expertenaustausch > linux.debian.user.german

Thomas (16.01.2020, 23:10)
Hallo,

wie kann ich raus finden was ein empfangender SMTP Server an Verfahren
anbietet?

Ein einfaces telnet auf übliche ports des MX Servers bringt mich da
nicht weiter. Oder gibt es eine Webseite die einfache Prüfung und
Anzeige dieser anbietet.

Gruss
debian-mailing-lists (17.01.2020, 01:10)
Hallo Thomas,

On 16.01.20 21:06, Thomas wrote:
> wie kann ich raus finden was ein empfangender SMTP Server an Verfahren anbietet?
> Ein einfaces telnet auf übliche ports des MX Servers bringt mich da nicht weiter. Oder gibt es eine Webseite die einfache Prüfung und Anzeige dieser anbietet.


Wenn Du Dich auf TLS/SSL beziehst kannst Du mit den OpenSSL oder GnuTLS Testclients arbeiten, mit OpenSSL zum Beispiel per "openssl s_client -connect <host-oder-ip>:25 -starttls smtp" für
Standardports. Mehr Prüfungen bietet Dir zum Beispiel testssl.sh (), testssl.sh ist unheimlich umfangreich und sehr technisch detailliert.

Im Web gibt es öffentliche Scanner wie Hardenize (), das liefert Dir über TLS/SSL hinaus eine Menge weiterer Tests, die security-relevant sind (z.B. SPF, DMARC,
MTA-STS usw.). Für DKIM gibt es zum Beispiel oder (da gibt es noch viel mehr Checks zu verschiedenen Dingen).

Ich würde mit hardenize.com starten, das ist ein sehr guter Überblick zum Einstieg.

Besten Gruß,
Thomas
Henning Follmann (17.01.2020, 01:50)
On Thu, Jan 16, 2020 at 09:06:04PM +0100, Thomas wrote:
> Hallo,
> wie kann ich raus finden was ein empfangender SMTP Server an Verfahren
> anbietet?
> Ein einfaces telnet auf übliche ports des MX Servers bringt mich da nicht
> weiter. Oder gibt es eine Webseite die einfache Prüfung und Anzeige dieser
> anbietet.
> Gruss


Warum nicht?
Normalerweise listet der Server die Optionen nach einem ehlo auf.

z.B.:
>telnet mailer.host 25

$ehlo localhost
250-mailer.host
250-PIPELINING
250-SIZE 40960000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

-H
Thomas (17.01.2020, 14:00)
Hallo,
Am 17.01.20 um 07:40 schrieb Heiko Schlittermann:
> Verfahren wofür?
> Sprichst Du von Ports, auf denen er lauscht?
> Sprichst Du von TLS per STARTTLS oder on-connect?
> Sprichst Du von TLS Ciphers?
> Sprichst Du von Authentifizierungsverfahren?


Im Kern geht es darum das einer aus der Verwaltung sich meiner Ansicht
nach wichtig tut und mich auf die unglaublichen Gefahren einer
unverschlüsselten Email Kommunikation hinweist.

....dass es Ihr eigenes Risiko ist, dass Sie in dieser Angelegenheit
als Kommunikationsweg die unverschlüsselte E-Mail-Kommunikation mit all
ihren Gefahren gewählt haben....

Meiner Ansicht handelt es sich um eine Sichtweise digital ja oder nein
und für alle Zukunft und nicht die vielen Graustufen
Ich gebe ja zu das ich mich bisher wenig damit beschäftigt habe.

TLS bietet er 1.1 und 1.2 an wobei ich einer anderen Gruppe Info gelesen
habe 1.2 und größer würde heute erwartet.

Dafür zeigt er mir auch z.B. eine Reihe von interne IPs in der Email und
was er benutzt
(192.168.10.4) with Microsoft SMTP Server oder x-originating-ip:
[192.168.99.68]

oder

ESMTP Sophos Email Appliance v4.5.3.0

oder

Oder zeigt sein Webserver mit (tolle Seite!)
ermittelt
Test failed We've detected serious problems that require your immediate
attention.
We've detected serious problems that require your immediate attention.
Session cookie is not secure This cookie, which has been sent over an
encrypted channel, doesn't have the secure flag set. As a result, an
active network attacker can easily recover it and hijack the user session.

Gruss
Thomas
Ulf Volmer (17.01.2020, 15:40)
On 17.01.20 12:51, Thomas wrote:
> Am 17.01.20 um 07:40 schrieb Heiko Schlittermann:
> Im Kern geht es darum das einer aus der Verwaltung sich meiner Ansicht
> nach wichtig tut und mich auf die unglaublichen Gefahren einer
> unverschlüsselten Email Kommunikation hinweist.
>  ....dass es Ihr eigenes Risiko ist, dass Sie in dieser Angelegenheit
> als Kommunikationsweg die unverschlüsselte E-Mail-Kommunikation mit all
> ihren Gefahren gewählt haben....


Du wirfst hier Transportverschlüsselung und Ende zu Ende-
Verschlüsselung durcheinander. Die *Möglichkeit* einer
Transportverschlüsselung siehst Du mit Tools wie telnet oder openssl auf
dem SMTP Port. Über den Transportweg hast Du aber keine Kontrolle.

Email ist wie eine Postkarte, wenn Du da vertrauliche Sachen drüber
transportieren möchtest, brauchst Du E2E- Verschlüsselung mit GPG oder
S/Mime.

Viele Grüße
Ulf
Christoph Schmees (17.01.2020, 16:40)
Am 17.01.20 um 12:51 schrieb Thomas:
> ...
> Im Kern geht es darum das einer aus der Verwaltung sich meiner Ansicht nach wichtig tut und mich auf die unglaublichen Gefahren einer unverschlüsselten Email Kommunikation hinweist.
>  "....dass es Ihr eigenes Risiko ist, dass Sie in dieser Angelegenheit als Kommunikationsweg die unverschlüsselte E-Mail-Kommunikation mit all ihren Gefahren gewählt haben...."
>...


Schauen wir uns die "Gefahren" mal genauer an.

Der gesamte Transportweg einer Mail besteht aus den Abschnitten
MeinComputer -(a)- MeinProvider -(b)- ZielProvider -(a)- Zielcomputer

Der Transportweg zwischen Endgerät und Provider (a) ist heutzutage sicher verschlüsselt, sogar bei web.de und gmx (das ist bei denen noch nicht lange so!).

Auch der Transport zwischen den Providern (b) ist heute zumindest innerdeutsch mit DANE gesichert, nachdem einige deutsche Provider hier einen totalkranken Sonderweg (Email made in Germany, EmiG) versucht hatten. Aber verlassen darauf darf man sich nicht! Hier ist also die erste Schwachstelle: Der Weg (b) könnte belauscht werden, beispielsweise vom BND oder anderen Geheimdiensten in Frankfurt am DE-CIX oder in Garching (ECHELON).

Außerdem hat *jede* der beteiligten Stationen (das können ja mehrere sein) des Weges (b) Zugriff auf die Inhalte, da nur der Transport verschlüsselt abläuft. Beim Provider selbst liegt jeweils Klartext vor. Das ist die zweite Schwachstelle: Jeder Provider kann *alles* mitlesen; prinzipiell könnte der Inhalt auch verändert werden! Es gibt saubere Provider wie mailbox.org oder posteo.de, oder protonmail, das mit Zero-Knowledge arbeitet. Aber sobald die Mail deren geschützte Biotope verlässt, ist wieder alles offen. Kollegen wie web.de, gmx, t-online usw., Google und fast alle Amis sowieso (s. Signatur), lesen (automatisiert) *alles* mit, was bei ihnen vorbei läuft.

Wenn du vertraulich und fälschungssicher kommunizieren willst, bleibtnur E2E Verschlüsselung oder ein kleiner Trick. Den habe ich kürzlich angewandt, um mit meiner Notarin (die kein E2E kann) Dokumente vertraulich auszutauschen: Man vereinbare auf einem *anderen Weg* (z.B. per Telefon) ein gemeinsames gutes Passwort. Das zu versendende Dokument wird komprimiert (ZIP) und mit dem PW verschlüsselt - fertig ist die Laube. Ein Späher könnte zwar sehen, *dass* wir Dokumente verschlüsselt ausgetauscht haben, aber er käme nicht an deren Inhalt.

hth, Christoph
Thomas (17.01.2020, 16:50)
Am 17.01.20 um 14:37 schrieb Ulf Volmer:

> Du wirfst hier Transportverschlüsselung und Ende zu Ende-
> Verschlüsselung durcheinander. Die *Möglichkeit* einer
> Transportverschlüsselung siehst Du mit Tools wie telnet oder openssl auf
> dem SMTP Port. Über den Transportweg hast Du aber keine Kontrolle.


Hallo,
danke

Im Prinzip ist dann die Transportverschlüsselung zwischen den Email
Servern auch nur die "halbe" Miete weil dann auch noch der Zugriff der
Email User Programme auf den POP/IMAP Email Server, usw. kommt.

Man bräuchte E2E Verschlüsselung

> Email ist wie eine Postkarte, wenn Du da vertrauliche Sachen drüber
> transportieren möchtest, brauchst Du E2E- Verschlüsselung mit GPG oder
> S/Mime.


Gruss Thomas
Thomas Michalka (17.01.2020, 23:10)
Hallo,

Am 17.01.2020 um 15:33 schrieb Christoph Schmees:
> Am 17.01.20 um 12:51 schrieb Thomas:
>> ... Im Kern geht es darum das einer aus der Verwaltung sich meiner
>> Ansicht nach wichtig tut und mich auf die unglaublichen Gefahren
>> einer unverschlüsselten Email Kommunikation hinweist.


Auf den ersten Blick sind vielleicht die einzigen beiden Gefahren, dass
Unbefugte solche Mails mitlesen und verändern können.
Ob man das als Gefahr für sich persönlich sieht, muss zwar jederselber
wissen, aber dieses Sich-bewusst-sein reicht m.E. nicht. Wenn man
jemandem unverschlüsselt schreibt, dann kann evtl. schon daraus auch
etwas über den Empfänger geschlossen werden. Deshalb hat man schon bei
eigenen, versandten Mails eine gewisse Verantwortung, meine ich. Aber
genau so der Empfänger, denn wenn der nicht verschlüsseln kann, dann ist
das schon auch eine gewisse Zumutung für den Absender. Zum Beispiel
setzen ausgerechnet sehr viele Vertreter von Berufsgruppen, die schon
von Berufs wegen vertraulich kommunizieren können müssten, keine
Verschlüsselung ein. Dabei wären Anwälte, Ärzte, Notare, Verwaltungen,
Versicherungen u.s.w. Multiplikatoren, die zur Verbreitung von
Verschlüsselung erheblich beitragen könnten. Bloß die sehennicht ein,
hier mit gutem Beispiel voranzugehen, denn die Mandantschaft will es ja
nicht. Eine dumme Ausrede, finde ich. Sie müssten es ja nicht selber
einrichten, sondern könnten es beauftragen. Aber das kostet ja was, sagt
der Anwalt mit einem Honorar von 350 ?/h. Aber so ist es halt ...

Gesellschaftlich haben wir noch viel weiter reichende Fragen, z.B. wie
es sich auswirken kann, wenn am DE-CIX sämtliche Datenverkehre
ausgeleitet und im Prinzip alles mitgelesen und von interessierten
Diensten ausgewertet und von fremden Regierungen oder der eigenen
Regierung genutzt werden kann -- und wird -- da bin ich mir sicher.
Gerade findet ja eine Verhandlung vor dem Bundesverfassungsgericht
statt, in dem, soweit ich das verstehe, geklärt werden soll, ob der BND
im Ausland schrankenlos abhören darf. Man darf nicht vergessen, dass
davon auch dort arbeitende Deutsche betroffen sein können.

>> "....dass es Ihr eigenes Risiko ist, dass Sie in dieser
>> Angelegenheit als Kommunikationsweg die unverschlüsselte
>> E-Mail-Kommunikation mit all ihren Gefahren gewählt haben...." ...


Kann diese Verwaltung denn verschlüsselt kommunizieren? Die meisten
können es nämlich nicht. Manche habe auf einer Seite stehen, mansolle
sich den öffentlichen Schlüssel von einem zentralen Behörden-Server
holen. Aber den findet man dort fast nie. Nur die Polizei hinterlegt
dort öfters Public Keys.

> [---]
> Wenn du vertraulich und fälschungssicher kommunizieren willst, bleibt
> nur E2E Verschlüsselung oder ein kleiner Trick.


Geht aber gerade mit den wichtigsten Kommunikationspartnern nicht, siehe
Beispiel oben.

> Den habe ich kürzlich
> angewandt, um mit meiner Notarin (die kein E2E kann) Dokumente
> vertraulich auszutauschen: Man vereinbare auf einem *anderen Weg*
> (z.B. per Telefon) ein gemeinsames gutes Passwort. Das zu versendende
> Dokument wird komprimiert (ZIP) und mit dem PW verschlüsselt - fertig
> ist die Laube.


Hoffentlich hast Du dann die Namen der Dateien belanglos gestaltet, denn
die sind nach dem Zippen mit Verschlüsselung sichtbar. Daraus könnte man
auch einiges schließen, z.B. ließe ein Dateinahme wie
"Urkunde_über_Immobilienkauf_Irgendwo.pdf" darauf schließen, dass Du
nicht unvermögend bist. Wenn Du dann auch noch mit Deiner
Klarnamen-Mail-Adresse kommunizierst, kommt allmählich eins zum anderen,
bis jemand herausfindet, wer Du bist und wo Du wohnst und ...

> Ein Späher könnte zwar sehen, *dass* wir Dokumente
> verschlüsselt ausgetauscht haben,


Das reicht oft schon, und zusammen mit den Meta-Daten und den
Signaturen, in denen Anwälte und Notare u.a. so großzügig ihre
Kanzleidaten verschicken, kann man sogar schließen, wo ungefähr Du
wohnst, denn Du wirst zu dem Notar ja auch mal persönlich hingehen und
deswegen keinen in Hamburg nehmen, wenn Du in München wohnst (es sei
denn, Du musst, weil Notare nur für bestimmte Kreise zuständig sind.

> aber er käme nicht an deren
> Inhalt.


Ich weiß gar nicht, wie gut die Verschlüsselung in Zip ist. Vielleicht
kann man sogar jede Datei einzeln zwar verschlüsselt extrahieren und
dann durch Vergleich der Dateien die Verschlüsselung leichter knacken..
Wäre interessant zu erfahren.

Übrigens: der Gipfel der Naivität bei den Verwaltungen und Anwälten ist
dann auch der berühmte Disclaimer zum irrtümlichen Empfänger und bringt
mich immer wieder zum Lachen. Wie heißt es so schön? Hier:

"Diese E-Mail enthält vertrauliche Informationen. Wenn Sie nicht der
richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben,
informieren Sie uns bitte umgehend und vernichten Sie diese E-Mail. Das
unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail ist
nicht gestattet."

Ja, was denn? Wenn die Informationen in der Mail so vertraulich sind,
warum verschickt man sie dann überhaupt so 'unvertraulich'? Würde die
Verwaltung ansonsten mittels Postkarten kommunizieren?
Typisch, wie man glaubt, sich hinter dem Recht verschanzen und die
Realität dabei ignorieren zu können.
Wie schützt sich die Verwaltung denn dagegen, wenn jemand anderer die
Mail doch kopiert und weiterverschickt? Die Mail wird ja schon beim
Provider kopiert, wenn vielleicht auch nur kurzfristig. Aber halt,
wieder das Recht: der Mail-Kunde, also auch die Verwaltung hat in diese
technischen Erfordernisse wahrscheinlich durch die Nutzung konkludent
eingewilligt. Und ich sage einfach: Die Mail wurde mir unverlangt
zugeschickt und bei mir durch Filter und andere technische Maßnahmen
automatisch kopiert. Das ist unvermeidbar. Nicht unvermeidbar ist
hingegen die falsche Adressierung einer Mail. So bin ich fein raus. Aber
was hilft uns das?

Ganz einfach: gar nichts, und es ist auch keine Besserung in Sicht, denn
Deutschlands Verwaltungen müssen zwar bis demnächst etliche
Dienstleistungen über das Internet anbieten, aber das Wichtigste,
nämlich vertraulich mit den Bürgern zu kommunizieren, müssen Sie wohl
nicht. Oder weiß es jemand besser?

Vielleicht würde eine EU-Verordnung a la DSGVO helfen, die die
Verschlüsselung von Mails von allen gewerblich tätigen
Kommunikationspartnern verlangt. Dann hätten auch alle privaten
Mail-Schreiber schneller Verschlüsselung als man denkt. Also, warum
nicht mal was Gutes verordnen? Smart Meter für das Ausspionieren der
Lebensverhältnisse aller Privatleute, die über 6000 kWh Strom
verbrauchen, kann man ja auch verordnen.

Grüße, Tom
[..]
Marc Haber (18.01.2020, 10:10)
On Fri, 17 Jan 2020 15:43:28 +0100, Thomas <debian>
wrote:
>Im Prinzip ist dann die Transportverschlüsselung zwischen den Email
>Servern auch nur die "halbe" Miete weil dann auch noch der Zugriff der
>Email User Programme auf den POP/IMAP Email Server, usw. kommt.


Die "erste" und "letzte" Meile von und zum Client ist schon seit
längerer Zeit verschlüsselt, weil dort auch Authentifikationdaten
übertragen werden. Das eigentliche Problem der
Transportverschlüsselung ist, dass sie nur den zufälligen Mitleser
ausschließt: Weder wird zwischen den Mailservern irgend eine
Verifikation durchgeführt, ob man die Mail gerade an den richtigen
Mailserver auslifert, noch schützt die Transportverschlüsselung vor
dem Zugriff "Berechtigter" über die von den Anbietern einzurichtenen
Schnittstellen.

>Man bräuchte E2E Verschlüsselung


Da führt kein Weg dran vorbei.

Grüße
Marc
Thomas (19.01.2020, 13:00)
Hallo,

Am 17.01.20 um 21:56 schrieb Thomas Michalka:
> Hallo,
> Am 17.01.2020 um 15:33 schrieb Christoph Schmees:
>> Am 17.01.20 um 12:51 schrieb Thomas:
>>> ... Im Kern geht es darum das einer aus der Verwaltung sich meiner
>>> Ansicht nach wichtig tut und mich auf die unglaublichen Gefahren
>>> einer unverschlüsselten Email Kommunikation hinweist.


Man sollte das alles aber auch ganzheitlich sehen, Bei dem geht es auch
noch so zu:

In seiner Email (192.168.10.4) with Microsoft SMTP
Serverx-originating-ip: [192.168.99.68]
oder
Version ESMTP Sophos Email Appliance v4.5.3.0
und
auf der Webseite Session cookie, ....doesn't have the secure flag set...

Da er geantwortet hat und wenn man ihn ernst nimmt könnte jemand der
mitgelesen hat die Email 1000 Mal drucken und in einer U-Bahn Station
"verteilen". Wäre eher sein Schaden:)
So könnte man eher Personen und vor allem Ämter dazu bewegen "was" zu
machen um eben so was zu verhindern. Darf sich nur nicht "erwischen" lassen.

> Kann diese Verwaltung denn verschlüsselt kommunizieren? Die meisten
> können es nämlich nicht. Manche habe auf einer Seite stehen, man solle
> sich den öffentlichen Schlüssel von einem zentralen Behörden-Server
> holen. Aber den findet man dort fast nie. Nur die Polizei hinterlegt
> dort öfters Public Keys.


Nein, haben die nicht, nur eben diesen Wichtigtuer der den dicken MAX macht
mir ging es nur um Geschwindigkeit bei der Zustellung und gleich noch
mehrere BCC drauf, bekommen tun die das noch per Brief und FAX vorab.

Im übrigen ging es um Kommunikation wegen DSGO Anfrage, wann, wie
Dateneinsicht. Die haben da Daten die sich nicht haben dürften und auch
noch falsch sind.
Beim lesen seiner Antwort sollte man sich erst vor ein Krankenhaus legen
damit man bei den Schreikrämpfen intensivmedizinisch behandelt werden kann.
Ich habe schon mal DSGO gemacht aber noch nie so was erlebt. Im übrigen
ist der auch noch Jurist und direkt für DSGO verantwortlich, seinen
Angaben nach.
Aus seiner Antwort kann man nur schließen das der mich für saublöd hält!

Gruss Thomas
Ähnliche Themen