Mail

(historisch gewachsen seit 1965/1968/1971)

D4a — Computer der TU Dresden zu dieser Zeit:
2000 Grundoperationen/Sekunde; 16,5 KByte Speicher

📝❗ FiSi AP2 Analyse Sommer 2022 Aufgabe 4

📝❗ FiSi AP2 Analyse Sommer 2023 Aufgabe 4

MUA, MTA/MDA
MX-Record
Aufbau einer E-Mail (Kodierung) und Header
- Body
Sicherheit

MUA, MTA/MDA

Mail User Agent (Client)
Mail Transfer Agent (SMTP-Server)
Mail Delivery Agent (IMAP/POP3-Server)

💬❗ Wie unterscheiden sich POP3 und IMAP?

Welche der Protokolle will man verwenden?

=> Immer die Protokoll-Varianten, die auf „S“ enden 😉
(TLS nutzen)

MX-Record

Mail Exchange Resource Record (MX-RR)

=> sagt aus, unter welchem FQDN der SMTP-Server einer Domäne erreichbar ist

💻❗ Beispiel

dig any afbb.de

;; ANSWER SECTION:
[…]
afbb.de.                21600   IN      MX      1 afbb-de.mail.protection.outlook.com.
afbb.de.                600     IN      TXT     "v=spf1 include:spf.protection.outlook.com include:spf.emailsignatures365.com include:mx-smtp-out.mtl-servers.de -all"

dig any afbb-de.mail.protection.outlook.com

;; ANSWER SECTION:
afbb-de.mail.protection.outlook.com. 10 IN AAAA 2a01:111:f403:ca04::5

📝💬❗ FiSi AP2 Analyse Sommer 2023 Aufgabe 4ba

Aufbau einer E-Mail (Kodierung) und Header

RFC 5322

=> nur Zeichen des 7-Bit-ASCII-Zeichensatzes => Base64

=> MIME (Multipurpose Internet Mail Extensions)

Beispiel:

From: <adam@example.org>
To: <eva@example.org>
Subject: Umlaute dank MIME
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-15
Content-Transfer-Encoding: 8bit

Body

Content-Type-Header definiert den MIME-Media-Typ des Body:

text/plain
text/html
multipart
- plain+html
- Anhänge
- Signaturen

Sicherheit

💬❗ Wo werden Mails gespeichert?

Welche Server haben zusätzlich während des Versands Zugriff?

💬❗ Diskutieren Sie die Sicherheit von E-Mail im Bezug auf

Verfügbarkeit

Integrität, Authentizität

Vertraulichkeit, Anonymität

Welche Gefahren gehen jeweils aus von

Servern (MTA, MDA, NS, …, DC)

Clients (MUA, Client-Arbeitsumgebung)

Dritten

Innentäter aus dem Unternehmen (Kollegen, Kunden, Gäste, …)

Botnetzen (Spammer, (Spear-)Phishing, Würmer)

…

Wie kann man sich schützen?

Welche Grenzen haben die jeweiligen Maßnahmen?

💬 Was ist ein (offenes) SMTP-Relay?

Wofür werden Smarthosts benötigt?

Welche Herausforderung hat man, wenn man im eigenen Heimnetz (z.B. DSL-Anschluss) einen Mailserver betreiben möchte?

Wie ist das, wenn man im Rechenzentrum einen Mailserver betreiben will?

💬❗ Was ist E-Mail-Spoofing?

SPF

Sender Policy Framework

(seit 2003)

=> Absender-Authentifizierung

DNS-Record, der definiert welche MTAs für eine Domain Mails versenden dürfen (Im Gegensatz zum MX-Record, der die zuständigen Empfänger definiert). Die Empfänger können per SPF-Record herausfinden, ob der Absender gültig zu sein scheint. [1] [2] [3]

📝💬❗ FiSi AP2 Analyse Sommer 2023 Aufgabe 4bb

[1] SPF ist nicht Final Ultimate Solution to the Spam Problem (FUSSP)

[2] Kritik and SPF

[3] weitere Kritik and SPF

DKIM

DomainKey Identified Mail

RFC 6376 (seit 2006, immer noch nicht von allen Servern unterstützt)

=> Absender-Authentifizierung , diesmal basierend auf asymmetrischer Kryptographie

Der SMTP-Server erzeugt ein asymmetrisches Schlüsselpaar
- der Private Schlüssel wird geheim gehalten (!*💬)
- der Öffentliche Schlüssel wird als TXT-Record per DNS veröffentlicht
Mail-Body und vom Sender ausgewählte Header-Zeilen werden gehashed und dann signiert
- Hash und Signatur werden Base64 kodiert in Mail-Header „DKIM-Signature“ versendet
Der Empfänger einer Mail kann eine Verifikation durchführen, indem er:
1. den Hash selbst neu berechnet und prüft
2. den öffentlichen Schlüssel der Absender-Domain per DNS (!*💬) abfragt (DKIM TXT-RR)
3. die Signatur über den Hash mittels des öffentlichen Schlüssels prüft