[linux-l] was ist das

Christoph Biedl cbiedl at gmx.de
Do Sep 23 00:06:12 CEST 2004 

Stefan Osten wrote...

> Mich würde daher auch interessieren, wie 
> man den Header manipulieren kann.

Entsetzlich einfach.

> Natürlich ist 
> mein Interesse darauf beschränkt, durch dieses 
> Wissen eventuelle Sicherheitslücken im System 
> schließen zu können.

Die Diskussionen dazu sind schon zahlreich, und eine brauchbare Lösung
ist nicht in Sicht (auch SPF wird da nicht viel bringen).

> Möchte einer von den Wissenden sein Wissen mit uns 
> Unwissenden teilen?

So schickst Du mir eine E-Mail, und Dein Mailserver macht nichts
wesentlich anderes. Das ist _richtig_ _altes_ Zeugs: RfC 821 und 822
haben über zwanzig Jahre auf dem Buckel. Fälschung war damals kein
Thema.

# Das ist ein Kommentar

# Welcher Mailserver ist für gmx.de zuständig?
$ host -t mx gmx.de
gmx.de mail is handled by 10 mx0.gmx.net.
gmx.de mail is handled by 10 mx0.gmx.de.
# OK, wir suchen uns einen davon aus:
$ telnet mx0.gmx.de 25
Trying 213.165.64.100...
Connected to mx0.gmx.de.
Escape character is '^]'.
220 {mx021} GMX Mailservices ESMTP
# Wir stellen uns vor, sollte eigentlich unser Hostname sein, ist aber
# egal.
HELO localhost
250 {mx021} GMX Mailservices
# Wir geben unseren Absender an
MAIL FROM:<cbiedl at gmx.de>
250 2.1.0 {mx021} ok
# ... und den Empänger
RCPT TO:<cbiedl at gmx.de>   
250 2.1.5 {mx021} ok
# Jetzt der Inhalt der Mail. Abschluß mit '.'
DATA
354 {mx021} Go ahead
From: cbiedl at gmx.de
To: cbiedl at gmx.de
Subject: linux-l Spielkind unterwegs

Nach einer Leerzeile kommt der Body.
(Tip: kill `pidof telnet` in einem anderen Fenster)
.
250 2.6.0 {mx021} Message accepted
# Damit ist die Mail unterwegs.
# und tschüß
QUIT
221 2.0.0 {mx021} GMX Mailservices
Connection closed by foreign host.
$

Zusammengefaßt: 
- Die Abenderadresse im Envelope-From: (MAIL FROM) kann beliebigen Müll
  enthalten. Hier will SPF (Sender Permitted Framework) eingreifen,
  wird dabei aber deutlich weniger leisten als versprochen wird.
- Die Adressen im Inhalt der Nachricht (From:/To:) sind _nicht_ für die
  Zustellung relevant. Das überrascht viele Leute immer wieder (Warum
  habe ich die Mail bekommen, obwohl ich gar nicht im To: stehe?).
- Bei der Rückverfolgung sind nur die Received-Zeilen brauchbar, die von
  den Mailservern unterwegs hineingeschrieben werden. Die sind von oben
  nach unten zu lesen, und da noch ein paar gefälschte dazuzutun, ist
  schon seit Jahren gängige Übung; darauf reinzufallen und unbeteiligte
  abuse desks zu nerven, auch :-|
- Wer auf solche wakeligen Angaben, die auch und gerade von Würmern
  gefälscht werden, automatisiert antwortet "Sie haben uns gerade einen
  Virus geschickt!", betreibt Netzmißbrauch, denn es trifft sicher den
  Falschen.

Dringend angebracht wäre, auch in Hinblick auf TKÜV, ein kryptographisch
abgesichertes Mailsystem, daß den Sender zweifelsfrei identifierziert
und auch noch die Mail unterwegs verschlüsselt. Aber das bringst Du
nicht auf massenkompatibel.

    Christoph

PS: Achja, wer Obiges durchspielt und mir somit Mail schickt, wird geoutet.

Mehr Informationen über die Mailingliste linux-l