Freitag, 22. Februar 2013, 13:49
Autokonfiguration für E-Mail-Konten von Webhosting-Kunden
Seit gestern haben wir nun eine Autokonfiguration für E-Mail-Konten von Webhosting-Kunden - für Thunderbird, Outlook (in den Versionen, die es unterstützen) sowie andere Programme, die einen der drei Standards nutzen:
1. das Mozilla-Verfahren
2. das Microsoft-Verfahren
3. das RFC-Verfahren
Nichts Großartiges, aber sehr komfortabel und bequem beim Einrichten
Selbstverständlich geben wir als zu bevorzugende Konfiguration die SSL/TLS-verschlüsselten Services zurück.
1. das Mozilla-Verfahren
2. das Microsoft-Verfahren
3. das RFC-Verfahren
Nichts Großartiges, aber sehr komfortabel und bequem beim Einrichten
Selbstverständlich geben wir als zu bevorzugende Konfiguration die SSL/TLS-verschlüsselten Services zurück.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Marcel Dunkelberg
Sebastian Marsching
Bei dem Modell von Mozilla Thunderbird sind ganz offensichtlich Man-in-the-Middle-Attacks möglich, weil die Auto-Discovery-Datei per HTTP geladen werden kann. Damit kann ein falscher Hostname für den Mail-Server übermittelt und anschließend das Passwort abgefangen werden (ein gültiges SSL-Zertifikat ist kein Problem, weil man schließlich den Hostname frei wählen kann).
In RFC 6186 wird immerhin auf dieses Problem eingegangen und vorgeschlagen, dass der Mail-Client den Benutzer entsprechend benachrichtigen sollte (wenn nicht per DNSSEC sichergestellt ist, dass die DNS-Abfrage unveränderte Daten zurückgeliefert hat). Aus meiner Sicht ist diese Forderung aber zu schwach: Erstens ist es nur ein "soll" kein "muss" und zweitens dürfte eine entsprechende Meldung von unerfahrenen Benutzern (welche schließlich gerade die Zielgruppe für Auto-Discovery sind) einfach wegklickt werden. Um nämlich überprüfen zu können, ob die angegebenen Mailserver richtig sind, muss man diese kennen. In diesem Fall kann man aber die Konfiguration auch gleich manuell vornehmen.
Das von Microsoft verwendete Protokoll macht es hingegen richtig: Die Auto-Discovery-Datei wird ausschließlich über HTTPS mit einem gültigen SSL-Zertifikat durchgeführt. Damit ist die gesamte Sicherheit auch nicht schwächer, als bei einer manuellen Konfiguration, da auf SSL-Ebene der Angriff auch auf die Verbindung mit dem richtigen Mailserver erfolgen kann. Der einzige Nachteil dieses Protokolls ist, dass der Konfigurationsaufwand für ISPs, die ihren Kunden E-Mail-Adressen mit kundenspezifischen Domains anbieten, höher ist, weil für jede Domain ein gültiges SSL-Zertifikat erforderlich ist. Meiner Meinung nach sollte man aber nie Sicherheit aufgeben, nur um die Umsetzung etwas einfacher zu machen.
Florian
Gemessen an der Realität ist also keiner der Ansätze sicherer als der andere. Sobald die DNS gespoofed wird, ist schluss.
Debe
Wenn ich mir Sorgen mache, dass bei meinen Nutzern bei der Ersteinrichtung des E-Mail-Kontos eine MITM-Attacke stattfinden könnte, dann bekommen die eine genaue Anleitung zur manuellen Einrichtung. Und vorher einen Virenscan auf dem System, oder schon mal gar kein Windows auf den Rechner. Oder so.
Übrigens: MS-Vorschlag zur Auto-discovery: HTTP 405? SRSLY? Und dann Konfigurationsdaten als "Fehlermeldung"? Bäh!
