Ich bin gerade ziemlich sauer auf o2.
Seit zwei Monaten nutze ich ja deren mobilen Internet-Zugang ausgiebig, natürlich auch für e-Mail. Vor einer Woche machte mich ein Gesprächspartner darauf aufmerksam, daß meine Mail bei ihm im Spam-Ordner landet, weil der einliefernde Mailserver angeblich für Spam-Auslieferung bekannt ist. What the fuck? Unser Mail-Server – liebevoll administriert – wird als Spam-Schleuder mißbraucht? Doch halt – die Adresse des Mail-Servers ist ja gar nicht die unseres Root-Servers, sondern eine von o2. Mein erster Gedanke war, daß Evolution die Mails versehentlich selbst an den für den Empfänger zuständigen Mailserver ausliefert, anstatt den dem Postfach zugeordneten Mailserver zu verwenden.
Doch Tage später finde ich heraus, daß Evolution gar keine Schuld trägt. Ein Test per telnet ergibt, daß ich gar nicht mit unserem Mailserver verbunden werde, wenn ich die Verbindung von meinem per UMTS verbundenen Client aus aufbaue. Stattdessen lande ich auf einem SMTP Proxy, und dieser bietet noch nichtmal STARTTLS (Verschlüsselung).
Ich frage mich, wieso o2 so einen Unsinn macht? Was für ein Sinn macht ein SMTP Proxy? Im Gegensatz zu HTTP kann man nichts cachen. Man kann auch keine Bilder kleinrechnen, da SMTP ja nur zum Verschicken von Mails dient und die Bilder bereits durch den Flaschenhals UMTS gewandert sind, wenn der Proxy zum Zuge käme. Also was? Etwa Mails mitlesen? Protokollieren? Ich will gar nicht weiterdenken.
Konsequenterweise habe ich jetzt auf unserem Mailserver SMTPS (SMTP via SSL) zusätzlich zu SMTP eingerichtet und empfehle jedem unserer User, die Mail-Clients auf SMTPS umzustellen. Wer sich auf SMTP/StartTLS verläßt, riskiert, daß seine Mails unverschlüsselt zum Mailserver übertragen werden.
Das ist ja wirklich ein hartes Stück. Während die Bildkomprimiererei eher nur ein Ärgernis darstellt, ist das ja schon ein Eingriff in die Funktion und hier auch in die Sicherheit.
Wenn man mal das Wozu außer Acht lässt, stellt sich die Frage, ob die Verantwortlichen überhaupt wissen, was sie da anrichten. Meinst Du ihnen ist das Problem mit STARTTLS überhaupt bewusst?
IMHO sollte man sich gegen solche Eingriff schützen können. Wenn ich mir die Konfig von Thunderbird ansehe, dann bieten sich zur Verschlüsselung des Transports vier Optionen:
* nie
* TLS, wenn möglich
* TLS
* SSL
Liege ich mit der Vermutung richtig, dass bei Wahl der dritten Option das problem nicht aufgetreten wäre, weil der Client wegen des nicht möglichen TLS die Verbindung abgebrochen hätte? Wenn ja, sollte man sich so schützen können (oder halt auf SSL wechseln).
EIn zweiter Weg könnte doch auch die konsequente Nutzung eines VPNs zu einem vertrauenswürdigen Rechner im Internet sein, von dem dann die Pakete verlässlich an den jeweiligen Server geroutet werden. Die VPN-Lösung bietet sich sowieso an, damit man mißliebige Protokolle (e.g. VOIP, mir sind aber auch schon Sperren von Jabber, IRC oder ICQ untergekommen) tunneln kann.
Ist die Nutzung eines VPN bei O2 möglich?
Die Nutzung von VPNs ist problemlos möglich. Allerdings vermute ich, daß VoIP via VPN wegen der verlängerten Latenzen noch unbrauchbarer ist, als es bereits via UMTS ist.
Ein o2-Mitarbeiter hat mich darauf aufmerksam gemacht, daß o2 keine SMTP-Proxies verwendet. Ich will zugeben, daß ich kein wirklicher Experte im Netzwerk-Bereich bin. Von zuhause:
$ telnet ipx20019.ipxserver.de 25
Trying 80.190.243.20…
Connected to ipx20019.ipxserver.de.
Escape character is ‘^]’.
220 *******************************
Von diversen gehosteten Servern:
$ telnet ipx20019.ipxserver.de 25
Trying 80.190.243.20…
Connected to ipx20019.ipxserver.de.
Escape character is ‘^]’.
