Kategorie: Sicherheit

Eine E-Mail kann Ihren Standort verraten – Prüfung und Abhilfe mittels IP Stripping

mailserverblogde Schreib einen Kommentar

Welche “geheimen” Informationen gibt eine E-Mail Preis? Kann Ihr Chef wissen, wo Sie sich gerade aufhalten?

Weiß Ihr Geschäftspartner, dass Sie vielleicht gerade noch zu Hause sind und gar nicht im Büro?

Bei vielen E-Mail Clients, Webmail-Clients und Mailservern wird die Ursprungs-IP in den Header geschrieben. Dies gilt beispielsweite für (aber nicht nur) Office 365 und dem Exchange Server.

Einerseits dient dieses Feature der Sicherheit, da jederzeit die Ursprungs-IP ermittelt werden kann, andererseits könnte man sich so auch in seiner Privatsphäre verletzt fühlen.

Sieht man sich den Mailheader an, findet man darin ein Feld “X-Originating-IP” (Wikipedia) – dieses Feld beinhaltet die Ursprungs-IP der Mail. Also die IP des Clients, somit lässt sich leicht der Aufenthaltsort z.B. ermitteln (Traceroute zur IP, handelt es sich dabei um einen Mobilfunkanbieter, etc.)

Das nachfolgende Beispiel stammt von Office365, dort steht ganz klar die Absender IP [188.x.x.x]:

owa

Wie kann ich überprüfen, ob mein Server / Client die Information preisgibt?

Das AXIGEN-Webmailinterface und GoogleMail bspw. senden diese Information nicht mit.

Um Ihr System zu prüfen, müssen Sie den Mailheader analysieren. Am Einfachsten ist es, wenn Sie einen Echo-Mailer verwenden. Senden Sie hierzu z.B. eine E-Mail an echo@axigenmailgate.de – kurz darauf erhalten Sie eine E-Mail zurück, die den kompletten Mailheader darstellt.

Dort können Sie bspw. nach Ihrer IP suchen:

echo

IP aus Header entfernen: IP-Stripping

Sollte diese Information sich im Header befinden, so lässt sich diese mit dem richtigen Mailsystem entfernen. Diesen Vorgang nennt man “IP Stripping”.

Wenn Sie auf Ihrem System einzelne Felder aus dem Header entfernen möchten, müssen Sie in den Verarbeitungsprozess eingreifen. Bei AXIGEN können Sie hierzu eine Routing-Regel anlegen (Webadmin => Security & Filtering =>  Advanced Settings => “Add Acceptance / Routing Rule”).

Diese kann z.B. wie folgt aussehen:

rule

Mit dieser Regel entfernen Sie beispielweise das erste Auftreten des X-Originating-IP Headers aus allen Mails. Somit schützen Sie die Privatsphäre von Empfängern und Absendern eingehender und ausgehender Mails.

Natürlich können Sie so auch andere Felder manipulieren oder entfernen.

FREAK – SSL-Lücke bedroht Web- und Mailserver, Android und Apple betroffen

mailserverblogde Schreib einen Kommentar

Inzwischen vergeht gefühlt kaum ein Monat, an dem nicht eine neue SSL-Sicherheitslücke bekannt wird. Die neueste Sicherheitslücke nennt sich FREAK und ist bereits seit vielen Jahren in den SSL-Bibliotheken enthalten – somit ein Relikt aus der Vergangenheit.

Betroffen sind viele Webseiten (OpenSSL vor 1.0.1k), der Android-Browser und Apples Browser Safari.
Weitere Details finden sich dazu bei Heise.

Aber auch viele Mailserver können betroffen sein. Daher sollten Sie Ihre Systeme dringend aktualisieren. Patches sind bereits teilweise verfügbar oder werden in Kürze verfügbar sein.

Mit AXIGEN 8.2.0+ sind Sie auf der sicheren Seite. Sollten Sie noch eine ältere Version haben, empfehlen wir dringend ein Upgrade.

