Ja, die Locky-Brüder sind pfiffig. Die vom BKA sind aber ganz offenkundig strunzdoof und arbeiten denen zu.
Ich weiß, ich klinge wie eine hängende Schallplatte: Ich habe neulich schonmal etwas zu SPF-Records geschrieben. Aber speziell wegen der Sicherheits-Expertenfraktion im BKA ist das nochmal einer expliziten Erinnerung wert:
Man sollte sowohl als Mailbetreiber anderen SPF-Records bereitstellen wie auch als Empfänger SPF-Records auswerten. Dann ist man schonmal den Großteil des absender-gefälschten Mülls los.
Wir weisen an unserem Maileingang täglich so um die 30.000 Mails ab, davon ca. 50% wegen Fälschung des Absenders, erkennbar durch SPF-Check der vorgeblichen Absenderdomain.
Die Spezialexperten des BKA arbeiten da aber nicht mit. Die haben (eben im DNS abgefragt) keinen SPF-Record hinterlegt. Man kann also nicht prüfen, welche Mailer fürs BKA valide Absendeserver sind. Damit setzen sie die potentiellen Empfänger von gefälschten BKA-Mails unnötigem Risiko aus, weil die die Fälschung nicht automatisiert erkennen und abweisen können.
Sehr vorbildlich, liebes BKA. Das habt ihr toll gemacht, ihr Sicherheitsexperten. Danke für die Kooperation! Mindestens mal die Hälfte der Verantwortung für den Locky-BKA-Versand liegt damit beim BKA, weil die ihre Absenderdaten nicht vor Fälschung schützen.
Seufz. Einmal mit Fachleuten arbeiten, echt jetzt! Das sind übrigens dieselben, die VDS und Trojaner als prima Ermittlungsinstrument betrachten, nur mal als Erinnerung!
Wer betreibt deren Mailer? Abfrage der MX-Records:
T-Systems. Und die nennen die Teile auch noch "secure"!? Wenn sie als Mailbetreiber nicht mal SPF-Records kennen? Provokant. Soll das jetzt eine Challenge sein, oder was? Selbstbewußt sind die ja ...
#define VT_MODE ON
Es kann jetzt bestimmt nicht lange dauern, bis das BKA oder der Bund der Kriminalbeamten oder die Gewerkschaft der Polizei oder unser Minilieb ums Eck kommen und genau wegen dieses Vorfalls nach noch mehr Internetüberwachung oder DE-Mail-Zwang schreien. Da fragt man sich, ob die den Schutz vor Absenderfälschung WIRKLICH nur aus Inkompetenz verbummelt haben und ob da jetzt nicht interessierte Trittbrettfahrer am Werk waren. Celler Loch, remember?
#undef VT_MODE
@OldFart: Wobei SPF auch ein Witz ist, so lange es optional ist, bzw ein Fallback ohne SPF existiert.
Dabei wäre es für die Effektivität egal ob das per Standard oder durch die Marktmacht einiger Mail-Dienste gefordert wäre.
Wiesen Googles und Microsofts Maildienste konsequent alle E-Mails ohne SFP ab, wäre das binnen kürzester Zeit bei jedem Mailserver notwendig.
Außerdem ist SPF auch per se 'doof':
Noch zu verschmerzen, dass Weiterleitungen explizites Whitelisting benötigten (oder eine Weiterleitung nicht mehr transparent erfolgen könnte), viel schlimmer, dass SPF jegliche Kryptographie vergessen hat:
Es fragt in Klartext einen DNS-Record ab, es prüft nicht die Identität des Servers und bezieht sich immer nur auf den Server - nicht auf den Endanwender.
Außerdem begünstigt es zusätzlich die Überwachung des Mailverkehres, weil jede Adresse an einen/eine Gruppe bekannter Server gebunden wäre.
Außerdem bleibt die Möglichkeit fröhlich für wenige Euro Domains zu registrieren, das Spam-Problem als solches mildert es maximal ab.
Phishing und Absenderfälschung wie in diesem Fall hätte es allerdings verhindert, widersprechen will ich dir also nicht. Ich hoffe meine Ergänzung stimmt so weit.
In allem voll d'accord. SPF ist nicht viel und nicht ideal. Aber im Moment verfügbar und etabliert. Also sollte man wenigstens die Strohhalme greifen, die man hat, während man Besseres austüftelt.
In dem Sinne ist meine diesbezügliche Beharrlichkeit zu verstehen. SPF-Hinterlegung muß, solange nichts Besseres am Start ist, für jede Maildomain selbstverständlich sein. Und für jeden Empfänger deren Überprüfung ebenso. Besser als nix ist es in jedem Fall. Die gegenwärtige Nützlichkeit habe ich oben anhand unseres Eingangs-Mailfilters beschrieben.
Und wenn so vorbildhafte Größen wie Google, MS (und das BKA) schon das Verfügbare mit dem SPF nicht hinkriegen, bin ich halt am Meckern.
Das Kleingedruckte: Halte Dich bitte an die Spielregeln. Welche Emoticons du verwenden kannst, steht hier.
Um hier kommentieren zu können, musst Du einen beliebigen Namen sowie eine beliebige E-Mail-Adresse angeben. Diese Daten werden dann erstmal zur Spamerkennung in die USA geschickt, dort und danach auch auf meinem Server gespeichert. Mit dem Absenden Deines Kommentars erklärst Du Dich damit und den hier geltenden Datenschutzbestimmungen (insbesondere dem Abschnitt Kommentarfunktion) einverstanden. Wenn Du damit nicht einverstanden bist, lass das Kommentieren bleiben, aber dann deinstalliere bitte auch sofort WhatsApp und verabschiede Dich von Facebook.