Sebastian Marsching
Ich halte die Gefahr einer MITM-Attack für durchaus real. Dazu muss keineswegs der Client-Rechner infiziert sein. Es reicht, wenn die Verbindung über ein unsicheres Netz erfolgt oder ein anderer Rechner im gleichen Netz infiziert ist und kein Schutz gegen ARP-Spoofing vorhanden ist.
hoschi
Wieso kann man Emails bei Manitu mit TLS abholen, aber "nur" mit SSL versenden? Oder bin nur ich betroffen. Verhaelt sich bei mir schon immer so mit Evolution, Android Stock Emailclient und HTC Emailclient.
Debe
Ich persönlich finde das nicht elegant; auch beim Einliefern von Mails von anderen Mailservern aus (wofür 25 da ist; 587 für Client submission - auch wenn das nicht so strikt überall gehandhabt wird) kann TLS zum Einsatz kommen und damit potentiellen Mithörern das Leben schwer machen. Deswegen erlauben "meine" Mailserver auch STARTTLS auf Port 25.
Oder gibt es etwas, das TLS auf Port 25 verbietet / weswegen man das nicht machen sollte? In meinem Fall verbinden sich die Programme immer mit dem echten Hostname (MAIL.MEINEDOMA.IN) und erhalten auch ein passendes Zertifikat vom Mailserver. Vielleicht ist das ja nicht so gut machbar mit Massenhosting und Kunden, die sich mit MAIL.KUNDENDOMA.IN verbinden statt mit COBALT0815.PROVID.ER?
Peter
Debe
Man nehme eine IP-Adresse eines Manitu-Webhost-Servers, z.B. XXX.XXX.XXX.XXX, google danach und erhalte damit eine Menge potentielle Domain-Namen. Danach kann man mit
dig autodiscover.irgendw.as A
oder
wget -q -O- http://autodiscover.irgendw.as/...
mal schauen, wie im Indianerdorf der Marterpfahl geschmückt wird.
Debe
Wer wirklich eine braucht, findet die z.B. auch im PDF, das die Einrichtung eines Webhosting-Accounts erklärt, im Screenshot des Verwaltungs-Web-Services. Da habe ich das her. Die Adresse dort endet auf eine dreistellige Zahl. Die letzten beiden Ziffern dieser Zahl sind offensichtlich zwischen verschiedenen Webhosting-Servern unterschiedlich - und passen jeweils zu dem Hostname, den man im SMTP-Helo zu sehen bekommt.
Es sieht mir aber so aus, als wäre Autokonfiguration zumindest noch nicht für alle Domains aktiv - dazu fehlen noch einige SRV-Einträge im DNS bei mehreren der so ermittelten Domains.
Manuel Schmitt (manitu)
Und: Das ist erstmal nur für neu eingerichtete Domains aktiv, wir verändern nicht einfach bestehende DNS-Einträge!
Peter
Manuel Schmitt (manitu)
Manuel Schmitt (manitu)
Wahrscheinlicher ist, dass eine Workstation direkt infiziert ist. Dann ist es egal, ob falsche Autoconfig-Daten im E-Mail-Client landen, oder auf der Maschine Traffic mitgelauscht wird etc.
Die Wahrscheinlichkeit, dass jemand weiß, wann ich mir Autoconfig-Daten über welches Transport-Netz "besorge", ist gegeben, aber jemand DAS kontrollieren kann, kann er auch gleich komplett den gesamten Traffic mitschnipseln.
Und ja: Dagegen hilft SSL/TLS mitsamt Zertifikaten, aber nur bei nicht-unbedarften Anwendern, denn die klicken eh jedes nicht passende Zertifikat weg. Und Anwender vom Fach brauchen kein Autoconfig.
Wie schon vorher kommentiert, würde dagegen wohl nur DNSSEC in Verbindung mit Erzwingen von Antworten via https (oder ähnlich) helfen.
Debe
[X] DONE
Danke für die Links!
Andreas2
Konnte dazu kaum etwas finden im Netz...