orm@doc-tcpip.org

Erstellt: Januar 2003 - Letzte Modifikation: August 2003

[ Main | Local ]


Fälschen der Sender und Empfänger Adresse

Mail Spoofing

Man kann beim Verschicken von Email mit wenig Aufwand sowohl die Sender-Adresse wie auch die Empfänger-Adresse fälschen.

Das Fälschen der Empfänger-Adresse ist zuerst einmal überraschend, denn wie soll eine falsch adressierte Mail in das Postfach des betroffenen User fallen?

Das ist aber kein Fehler der entsprechenden, lokalen Mail-Agenten, sondern eine Folge des Protokolls.

Es gibt ein kurzlebiges, sogenanntes envelope, das die vom anderen Mail-Server bzw. MTA übermittelten Meta-Daten enthält. Die hierin enthaltene Information kann im Datenteil der Mail überschrieben werden.

Das bedeutet: Die Mail wird nach den Angaben im Envelope zugestellt, in den mitgegebenen Information werden andere Angaben gemacht, die der MUA (Mail User Agent, z.b. Pine, Netscape, Outlook etc.) auswertet - er kriegt ja nichts mehr anderes zu sehen, weil die Daten aus dem Envelope ja schon verschwunden sind.

Hier ein kleines Beispiel:

Ich schicke mir (also an den User ohager auf der Maschine dev.idi.org) eine mehrfach gefälschte Mail vom nichtexistenten User ein.trottel von der nichtexistenten Domain im.weltall.de.

Jetzt soll die Mail aber so aussehen, wie wenn sie vom User yargl@karg.kom käme - und sie soll als Zieladresse den User boese@boesewicht.com ansprechen.

Das dient zur Verwirrung der Russen, treibt User dazu, wutentbrannt die Sysadmins anzuschreien, weil sie "offensichtlich" Mails bekommen, die garnicht für sie bestimmt sind.

Hier die einzelnen Schritte, wie immer sind alle Zeilen mit Nummern davor vom Mail-Server, mit dem ich rede. Die anderen Zeilen tippe ich ein (HELO, DATA, To: etc.).

 
ohager@dev.idi.org:/home1/ohager/Zeug > tn dev 25   
Trying...
Connected to dev.idi.org.
Escape character is '^T'.
220 dev.idi.org ESMTP Sendmail AIX4.3/UCB 8.8.8; Fri, 28 Mar 2003 13:02:28 +0100
HELO dev
250 dev.idi.org Hello dev.idi.org [172.16.13.4], pleased to meet you
MAIL from:ein.trottel@im.weltall.de
250 ein.trottel@im.weltall.de... Sender is valid.
RCPT to:ohager@dev          
250 ohager@dev... Recipient is valid.
DATA
354 Enter mail. End with the . character on a line by itself.
To: boese@boesewicht.com
From: yargl@karg.kom
Hi,
Lügenmail...
;-)
.
250 NAA49950 Message accepted for delivery

Das Ganze landet dann in meinem Mailfile, das natürlich nur Root und ich sehen können (ich auch nur über meinen MUA):

 
root@dev.idi.org/var/spool/mail# cat ohager
From ein.trottel@im.weltall.de Fri Mar 28 13:10:01 2003
Date: Fri, 28 Mar 2003 13:07:21 +0100
Message-Id: <200303281207.NAA49950@dev.idi.org>
To: boese@boesewicht.com
From: yargl@karg.kom

Hi,
Lügenmail...
;-)

Die Files, die der Mailer zu seinen Zwecken anlegt, sind nur sehr kurz zu sehen, solange, bis er die Mail zugestellt hat. Diese Files werden während der Kommunikation mit dem Mail-Server angelegt. Um sie zu fassen muß man schnell sein....

 
root@dev.idi.org/var/spool/mqueue# ls -l
total 1
-rw-------   1 root     system         0 Mar 28 13:14 dfNAA49950
-rw-------   1 root     system         0 Mar 28 13:14 qfNAA49950
-rw-------   1 root     system        32 Mar 28 13:14 xfNAA49950

Es ist ein File mit reinen Transfer-Daten, eine Art Puffer (xfxxxxxxxx, xf bezeichnet die File-Art, ab dem NA****** ist es eine Nummer, die der Mailer vergibt (die er bei der direkten Kommunikation auch ausgibt).

