Informations/Telekommunikations- Dienstleistungen Christian Freter

Partner von AVM und Seagate

1&1 Premiumpartner 

 

Zum kostenlosen Virenscan von

F- Secure bitte 1x klicken!

 

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundinformationen und Links zu wichtigen Webseiten für das Internet. Ich kann keine direkte Aktualität in diesem Blog gewährleisten. Deshalb schaut auch mal öfters bei Webseiten von PC Zeitschriften oder Anbietern von Virenschutz oder bei den Herstellern selber (oft Englisch und benötigt Fachkenntnisse). 

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 

 

 

   

 

NGINX ist ein Open Source Hochleistungs- Webserver und ist ursprünglich eine russische Entwicklung. Durch die Open Source Lizenz wird der Server allen kostenlos zur Verfügung gestellt. Er ist unter anderem eine wichtige Komponente in der Synology Netzwerktechnik, welche auch von mir verwendet wird.

Bereits am Anfang des Krieges gab es eine Untersuchung der US Sicherheitsbehörden zur kritischen IT- Infrastruktur. Natürlich kam der NGINX dabei mit in den Fokus der Gutachter (etwa 10% der IT in den größeren Ländern verwendet diesen Server). Da der NGINX bzw. sein kommerzieller Teil, durch den die Sache auch finanziert wird, von einem US Unternehmen übernommen wurde und der russische Erfinder aus dem gewerblichen Teil des Projektes ausstieg, gab es keine akute Bedrohungssituation. Und es war auch tatsächlich so, dass russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht wurden.  

Mit dem fortschreitenden Krieg muss man sich natürlich weitere Gedanken machen. Aktuell sind wohl russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht natürlich viel russisches IT Know- How  verloren, aber das Projekt wird wahrscheinlich überleben. Wegen all dieser Aspekte werde ich zu diesem Zeitpunkt auch nicht auf die Synology Technik verzichten.       

   

Die EMail Übertragung kann auf verschiedenste Weise geschützt werden. Man verschlüsselt den Weg der Mail oder man verschlüsselt den Weg und die Mail.

 

Es gibt aber noch komplexere Schutzmechanismen. Diese sollen einen gesicherten Empfang von EMail gewährleisten, d.h. man kontrolliert die Vertrauenswürdigkeit des Absenders. Derartige Einstellungen sind in der Regel aber nur bei Konfigurationen von Unternehmen möglich. Habt ihr zum Beispiel ein normales Mail Konto bei GMX, Microsoft, 1&1, Google usw., dann könnt ihr diese Einstellungen nicht vornehmen. Das geschieht dann durch die Anbieter selber oder gar nicht. Existiert eine solche Konfiguration, dann werdet ihr als Absender als vertrauenswürdig deklariert und andersrum werden empfangene EMail’s entsprechend geprüft. In der Vergangenheit gab es noch Probleme mit der Zustellung von EMail’s bei diesen aktivierten Schutzmechanismen, aber mittlerweile sind es etablierte Lösungen und die Erfolgschance der Zustellung liegt deutlich über 90% (glaube, habe mal etwas von 98%+ gelesen).  

 

Um diese Schutzmechanismen zu konfigurieren, benötigt man Zugriff auf den sogenannten EMail Server. Das ist das Programm bzw. der PC bzw. der Computer, der die eigenen EMails verschickt und EMails empfängt. Nicht verwechseln mit dem EMail Client! Der EMail Client ist das Programm, über das ihr EMail’s verfasst und verschickt oder das euch empfangene EMail’s anzeigt. Dafür bauen die Clients eine Verbindung zum Server auf, authentifizieren sich mit den Benutzerdaten und rufen entweder Daten ab oder senden Daten. 

 

Zudem muss man die DNS Einstellungen anpassen. DNS = Domain Name Service (Englisch). Dieser übersetzt die IP Adressen(Zahlenkombinationen) der Computer im Netzwerk nach verständlichen Namen, z.Bsp. im Heimnetzwerk 192.168.178.1 nach fritz.box. Allerdings benötigt man jetzt weitreichende Einstellungen. Und diese werden nicht in der Fritz!Box festgelegt, sondern bei einem Anbieter des Domänennamens. Dieser Anbieter speichert diese Informationen, um diese Informationen allen Menschen bzw. Computern im Internet verfügbar zu machen. Also wir haben ein Unternehmen XYZ, das über das Internet erreichbar sein möchte. Das Unternehmen möchte eine Website bereitstellen mit dem Namen XYZ.de. Ergo muss der Anbieter des DNS eine Übersetzung von XYZ speichern. Und genauso funktioniert das mit den EMail Servern. Soll ein Server von außen erreichbar sein, z.Bsp. für die Mail Adresse boss@xyz.de, dann muss beim DNS Anbieter ein entsprechender Verweis auf den Mailserver abgelegt sein (man spricht dann von einem MX Eintrag). Und diese Einträge können mit Schutzmechanismen verknüpft werden. Deswegen ist es weniger etwas für den normalen Heimanwender. Aber welche Einträge gibt es da jetzt bzw. welche Schutzmechanismen? 

