Sicherheitsrisiko E-Mail-Kopfzeilen
28.04.2020 | 13:00 Uhr
Jede E-Mail besteht aus drei wichtigen Teilen: dem Umschlag, dem Kopfteil und dem eigentlichen Nachrichteninhalt. Auf dem Umschlag (Envelope) stehen Absender und Empfänger einer Nachricht. Diese Daten werden von den Mailservern benötigt. Der Kopfteil (Header) beinhaltet u.a. Informationen über die genutzte E-Mail-Software, die eindeutige Nachrichtennummer aber auch Informationen über den Transportweg. Der Body enthält den eigentlichen Text der Nachricht oder auch die beigefügten Anlagen. Für Angreifer ist besonders der Kopfteil interessant, da er sich dort ggf. interne Informationen für einen Angriff beschaffen kann.
Der aktuelle E-Mailstandard ist im RFC 5322 definiert. Demnach muss jede E-Mail im Kopfeil mindestens eine Absenderinformation und ein Datum beinhalten. Ein Betreff oder sonstige Informationen sind nicht notwendig. Auch ein Empfänger muss hier nicht angegeben werden, da dieser auch auf dem Umschlag einer jeden Mail steht.
Im Kopfteil von E-Mails kommen standardmäßig auch Informationen über den Weg der E-Mail vom Absender bis zum Empfänger vor. Mit diesen Spuren lassen sich die Pfade der Nachrichten sehr gut nachvollziehen. Spannend sind dabei Informationen, die die verarbeiteten Systeme den Nachrichten anhängen. Denn neben der Adresse der Gegenstelle werden meist das genutzte Übertragungsprotokoll und die eigene genutzte Software notiert. Solange diese Informationen allgemein sind und ggf. nur den Namen eines Programms erwähnen, ist dies in Bezug auf die Sicherheit noch nicht so kritisch. Spannend wird es aber, wenn ein Mailserver die Version einer veralteten Software mitteilt. So hat ein Angreifer schnell eine mögliche Angriffsstelle gefunden. Dieses Problem tritt häufig bei Unternehmen auf, die im eigenen Haus einen eigenen Mailserver betreiben und dieser nicht ständig gewartet wird. Aber auch die Informationen über den Mailfluss vom Absender über einen ggf. eigenen Server zum Provider hin helfen Angreifern. Denn anhand von Adressinformationen kann man sich die jeweilige Infrastruktur erschließen. Der trügerische Schutz der eigenen Firewall vor dem Mailserver wird da schnell zum Verhängnis.
Auch weitere Kopfzeilen geben Auskunft über Ursprung und Verarbeitung. So hinterlassen die Mailprogramme bei den Absendern gerne eine Information über sich selbst. Dabei wird als so genannter User-Agent nicht nur der Programmname sondern auch die Versionsnummer mitgeteilt. Auch hier gibt es für Angreifer Informationen, um ggf. Sicherheitslücken beim Absender auszunutzen.
Um diese Probleme zu verhindert, sollte jeder Mailserver, der eine Nachricht über das Internet zustellt, vorher lokale, vertrauliche Informationen aus der Nachricht entfernen. Für Zwecke der technischen Nachverfolgung von Nachrichten bei Übermittlungsproblemen sollte man auf Logfiles zurückgreifen.