Verwenden Sie zur Verschlüsselung folgenden Cipher:
ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Weitere Details zu den möglichen Cipher-Optionen und Konfigurationen finden sich auch bei Mozilla:
https://wiki.mozilla.org/Security/Server_Side_TLS

für Webserver gibt es auch einen entsprechenden Cipher-Generator: https://mozilla.github.io/server-side-tls/ssl-config-generator/

Um Ihren Server zu testen, bietet sich folgendes Test-Tool an:
https://www.ssllabs.com/ssltest/

Um Ihren Browser zu testen, verwenden Sie folgendes Test-Tool:
https://www.ssllabs.com/ssltest/viewMyClient.html

oder auch

https://freakattack.com/

GHOST Sicherheitslücke (CVE-2015-0235) – Linux Systeme (und natürlich Mailserver) schnellstmöglich patchen

mailserverblogde Schreib einen Kommentar

Am 27.01.2015 wurde eine neue Sicherheitslücke der GLIBC mit dem Namen “GHOST” bekannt:

– https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
– https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt

Die Sicherheitslücke selbst ist ziemlich alt. Betroffen sind zahlreiche Linux Systeme. Nach Informationen von heise.de sind der Mailserver Exim, und auch der Mailserver procmail betroffen. Der Fehler liegt in der Funktion gethostbyname().

Unser Mailserver-Produkt AXIGEN ist nicht betroffen, wie wir analysiert haben.

Nachdem jedoch auch weitere Programme und Dienste auf dem Server betroffen sein können, empfehlen wir dennoch die Systeme schnelstmöglich über die Paketverwaltung zu aktualisieren.

Abschaltung der DNS-Blacklist AHBL und die Folgen

mailserverblogde Schreib einen Kommentar

Die DNS-Blacklist AHBL (Abusive Hosts Blocking List) stellte bereits zum Jahreswechsel ihre Dienste ein. Das wurde bereits im März 2014 angekündigt. Das hatten entweder einige nicht mitbekommen oder vergessen.

Die Blacklist existiert zwar weiter, markiert jedoch ALLE E-Mails seit Jahreswechsel als Treffer, also als Spammer und damit geblockt.

Gestern, am 07.01.2015 kam es zu zahlreichen Problemen, da viele Dienste noch diese Blacklist eingebunden hatten. Dies führte zu zahlreichen abgelehnten Mails, die nicht zugestellt werden konnten.

Leider gab es auch einige versteckte Nutzungen der Liste (als Sammel oder Fallback-Score), sodass es nicht immer einfach ist, herauszufinden, ob die Liste verwendet wird oder nicht.

Das Verhalten der AHBL ist schwer nachzuvollziehen, denn letztlich wurde eine Massenwelle ausgelöst. Eine einfache Abschaltung wäre besser gewesen.

So wurden nämlich genau die Falschen bestraft: Mails gehen an einen Server, der noch die Blacklist (ggf. auch unbewusst) verwendet. Der Absender erhält eine Warung zurück, dass sich sein Mailserver auf der Liste befindet und informiert seine eigene IT. Diese sucht dann ggf. verzweifelt, warum man auf der Blacklist sei und ob die eigene Infrastruktur betroffen ist. Ist sie natürlich nicht.

Stattdessen wird großer Aufwand (und ggf. weitere Probleme) produziert, der nicht hätte sein müssen.

Daher muss jeder Admin nun prüfen, ob er (oder eine Sub-Dienst) diese Liste noch einsetzt und unbedingt aus der Verwendung entfernen. Diese Liste kann ggf. auch im Spamassassin eingebunden sein.

Mails zukunftssicher verschlüsseln mit PFS (Perfect Forward Secrecy)

mailserverblogde Schreib einen Kommentar

Zahlreiche SSL-Sicherheitslücken und nicht zuletzt der NSA-Skandal machen den Einsatz von PFS  unumgänglich. Wie PFS funktioniert, können Sie z.B. hier nachlesen.

Um Ihren Mailserver mit PFS abzusichern, ist es notwendig, dass ihr Mailserver PFS überhaupt unterstützt (das tun noch nicht alle Produkte) und Sie die richtigen Cipher-Suites verwenden.

Bei unserem Mailserver AXIGEN (ab Version 8.2.) funktioniert das in den SSL-Listener-Einstellungen:

cipher
Der zu verwendende Cipher lautet:

ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Sobald der Cipher entsprechend eingetragen wurde, z.B. beim Webmail-Listener, kann die Unterstützung für PFS mit folgendem Kommando geprüft werden:

openssl s_client -connect SERVER:PORT -showcerts -crlf -cipher ECDHE-RSA-RC4-SHA

SERVER und PORT sollten natürlich durch die gewünschten Werte ausgetauscht werden.

Die Ausgabe sieht dann wie folgt aus, dort finden Sie die Bestätigung, dass die korrekten Cipher verwendet werden:

openssl2