 

DKIM steht für Domain Keys Identified Mail (Englisch; Domain Schlüssel Identifizierung). Es soll die Echtheit des Absenders sicherstellen. Man würde also bei dem Unternehmen XYZ die Eintragung xyz.de auf Vertrauenswürdigkeit prüfen. Es geht hierbei auch um die Unveränderlichkeit der Mail, d.h. man versendet die Mail mit einer geheimen digitalen Signatur (einer Art Unterschrift), die gleichzeitig einen Hash der Mail erstellt. Der Hash enthält Daten von der Mail, die dann mit komplizierten Berechnungen als Zahlenwert dargestellt werden. Die abgebildete Signatur kann dann mit einem Entschlüsselungsschlüssel (ein öffentlicher Schlüssel) geprüft werden, der im DNS hinterlegt ist. Also theoretisch und praktisch hat man die Kontrolle der Echtheit des Absenders. Aber man hat im Normalfall keine Kontrolle darüber, ob das Verfahren bei einer Mail angewendet wurde oder nicht. 

 

SPF (Sender Policy Framework; Englisch) ist ebenfalls ein Schutz vor bösartigen Mails. Wenn aktiviert, dann kann ein Mailserver erkennen, ob die EMail tatsächlich vom angegebenen Absender stammt (Es ist tatsächlich möglich, eine gefälschte Mail zu erstellen!). Auch dieses wird im DNS gespeichert. Um diesen Schutz zu gewährleisten, werden aber die IP Adresse des Mailservers dort hinterlegt. Dazu muss man wissen, dass bestimmte Informationen vom sendenden Mailserver mitgeschickt werden. Prüft der Mailserver des Empfängers die empfangene EMail und erkennt einen Unterschied zu den hinterlegten Daten im DNS, dann wird die EMail als Spam deklariert bzw. verworfen. 

 

DMARC (Domain-based Message Authentication, Reporting and Conformance; Englisch/ Domain basierte Nachrichten Identifizierung, Benachrichtigung und Bestätigung/ irgendwie so ) vereint die bereits dargelegten Verfahren und soll deren Nachteile ausbessern. “Vereinen” passt nicht wirklich, weil es die vorgenannten Verfahren als Basis verwendet und diese erweitert. Man hat beim DMARC die Überprüfung der Domain und die Prüfung der IP Adresse. Und die Information wird wieder im DNS hinterlegt. DMARC ermöglicht dem Unternehmen aber mehr Spielraum in Bezug auf die anzuwendenden Verfahren beim Erhalt einer EMail. Auch dieses muss wieder vom Mailserver des Empfängers unterstützt werden. Ein großer Vorteil von DMARC ist nämlich die Erstellung von Richtlinien. Man kann festlegen, was mit einer Mail passieren soll abhängig von der Prüfung durch SPF oder DKIM, d.h. die Mail wird nicht einfach abgewiesen und auf Wunsch kann sogar ein Bericht gesendet werden. Dazu wird im DNS ein entsprechender Vermerk gespeichert. Dadurch kann ein Unternehmen Fehler in der Zustellung erkennen. 

 

Diese Verfahren bieten Schutz, aber alle 3 Verfahren können zu Problemen führen, z.Bsp. die Nichtzustellung der Mail. Selbst wenn ein Unternehmen keinen Maildienst betreibt, dann sollte man die Einträge zum Schutz setzen. Also prophylaktisch, weil man sonst den DNS Namen eventuell für Spam missbrauchen könnte. Es gibt übrigens auch noch abgewandelte Varianten dieser Verfahren, aber das sind die normalen Verfahren. 

 

Bei Google ist es mittlerweile seit 2022 eine Voraussetzung, dass der Absender SPF oder DKIM verwendet, wenn dieser an private Gmail Konten senden möchte (Ausnahme sind Kontakte vor 2022). Die Prüfung erfolgt aber irgendwie per Zufall. Wird etwas entdeckt, dann wird die Absender Mail verworfen oder landet im Spam. Wer jetzt Panik bekommt, weil da etwas von Zufallsprüfung steht, den kann ich beruhigen! Das Angesprochene ist nur ein Teil der Schutzmaßnahmen. Google spricht von einer 99,9% Filterung. Ein Angreifer würde diesen Wert als "sehr hoch” betiteln. Bei 1&1 Mail könnt ihr den Spamfilter im Controlcenter aktivieren und deaktivieren. Zusätzlich könnt ihr eigene Filter erstellen (bei Google ähnlich). 1&1 nennt aber keinen konkreten Wert zur Effizienz, zumindest ist mir keiner bekannt. Das könnte Teil der Sicherheitspolitik sein (ist mir auch nicht bekannt). Aber auch 1&1 arbeitet anscheinend mittlerweile mit künstlicher Intelligenz für eine effiziente Erkennung. 

 

***www.router-it.de,Juli'23***