbindung zum MX-Ziel-Server auf, also der IP, die der Kunde erreichen wollte und bei Verschlüsselungs-Anforderung, wird dann zwischen dem Kunden-Computer und dem heimlichen Zwischen-Server verschlüsselt und von diesem Zwischenserver zum Endziel-Server – und klar, die Zugangsdaten werden also erst im heimlichen Zwischenserver zwischengespeichert und dann für den Verbindungs-Aufbau weiter verwendet!

Wahrscheinlich niemanden aufgefallen – bis eben zur Sperrung der IP des heimlichen Zwischen-Servers:

Die IP 109.126.64.2 (von diesem Zwischenserver) war in Blocklist.de von einem anderen User (ISP/Mail-Empfänger) negativ gelistet worden und somit konnten alle Mails, die über DREI.AT, die an andere Provider über den Port 25 versendet werden sollten und bei denen die ISPs die Blackliste von blocklist.de verwendet, nicht versendet werden! Obwohl negativ gelistet, versuchten verschiedene Clients immer wieder an den Mail-Server zu senden, irrsinniger Weise über die gleiche IP und damit kam es dann zur Vollsperrung der IP in der Firewall! Die Suche war eben deshalb so kompliziert, weil eigentlich kein Provider Pakete, die an eine IP adressiert werden, abfiltert und diese mit einer anderen IP versendet!

Wir ahnen, was DREI.AT damit erreichen wollte, aber ob daß wirklich der richtige Ansatz ist?

Also daß IP-Pakete still und heimlich umgeleitet werden, ist schon ein starkes Stück und insbesondere kann dies auch sehr unsicher sein! Man gaukelt ja dem Kunden vor, daß die Pakete direkt fließen. Vielleicht will damit DREI.AT ein Teil von Konfigurations-Fehlern ausmerzen, denn wenn direkt über den Port 465 versendet wird, der verschlüsselte SSL-Port von SMTP, der aber eigentlich nicht mehr verwendet werden soll, werden die Pakete direkt übertragen! Heut zu Tage soll Port 25 mit STARTTLS verwendet werden, so gibt das CERT daß aktuell vor! Auch könnte bei einem zwischen gepufferten IP-Traffic dieser mit gelesen werden! Also jeder darf sich dazu gerne seine eigenen Gedanken machen und auch gerne dazu mit diskutieren!

Noch gefährlicher ist es, wenn ein Kunde Spam verschickt und diese Zwischen-Server-IP von DREI.AT negativ gelistet wird. Dann kann keiner der Millionen Internet-User mehr eine Mail versenden, wohlgemerkt, wenn diese Blacklisten dann auch von den MX-Servern, die die Mails entgegen nehmen sollen, verwenden!

Workarround:

Stellen Sie Ihren SMTP-Ausgang auf Port 465 um und verwenden Sie vorrübergehend statt STARTTLS einfach SSL oder TLS, sofern Ihr Provider dies ermöglicht! Port 465 soll eigentlich nicht mehr verwendet werden, sondern Port 25 mit STARTTLS, aber dies ist scheinbar sehr unsicher über DREI.AT

Und daß könnte Sie auch interessieren:

VORSICHT: WordPress-MySQL-Injection durch SEO-Plugin Yoast

Virenschutz-Software soll Windows-Systeme zerschiessen

VNC-Root-Server mit XFCE unter Debian 8.0 Jessie (Testing)

.KAUFEN – eine interessante Domain in Sonder-Spar-Aktion

.CLUB-Domains – Spar-Preis-Promotion

5 Gedanken zu „VORSICHT: Bei DREI.AT ein „man in the middle““

  1. Zitat von 3Österreich in Facebook: „Hallo Christian, unserer Ansicht nach handelt es sich um einen Vorzeigefall des §16a TKG: § 16a (1) TKG verpflichtet den Betreiber eines öffentlichen Kommunikationsnetzes dazu, geeignete Maßnahmen zur Gewährleistung der Integrität seines Netzes zu ergreifen und die fortlaufende Verfügbarkeit der über dieses Netz erbrachten Dienste sicher zu stellen. Genau das ist hier der Fall. Vor Einführung des Filters waren die IP-Adressranges von Drei auf zahlreichen Sperrlisten anderer Telekommunikationsbetreiber, da von ihnen aus große Mengen SPAM versandt wurden. Dadurch waren die von diesen Betreibern unterhaltenen Web- und Mailserver von Kunden-Mailservern, sowie vom Mailserver von Drei, nicht mehr erreichbar. Damit konnte unser Kommunikationsnetz nicht mehr seine Aufgabe erfüllen, nämlich unseren Nutzern den uneingeschränkten Zugang zu sämtlichen öffentlichen Angeboten im Internet zu verschaffen. Die Verfügbarkeit der über unser Netz erbrachten Dienste war somit nicht sichergestellt und die Einführung eines Filters notwendig. Und um deine Frage noch zu beantworten: Ja, es ist legal.