Dann das File mit den Meta-Daten, also der Adresse etc. (qfxxxxxxxx) und schließlich das File mit den eigentlichen Daten der Nachtricht (dfxxxxxxxx).

 
root@dev.idi.org/var/spool/mqueue# cat xfNAA49950
<<< rcpt to:ohager@dev
<<< data

root@dev.idi.org/var/spool/mqueue# cat dfNAA49950
To: boese@boesewicht.com
From: yargl@karg.kom
Hi,
Lügenmail...
;-)

root@dev.idi.org/var/spool/mqueue# cat qfNAA49950
V2
T1048853654
K0
N0
P30130
I10/6/7989
F8
$rSMTP
$sdev
$_dev.idi.org [172.16.13.4]
Sein.trottel@im.weltall.de
RPFD:ohager@dev
H?P?Return-Path: ein.trottel@im.weltall.de
H?D?Date: Fri, 28 Mar 2003 13:14:14 +0100
H?M?Message-Id: <200303281214.NAA49950@dev.idi.org>
HTo: boese@boesewicht.com
HFrom: yargl@karg.kom
.

Wichtig sind diese Zeilen:

 
Sein.trottel@im.weltall.de
RPFD:ohager@dev
Sender und Empfänger. Der Sender kann gefälscht sein, der Empfänger ist zwangläufig echt. Diese Information geht im Moment der Zustellung der Mail (in das Mail-File in /var/spool/mail/ohager) verloren!
 
H?P?Return-Path: ein.trottel@im.weltall.de
H?D?Date: Fri, 28 Mar 2003 13:14:14 +0100
H?M?Message-Id: <200303281214.NAA49950@dev.idi.org>
HTo: boese@boesewicht.com
HFrom: yargl@karg.kom
Das sind die Header-Informationen, die der Mailer des Users zu sehen bekommt. Mehr nicht.

Hier sind die einzelnen Files den Befehlen zugeordnet, die sie erstellen:

Nach MAIL:

 
root@dev.idi.org/var/spool/mqueue# ls -l
total 0
-rw-------   1 root     system         0 Mar 28 13:19 qfNAA49950
-rw-------   1 root     system         0 Mar 28 13:19 xfNAA49950
Nach RCPT:
 
root@dev.idi.org/var/spool/mqueue# ls -l
total 1
-rw-------   1 root     system         0 Mar 28 13:19 qfNAA49950
-rw-------   1 root     system        23 Mar 28 13:20 xfNAA49950

root@dev.idi.org/var/spool/mqueue# cat xfNAA49950
<<< rcpt to:ohager@dev

Nach DATA:
 
root@dev.idi.org/var/spool/mqueue# ls -l
total 1
-rw-------   1 root     system         0 Mar 28 13:21 dfNAA49950
-rw-------   1 root     system         0 Mar 28 13:19 qfNAA49950
-rw-------   1 root     system        32 Mar 28 13:21 xfNAA49950

root@dev.idi.org/var/spool/mqueue# cat xfNAA49950
<<< rcpt to:ohager@dev
<<< data

Jetzt schreibe ich die eigentliche Mail, die im x-File teilweise zwischen gespeichert wird. Sobald ich einen Punkt alleine auf eine Zeile setze, macht der Mailer das File zu und stellt die Mail dem im Envelope genannten User zu. Diese Information geht dann verloren.

Schaue ich mir als User ohager die Mail im Netscape an:

 
Date: Fri, 28 Mar 2003 13:07:21 +0100
Message-ID: <200303281207.NAA49950@dev.idi.org>
To: boese@boesewicht.com
From: yargl@karg.kom
Status: 
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000

Hi,
Lügenmail...
;-)
Und ich wundere mich...

Es gibt Mailer und Spam-Filter, die diese Felder Abgleichen und so Mails aussortieren....


[ Main | Local ]

[ Allgemein | UNIX | AIX | TCP-IP | TCP | ROUTING | DNS | NTP | NFS | FreeBSD | Linux | SMTP | Tracing | GPS ]

Copyright 2001-2014 by Orm Hager - Es gilt die GPL
Feedback bitte an: Orm Hager (orm@doc-tcpip.org )