Gastbeitrag

Ein Gastbeitrag von TheTomas.

Binnen weniger Tage warnt die deutsche EU-Vertretung vor Phishing-E-Mails. Seit Juli 2020 die 4. Warnung vor Datenklau von Reinhard Hönighaus, Pressesprecher und Leiter der Presse und Medienstelle. Offensichtlich gibt es einen dringenden Handlungsbedarf.

In seiner aktuellen Warnung vom 26.11.2020, nur zwei Tage nach der Vorherigen, identifiziert er T-Online Nutzer als Ziel derartiger Phishing Mails und liefert auch gleich die Begründung:

Wie bei einigen anderen Anbietern führt die Empfängerinfrastruktur hinter @t-online.de keine SPF-Prüfung durch.

Das ist nicht neu, dass Massenhoster Ihre Mailserver lax konfigurieren. Schließlich soll auch der digital Unbedarfte im Neuland E-Mails empfangen können.

Sender Policy Framework ist ein Sicherheitsmerkmal und muss von einem Serverbetreiber konfiguriert werden. Nur ist es alleine für sich betrachtet kein Wundermittel. Erst die Kombination mit weiteren, in RFCs standardisierten Sicherheitsmerkmalen wie DMARC, MTA-STS, TLS-RPT oder DANE verhindert Phishing-Mails. Schaue ich mir den Mailserver hinter der E-Mail-Adresse von Reinhard Hönighaus an, komme ich ins Grübeln: Wer ist hier wirklich der Schuldige?

Sehen wir von der kruden Konstruktion des Mailclusters von ec.europa.eu einmal ab, wo nicht etwa gleichnamige Hostnamen z.B. mail.europa.eu, sondern Server wie mxa-00244802.gslb.pphosted.com verwendet werden. Nicht nur für Laien ist da auf den ersten Blick kein Bezug zu Europa erkennbar. Wenn mir das DNS es nicht besser sagen würde, ich hielte den Host als Spamschleuder. In Wirklichkeit ist das die Domain des US-Unternehmens Proofpoint, das E-Mail-Security verkauft. Drücken wir auch beide Augen hinsichtlich der Konfigurationsfehler im TLS zu, die der Hardenize-Scanner sieht: Kein Forward Secrecy, TLS 1.0/1.1 und SSL3. Zumindest bei einigen Servern, die der Scanner im Mailcluster der EU identifizieren kann. Welche es genau sind, das lässt sich von außen auf die Schnelle nicht sagen.

Aporpos Scanner: Das bekannte Online-Testtools von SSL-Labs wird aktiv geblockt. Transparenz sieht anders aus.

Am Schwersten wiegt jedoch die fehlerhafte DMARC-Policy im DNS unter _dmarc.ec.europa.eu

_dmarc.ec.europa.eu. 900 TXT v=DMARC1; p=none;
rua=mailto:dmarcreports@ec.europa.eu; fo=s; adkim=s; aspf=s; sp=none

Formal und syntaktisch richtig, effektiv komplett sinnfrei, wenn diese nicht auf »reject« steht. Jeder Mailserver, der eine E-Mail mit gefälschten europa.eu Absender bekommt, erkennt diese möglicherweise als Phishingmail, aufgrund aber genau diesem DMARC-Eintrag leitet er sie trotzdem weiter.

Die Fehlkonfiguration aufseiten der EU ermöglicht erst ein Phishing.

Hier wurde Reinhard Hönighaus offensichtlich von seiner IT schlecht oder unvollständig informiert. Immerhin in einer Stellungnahme des ihm vorab zugeschickten Artikels antwortet er:

Meine IT-Fachkollegen nehmen den Vorfall in der Tat zum Anlass, unsere DMARC-Policy zu überprüfen und gegebenenfalls weiterzuentwickeln. (…) Wichtig war mir, dass T-Online-Kunden gewarnt sind. Ich beschuldige niemanden, stelle nur fest, dass ich derzeit im Minutentakt Anrufe von T-Online-Nutzern bekomme.

Im gemeinsamen Telefongespräch nannte er eine Zahl von über 9.000 von hauptsächlich T-Online Nutzern. In der Zwischenzeit wendet sich das T-Online Portal extra an die T-Online Kunden. Das Fiasko hätte man sich und den vielen Betroffenen durch sauber konfigurierte Server und ein wenig Expertise ersparen können. Es bleibt abzuwarten, ob und wie dieses künftig vonseiten der EU verhindert wird.

In mir brodelt aber noch ein anderer Gedankengang: Warum ist es für die Akteure selbstverständlich, persönliche Daten und wirtschaftliche Kennzahlen für Corona-Hilfen unverschlüsselt preiszugeben? Mit Blick auf die Kontaktseite der deutschen EU-Vertretung sehe ich keinen vertraulichen und verschlüsselten Kommunikationsweg per PGP oder S/MIME E-Mail.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