    P.S. Die Grafik auf in dem Blogg ist nicht ganz korrekt, da es sich um SMTPOUT handelt. “

    Anmerkung von uns:

    In der Grafik wird beschrieben, daß es sich bei dem „heimlichen Server“ nur um Verbindungen über den Port 25 handelt, der für SMTPOUT verwendet wird! Allerdings wird dieser „heimliche Server“ auch für verschlüsselte SMTP-OUT verwendet, sofern über Port 25 – Mail-Header-Auszug: „Received: from “ **** nachträglich Kunden-Daten hier im Blog-Artikel entfernt! **** „(smtpout2.drei.com [109.126.64.2])
    (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits))
    (No client certificate requested)“

    Dem Endkunden bei DREI.AT wird vorgekaukelt, daß der Kunde die SMTP-Verbindung Port 25 verschlüsselt direkt zum Zielserver aufgebaut hat (SMTP-Server), aber tatsächlich erfolgt offensichtlich nur eine Verschlüsselung vom Kunden-Computer zum „heimlichen Server“ und von dort aus zum SMTP-Server!

  2. Das hätten die Leute von drei.at vielleicht etwas offensiver kommunizieren sollen, aber grundsätzlich kann ich durchaus nachvollziehen, warum sie so einen Filter implementieren.

    Wenn jemand seinen Mailclient so konfiguriert hat, dass er sich für SMTP-Verbindungen auf Port 25 oder 465 anstatt Port 587 mit dem Mailserver verbindet, dann hat er schlicht seinen Mailclient falsch konfiguriert (dass z.B. die Entwickler von Outlook bis heute zu imkompetent sind, da sinnvolle Default-Werte vorzugeben, macht die Sache natürlich nicht einfacher).

    Es gibt genau ein einziges Szenario, wo der o.g. Filter einen legitimen Nutzer treffen würde: Nämlich wenn jemand meint, dass er an seinem DSL-Anschluss zu Hause unbedingt seinen eigenen Mailserver betreiben muss, und zu geizig ist, sich für <5€/Monat nen vServer zu holen, über den er ausgehende SMTP-Verbindungen laufen lässt (wahlweise über VPN oder über SMTP Forwarding). Und selbst in diesem Fall wären IMHO die Interessen des Providers und der übrigen Kunden höher zu gewichten – insbesondere wenn man weiß, dass die meisten Mailserver heutzutage eh keine Mails mehr annehmen von Servern, die ne dynamische IP-Adresse aus dem "Privatkunden-Pool" eines ISPs verwenden, weil von diesen IP-Ranges in 99,9% der Fälle eh nur Spam kommt. Drei.at ist ein ISP und kein Bulletproof Hoster.

    1. Ich denke auch, einfach einen „Man-in-the-middle“ dazwischen zu schalten, einfach unrecht ist, insbesondere bei gesicherten Verbindungen! Zu überwachen, wer über den Port 25 Spam versendet, ist eine andere Sache und dann kann man dies auch einfach durch eine Sperrung des Ports 25 lösen! Lt. RFC ist aber auch die Verwendung von Port 25, statt anderer Ports, immer noch für den normalen Mail-Verkehr erlaubt! Es gibt also durchaus „ALTE“ Server, die weiterhin auch die Mails von Mail-Programmen über den Port 25 erwarten! Wir kennen einen großen Mitbewerber, der bietet auch heute noch und in großem Umfang Confixx-Server an und diese können nun wirklich nicht mehr sicher sein! Also Sachen gibt es, die dürfte es eigentlich gar nicht geben!

      Daher ist also eine generelle Sperrung des Ports 25, für einen Telekommunikationsprovider, wie 3AT, auch nicht sinnvoll! Nur alles über einen „Man-in-the-middle“ zu leiten, ist einfach dreist und verstößt unseres Erachtens, sogar gegen das Postgeheimnis! CT (heise.de) war an dem Fall sogar dran und hatte diesbezüglich nachgeforscht, aber diesen Fall dann nicht öffentlich berichtet – Vielleicht war die Nummer zu groß für heise.de? Auf jeden Fall werden wir uns bei einem nächsten Sicherheitsvorfall garantiert nicht mehr an heise.de wenden!

      Danke Pascal für Ihren Kommentar!

Schreibe einen Kommentar zu Administrator Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert