Mail-Absender:SMTP-Protokoll broken by design/Fahrlässigkeit der Mail-Clients, User ?

[pointX]

Man ließt ja immer von diversen Phishing-& Trojaner-Mails, die von "From: "service@paypal.de" <service@paypal.de>", der Bank deines Vertrauens oder wie im Bundestag auch mal von der Kanzlerin kommen.

Dabei weiß jeder, der programmieren kann, dass man mit einem einzeiler Code selbst solche Mails unter beliebigem Namen versenden lassen.

Im E-Mail Client lese ich "service@paypal.de", dabei ist im Quelltext leicht zu sehen dass die E-Mail über irgendwelche dubiosen Adressen geleitet wurde, und nicht wie bei einer richtigen Paypal-Mail von z.B. "Received: from mx0.slc.paypal.com" empfangen wurden.

Deshalb wollte ich mal eure Meinung dazu hören:
1) ist SMTP an dieser stelle broken by design & müsste wenigstens die Domain des sendenden Servers mit der Domain des "Absenders" vergleichen ?
2) PGP, S/MIME - nicht verbreitet wg. "umständlicher" Schlüsselverwaltung & "leicht höherem" Bedienungsaufwand. Sind die User einfach zu faul und die Institutionen nicht durchsetzungsfähig genug um für sicherheitskritische Sachen diese Techniken den Usern aufzuzwingen ?
3) Sind die Mail-Clients nicht fahrlässig, die Information "Received From" den Usern vorzuenthalten, und müssten auch wenigstens die Domains vergleichen und bei abweichung wenigstens eine Warnung anzeigen ?

Wie sieht ihr es ?
1) historisch gewachsen, schwierig was zu ändern
2) gegen Faulheit & Unwissenheit kommt man erfahrungsgemäß nicht an
3) Das wäre doch relativ einfach zu implementieren & würde 99% der Phishing-Mails enttarnen. Warum wird das nicht gemacht ? Sind zu viele "false positives" zu erwarten? Übersehe ich etwas ?

Hintergrund (etwas vereinfacht):
Das, was die E-Mail Clients anzeigen, ist das der Text, der "From: ..."-Feld des E-Mail Quelltextes steht.
Das Protokoll zum versenden vom E-Mails, SMTP, lässt hier einen frei wählbaren Text zu. Wenn man sich dann im Nachrichten-Quelltext anschaut, sieht man folgendes (Bsp. aus einer Phising-Mail):

Received: [B]from ijdconsulting.com[/B] ([87.106.69.140]) by mx-ha.gmx.net (mxgmx006)
 with ESMTPS (Nemesis) id ****kryptische Nummer**** for <****Empfänger-Adresse****>;
Received: [B]from hidrohuerto.com [/B](f516.fuchsia.fastwebserver.de [146.0.36.15])
	by ijdconsulting.com (Postfix) with ESMTPA id ****kryptische Nummer****
	for <****Empfänger-Adresse****>; ****Zeitstempel****
[B]From: "service@paypal.de" <service@paypal.de>[/B]

Allein an den dubiosen Domain-Namen, über welche die Mail wirklich geleitet wurde, könnte wohl selbst ein Affe mit ein wenig Training erkennen, dass da was nicht zusammenpasst.
Warum soll diese Information den Usern vorenthalten werden ?

 

[bst92]

Forward-confirmed reverse DNS

Sender Policy Framework

 

[mR.y0]

E-Mail ist halt wie eine Postkarte, da kann ich auch jeden Absender drauf schreiben (in Briefen ja auch). Mit dem falschen Absendern haben wir schon vor Jahren spass gehabt und jede Generation entdeckt es auf neue . E-Mails stammen halt aus der Zeit des "heilen" Internets, da wäre niemand auf so eine Idee gekommen.

Mittlerweile verschicken allerdings viele grosse SMTP-Server keine Mails mehr solange Absender-Adresse nicht mit dem Account übereinstimmt. Ein guter Spam-Schutz auf Empfängerseite erledigt dann den Rest.

 

[TCM]

Also zumindest dass die Domain des Servers (TLD ist was anderes) zur Domain des Absenders passen muss, kannste schonmal knicken. Das würde sämtliche Maildienstleister ausschalten, die im Namen anderer Domains legitim Bulk-Mails versenden.

In dem geposteten Log ist nicht mal die 2. Stelle vertrauenswürdig (dieses "Received: from hidrohuerto.com"). Das ist alles nur Text und kann beliebig gefälscht werden. Es zählt nur die oberste Station, wo es endgültig beim Empfänger eingeliefert wird.

Angezeigte Mailabsender sind nicht vertrauenswürdig. Ist halt einfach so. Wer was anderes braucht, soll keine E-Mails verwenden oder muss halt PGP einsetzen. Das hätte man vielleicht mal konsequenter in die Köpfe bringen sollen. Ich wüsste aber auch nicht, dass ich je irgendwo gelesen hätte, dass der angezeigte Absender der echte ist.

 

[pointX]

Sender Policy Framework

Ein guter Spam-Schutz auf Empfängerseite

Liegt es dann daran, dass (auch die großen) Mailprovider diese Verfahren nicht konsequent umsetzen ?
Wäre es dann nicht auch Sinnvoll, diese Funktion in die Clients einzubauen ?

Ich wüsste aber auch nicht, dass ich je irgendwo gelesen hätte, dass der angezeigte Absender der echte ist.

Ich würde es so formulieren: man liest viel zu wenig darüber, dass der angezeigte Absender nicht der echte sein muss.

 

[X5-599]

Ich bin Laie darin und erzähle es so, wie es mir erzählt wurde.

Vor Jahren habe ich festgestellt das ich nicht alle Emails erhalte. Mails von seriösen Personen, sind nicht bis zu mir durchgekommen.
Mein Webhoster hat aber sämtliche Emails bekommen, nur hat er schon etliche rausgefiltert und in einem SPAM-Postfach gelagert, zu dem ich keinen Zugriff habe. Eben um mich vor Spam zu schützen.

Als ich gemerkt habe das korrekte Emails nicht ankommen, hat dann der Anbieter nachgeschaut und sie darin gefunden und sie an mich weitergeleitet.
Seine Aussage war, sie hätten einen Spamfilter, der voraussetzen würde das der Absender Mail Server, korrekt konfiguriert wäre und leider gäbe es immer noch viele Mail Server die falsch Konfiguriert wären.

Und zwar würde der Mail Server von meinem Webhoster bei jeder eingehenden Email, beim Absender Server nachfragen ob er diese Email Adresse kennt. Wenn es eine korrekt registrierte Email und keine Fantasie Email ist, sagt der Absender ja, diese Email kenne ich und somit leitet es mein Webhoster an mich weiter.

Wenn nun aber der Absender eine korrekte Email verwendet, beispiel hosen@luzius.ch und mein Webhoster fragt nun bei luzius.ch nach, ob er hosen@luzius.ch kennt und obwohl es diese Email auch wirklich gibt, der Mailserver das nicht bestätigt weil falsch konfiguriert, kommt eben diese Email nicht bei mir an.

Diese Art der Spam Aussortierung fand ich super. Denn wenn man eine Email Registriert, ist diese ja auch beim Mail Server hinterlegt. Denn dieser muss ja wissen wohin er Emails an dieses Postfach senden muss. Wenn aber der Mail Server die Abfrage nicht oder falsch beantwortet oder er die Mail nicht kennt, kommt es nicht bei mir an.
Mein Problem war nur, das ich auch solche Emails zwingend bekommen muss. Denn wenn ich eine Email mit einer Anfrage nicht erhalte und diese Anfrage hätte zu einem Abschluss führen können, wären schnell einmal 2'000-4'000CHF dadurch verloren gegangen. Daher war ich dann gezwungen einen Webhoster zu suchen der diese Art der Spamfilterung nicht anbietet.

Kurzum, solange es Leute gibt die noch weniger wissen haben als ich und einen Server betreiben oder Web-Support oder was auch immer, wird man nie etwas vernünftiges hinbekommen.
Denn auch den "gefälschten" Absender mit dem Anbieter über den es wirklich läuft zu vergleichen, wäre ganz leicht. Oder eine Blacklist von allen gefüttert und von allen genutzt. Aber das wird aus tausenden von Gründen nie kommen.

Bleibt uns nichts weiter übrig als uns wie über die ungewünschte Post oder die ständigen Visitenkarten am Auto das man es kaufen würde zu Ärgern oder das mit dem sich darüber Ärgern ganz weglassen. Denn darüber zu Ärgern löst keine Probleme

 

[NiclasM]

Das musst du halt selbst machen. Ich verwende als Mail Gateway eine Sophos UTM. Dabei kann ich die von dir genannten "Probleme" direkt eliminieren.
D.h. ich kann verschiedene Prüfungen in der Firewall machen bevor die Mails an mein Mail Server gehen.

-Reject invalid HELO / missing RDNS
-Do strict RDNS checks
-Use Greylisting
-Use BATV
-Perform SPF check
-RBL check

um mal einige zu nennen.
Problem ist dass die Mail Server oft nicht gut eingestellt sind. Also PTR passt nicht, oder IPs auf RBL und das führt oft zu False Positive Ergebnissen. Von daher habe ich eingestellt das alles was "schlecht" ankommt mit *SPAM* im Titel benannt wird. In Outlook eine Regel dass aller SPAM in gelöscht kommt, und man selbst dann kann ab und zu nachschauen.

 

[TheBigG]

Deshalb wollte ich mal eure Meinung dazu hören:
1) ist SMTP an dieser stelle broken by design

Ja

2) PGP, S/MIME - nicht verbreitet wg. "umständlicher" Schlüsselverwaltung & "leicht höherem" Bedienungsaufwand. Sind die User einfach zu faul

Ja User sind faul

und die Institutionen nicht durchsetzungsfähig genug um für sicherheitskritische Sachen diese Techniken den Usern aufzuzwingen ?

Was für Institutionen?

3) Sind die Mail-Clients nicht fahrlässig, die Information "Received From" den Usern vorzuenthalten, und müssten auch wenigstens die Domains vergleichen und bei abweichung wenigstens eine Warnung anzeigen ?

Es sind eher die Mail Provider die weder SPF noch DKIM nutzen das Problem, auf genau diese werte Prüfe ich mails.

Allein an den dubiosen Domain-Namen, über welche die Mail wirklich geleitet wurde, könnte wohl selbst ein Affe mit ein wenig Training erkennen, dass da was nicht zusammenpasst.
Warum soll diese Information den Usern vorenthalten werden ?

Da man den RDNS beliebig setzen kann seh ich da nicht wirklich einen gewinn, SPF und DKIM sind deutlich wichtiger.

In den letzen Jahren hab ich festgestellt das Greylisting, Blacklists und RDNS checks nutzlos sind. RBLs nehm ich schon garnicht mehr ins ranking auf weil das absolut sinnbefreit ist, heutzutage ist das sogar eher kontraproduktiv, kommt nur bullshit bei rum bei nutzung von blacklists.