[Internetkopfgeldjäger]

Hallo,

es geht zwar ein kleines bißchen Richtung OT,
aber es läßt mir noch keine Ruhe:
Habe noch einmal einen guten Teil der Diskusion auf Heise
zum Thema BSI und Wurmverteilung gelesen. (war eine Quälerei)

Also könnte ich mir jetzt auch folgendes Konstrukt vorstellen:
Mailserver läuft auf einem an und für sich sicheren System, (OS eimnmal außen vor)
bekommt normalerweise für den Mailverteiler nur von Sender "A"
die Mails zur Weiterverteilung.

Während der Wartungarbeiten wurde versehentlich auch die
Möglichkeit eingeschaltet, von anderen Mailversendern Mails zu empfangen.

Sender "XY" hat die Wurm-Email in den Mailverteiler geschickt und los ging´s"


Gruß, Internetkopfgeldjäger

[Graumagier]

Dann müsste derjenige, der die Mail von "XY" gesendet hat, aber gewusst haben, dass in diesem Moment Wartungsarbeiten stattfinden, sprich er kennt sich in den internen Strukturen der Firma aus, ergo könnte er sich auch gleich mit einem USB-Stick bewaffnen und das Netzwerk verseuchen.

Abgesehen davon, dass eine solche fehlerhafte Weiterleitung eigentlich von der Firewall der Firma unterbunden werden sollte.

[Rika]

Zitat

Dann müsste derjenige, der die Mail von "XY" gesendet hat, aber gewusst haben, dass in diesem Moment Wartungsarbeiten stattfinden,

Nein, es war ein ganz normale gespoofte Mail, wie sie tausende Dosen dort draußen produzieren und rausblasen, und hier zigfach einschlagen. Vor, während und nach den Wartungsarbeiten.

Zitat

Abgesehen davon, dass eine solche fehlerhafte Weiterleitung eigentlich von der Firewall der Firma unterbunden werden sollte.

SMTP-Authentifizierug ist Sache des Mailservers, nicht der Firewall.

[Graumagier]

Ich habe Internetkopfgeldjägers Beispiel etwas falsch verstanden bzw. verstehe es jetzt nicht mehr richtig

Welcher eine Mailversender sollte das denn sein, von dem ein Mailserver von außerhalb seine E-Mails erhält? Holt sich ein Mailserver i.d.R. nicht die Mails von diversen externen Accounts, wenn überhaupt?

Zitat

Nein, es war ein ganz normale gespoofte Mail

Wozu eigentlich spoofen? Dem Mailserver ist das doch egal, wenn er von beliebigen Sendern empfangen kann/soll. Oder geht es darum, dass ein entsprechender Link in der Mail von den Empfängern angeklickt werden soll?

Zitat

SMTP-Authentifizierug ist Sache des Mailservers, nicht der Firewall.

Und was hat SMTP-Authentifizierung mit dem Empfang von Mails zu tun? Oder meinst du das Weiterleiten von verseuchten Mails? Ich meinte eigentlich, dass ein entsprechender Server im Fall von Wartungsarbeiten im Netzwerkzugang etwas eingeschränkt werden sollte.

Dieser Beitrag wurde von Graumagier bearbeitet: 13. März 2005 - 18:23

[Rika]

Zitat

Welcher eine Mailversender sollte das denn sein, von dem ein Mailserver von außerhalb seine E-Mails erhält?

Ein anderer Mailserver.

Zitat

Wozu eigentlich spoofen? Dem Mailserver ist das doch egal, wenn er von beliebigen Sendern empfangen kann/soll. Oder geht es darum, dass die Mail von den Empfängern auch ausgeführt wird?

Es geht darum daß nur anhand der Received-Zeilen zu erkennen war, daß die Mails überhaupt vom Mailverteiler des BSI stammten. Der Mailserver hat nicht selber gespooft, er hat nur gespoofte Mails übernommen.