220 ipx20019.ipxserver.de ESMTP Postfix
Gibt es noch eine andere Erklärung für die Zeile mit Sternchen als ein Eingriff in die Kommunikation?
Jetzt ist es “offiziell”:
http://www.heise.de/newsticker/Eingriff-in-E-Mail-Verschluesselung-durch-Mobilfunknetz-von-O2–/meldung/116073
Thomas: Richtig.
Ich hab mich vor ein paar Tagen gewundert, warum ich eine TLS-Fehlermeldung bekomme. Indirekt über VPN gings dann.
Auf die Idee, dass O2 an meinen Paketen rummacht, wär ich aber nie gekommen.
@Andreas: die Zeile mit den Sternchen sieht ganz nach Cisco aus. Die haben so ein “Feature”, und die Sicherheit zu erhöhen. Der SMTP-Client des potentiellen Angreifers kann dadurch nicht erkennen, daß ein postfix eingesetzt wird (falls da nicht jemand umkonfiguriert hat und täuschen will). Allerdings ist das IMHO security by obscurity…
Thunderbirds Option “TLS” (nicht “TLS, wenn möglich”) erzwingt auch die TLS-Benutzung (TLS der SSL-Nachfolger), bedeutet also “TLS (immer)”.
Im Zuge von autoconfig
https://wiki.mozilla.org/Thunderbird:Autoconfiguration
https://bugzilla.mozilla.org/show_bug.cgi?id=422814
testen wir einmalig beim Einrichten die SSL-Verfügbarkeit und erzwingen es dann immer, um genau das Problem des stillen zurückfallens zu lösen. Wir warnen auch, wenn keine Verschlüsselung verfügbar ist.
Die davon betroffen sind: Bitte erwägt ernsthaft eine Strafanzeige wegen Datenveränderung und Eingriff in die Kommunikation/Briefversand. Ich kann nicht anzeigen, weil ich kein Kunde von O2 bin und nicht betroffen bin.
[...] sehr viele Kunden Opfer des Angriffs – inclusive meiner Wenigkeit. Scheinbar wird allen Kunden ein SMTP-Proxy vorgeschaltet, der den Aufbau der verschlüsselten Verbindung zwischen e-Mail Client und Server [...]
[...] September erregte ein privater Blog einiges Aufsehen. Dort war zu lesen, dass der Mobilfunkprovider O2 die E-Mail-Verschlüsselung für [...]
[...] macht ein fehlerhaftes Update von Netzkomponenten verantwortlich. Aufgefallen war das Problem durch Fehlermeldungen der Mailprogramme zur [...]
Hallo,
befinde mmich in ähnlicher Situation. Die Mailserver zu denen ich verbinde nutzen alle RBL´s. Einige davon könnte ich ändern, andere nicht – aber das will man ja auch gar nicht.
Ergebniss der Aktion ist:
Trying 85.214.145.133…
Connected to http://www.meinserver.de.
Escape character is ‘^]’.
rblsmtpd: 82.113.121.18 pid 2790: 451 Blocked – see http://www.spamcop.net/bl.shtml?82.113.121.18
220 rblsmtpd.local
Habe etwas rumprobiert und festgestellt, dass der gesamte IP-Kreis geblockt wird. Dabei ist 82.113.121.18 nicht die von O2 zugewiesene Adresse, sondern die liegt im Kreis 10.43.161.254
Das Thema scheint also nach wievor aktuell zu sein – und ich mittlerweile genervt, weil webmail nun auch keine richtige Alternative ist…
Liebe Grüße
Chris
proxy für smtp wird gerade bei postfix-mailservern als alternative für content_filter verwendet, z.B. bei der Verwendung von amavisd-new zur Spam und Virenfilterung. Dabei wird der eingehende Verkehr zum SMTP-Server des Viren/Mailscanners umgeleitet der auf einen anderen Port läuft dort werden die Mails geprüft und wenn ok zurück an den normalen smtp-server gegeben der diese dann ausliefert – wenn nicht ok das damit macht was man ihm sagt. Best Practice gegen Spam und Viren. soviel zum Nutzen von SMTP u. Proxy
LG
Andre
Das o.g. Problem sollte nur bei Clients mit der Option “TLS wenn möglich” auftreten, stimmts? Erzwungenes TLS sollte hingegen keine Verbindung ermöglichen, oder?
Wenn es in Deinem Client so eine Option gibt, dann ist “erzwungenes TLS” genauso sicher wie “SSL”.
Was ist der Unterschied zwischen einem TLS und SSL? Die haben doch die Selben Funktionen oder irre ich mich?