Zitat

Und was hat SMTP-Authentifizierung mit dem Empfang von Mails zu tun?

Es ist ein Mailverteiler, der nimmt Mails von innen und außen entgegen und verteilt sie auch weiter. Bei Empfang von außen muss man sich idR authentifzieren, die war aufgrunde der Fehlkonfiguration aber nicht nötig.

Zitat

Ich meinte eigentlich, dass ein entsprechender Server im Fall von Wartungsarbeiten im Netzwerkzugang etwas eingeschränkt werden sollte.

Normalerweise wird ein Mailverteiler während Wartungsarbeiten nicht so extrem blöd verstellt, daß er plötzlich alles von außen entgegennimmt. Da einige CCC-Freunde schon einige Tage vorher mit der Mailingliste gespielt haben und das BSI sogar informierten, war da sogar schon etwas länger geschlampt wurden - die zuständigen Admins sollte man eigentlich hängen, köpfen, zerquetschen, rädern, vierteilen und ihnen anschließend *richtig* wehtun.

[Graumagier]

Zitat

Ein anderer Mailserver.

Hätte ich auch draufkommen können

Zitat

Es geht darum daß nur anhand der Received-Zeilen zu erkennen war, daß die Mails überhaupt vom Mailverteiler des BSI stammten. Der Mailserver hat nicht selber gespooft, er hat nur gespoofte Mails übernommen.

Wusste nicht, dass es um den konkreten Fall im BSI ging, sorry.

Zitat

Bei Empfang von außen muss man sich idR authentifzieren, die war aufgrunde der Fehlkonfiguration aber nicht nötig.

Schon klar, ich dachte aber an einen externen Mailserver, von dem sich der interne in regelmäßigen Abständen die Mails abholt. Wäre diese Lösung nicht intelligenter?

[Graumagier]

Zitat

Wie soll man die von einem Konzept überzeugen?

Was ist das Problem dabei, ein Programm namens "Windows-Dienste abschalten" auszuführen und auf alternative Software umzusteigen? Kostenlos, sicher und ebenfalls ein Konzept, das zusätzlich Updatestrategien etc. beinhalten kann/sollte.

Dieser Beitrag wurde von Graumagier bearbeitet: 13. März 2005 - 19:01

[Graumagier]

Zitat

Darum geht es nicht Graumagier. Es geht um Hardware. Lies doch mal:

Das ist mir klar. Es ist aber so, dass eine Hardware-Firewall in den meisten Fällen für Heimanwender überdimensioniert ist. Von daher würde ich auch niemandem für Zuhause eine Hardware-Firewall empfehlen.

Außerdem verstehe ich nicht, was du mit deiner Antwort aussagen willst, immerhin hat der Threadersteller nach entsprechenden Möglichkeiten gefragt.

Dieser Beitrag wurde von Graumagier bearbeitet: 13. März 2005 - 19:15

[Graumagier]

Zitat

Ich fragte außerdem, wie man Heimanwender, die jahrelang ohne sich darüber Gedanken zu machen, problemlos surften, von einem solch teuren Firewall-Konzept überzeugen kann.

Vermutlich gar nicht. Aber wie gesagt, ein typischer Heimanwender kann mit einem kompletten Firewall-Konzept auch gar nichts anfangen.

[Graumagier]

Zitat

Es hätte meine Arbeit um vieles leichter gemacht, da ich tagtäglich mit verseuchten PCs zu tun habe.

In diesem Fall genügen aber oftmals schon eine grundlegende Rechnerkonfiguration und der Verzicht auf die "üblichen Verdächtigen".

[jerrison]

zyxel zywall (1 oder 2), unter 80€ zu haben. einstecken und zyxel vertrauen dass sie die sache richtig gemacht haben.

oder gibt´s gegentrends, erfahrungsberichte? hab mir gerade so ein teil ersteigert (56€). kann dann vielleicht sogar meine standalone-pc-firewall ablösen. spart strom und platz :)