Kommentarabonnements werden automatisch nach 3 Monaten gelöscht.
Wer HTML kann, ist klar im Vorteil. Diese Tags sind erlaubt: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
Bei der Menge an Spam-Kommentaren passiert es hin und wieder, dass ein Kommentar vom Spamfilter gefressen wird. Bitte sei mir nicht böse aber ich habe weder Zeit noch Lust, solch verloren gegangenen Kommentaren hinterher zu forschen. Wenn das öfters passiert, schreib' mir 'ne Mail damit ich dich whitelisten kann.
Siewurdengelesen on CDU und AfD in Umfragen gleichauf: “Ja – die wollen das. Jahrelange Hetze gegen alles, was nicht in das Klischee „Mein Haus, mein Boot, mein Auto“…”
daMax on April, April: “@T;ll: ich hab tatsächlich null Ahnung, wie oft mein Blog aufgerufen wird. Ich will hier kein datenkrakiges Statistikplugin installieren und…”
Siewurdengelesen on April, April: “Die erste Reaktion war schon ein Luftholen. Aber da ich meist erst einmal „eine Runde im Kopf“ drehe, ist mir…”
Schwarzes_Einhorn on April, April: “@T;ll: Ich war auch kurz verunsichert und hätte fast noch ein Mail geschrieben… Dann hab ich nochmal geschaut und…”
Es sieht so aus, als hättest du keinen Werbeblocker installiert. Das ist schlecht für dein Gehirn und manchmal auch für deinen Computer.
Bitte besuche eine der folgenden Seiten und installiere dir einen AdBlocker deiner Wahl, danach kannst du todamax wieder ohne Einschränkungen genießen.
Ey, lass mich einfach rein, okay?
(Setzt per Javascript einen Cookie. Wenn Du das alles deaktiviert hast, weiß ich auch nicht, wie ich dir helfen soll)
Ich will das hier nie wieder sehen.
(Setzt per Javascript einen sehr langlebigen Cookie. Wenn Du das alles deaktiviert hast oder Cookies automatisch oder auch von Hand löschst, weiß ich auch nicht, wie ich dir helfen soll)
Loading Image...
Ihr Browser versucht gerade eine Seite aus dem sogenannten Internet auszudrucken. Das Internet ist ein weltweites Netzwerk von Computern, das den Menschen ganz neue Möglichkeiten der Kommunikation bietet.
Da Politiker im Regelfall von neuen Dingen nichts verstehen, halten wir es für notwendig, sie davor zu schützen. Dies ist im beidseitigen Interesse, da unnötige Angstzustände bei ihnen verhindert werden, ebenso wie es uns vor profilierungs- und machtsüchtigen Politikern schützt.
Sollten Sie der Meinung sein, dass Sie diese Internetseite dennoch sehen sollten, so können Sie jederzeit durch normalen Gebrauch eines Internetbrowsers darauf zugreifen. Dazu sind aber minimale Computerkenntnisse erforderlich. Sollten Sie diese nicht haben, vergessen Sie einfach dieses Internet und lassen uns in Ruhe.
Die Umgehung dieser Ausdrucksperre ist nach §95a UrhG verboten.
Ja, die Locky-Brüder sind pfiffig. Die vom BKA sind aber ganz offenkundig strunzdoof und arbeiten denen zu.
Ich weiß, ich klinge wie eine hängende Schallplatte: Ich habe neulich schonmal etwas zu SPF-Records geschrieben. Aber speziell wegen der Sicherheits-Expertenfraktion im BKA ist das nochmal einer expliziten Erinnerung wert:
Man sollte sowohl als Mailbetreiber anderen SPF-Records bereitstellen wie auch als Empfänger SPF-Records auswerten. Dann ist man schonmal den Großteil des absender-gefälschten Mülls los.
Wir weisen an unserem Maileingang täglich so um die 30.000 Mails ab, davon ca. 50% wegen Fälschung des Absenders, erkennbar durch SPF-Check der vorgeblichen Absenderdomain.
Die Spezialexperten des BKA arbeiten da aber nicht mit. Die haben (eben im DNS abgefragt) keinen SPF-Record hinterlegt. Man kann also nicht prüfen, welche Mailer fürs BKA valide Absendeserver sind. Damit setzen sie die potentiellen Empfänger von gefälschten BKA-Mails unnötigem Risiko aus, weil die die Fälschung nicht automatisiert erkennen und abweisen können.
Sehr vorbildlich, liebes BKA. Das habt ihr toll gemacht, ihr Sicherheitsexperten. Danke für die Kooperation! Mindestens mal die Hälfte der Verantwortung für den Locky-BKA-Versand liegt damit beim BKA, weil die ihre Absenderdaten nicht vor Fälschung schützen.
Seufz. Einmal mit Fachleuten arbeiten, echt jetzt! Das sind übrigens dieselben, die VDS und Trojaner als prima Ermittlungsinstrument betrachten, nur mal als Erinnerung!
Wer betreibt deren Mailer? Abfrage der MX-Records:
secure500.t-systems.com
secure100.t-systems.com
secure200.t-systems.com
T-Systems. Und die nennen die Teile auch noch "secure"!? Wenn sie als Mailbetreiber nicht mal SPF-Records kennen? Provokant. Soll das jetzt eine Challenge sein, oder was? Selbstbewußt sind die ja ...
@OldFart: hahaha T-Systems sind ja eh die BESTEN der BESTEN der BESTEN, Sir!!!
@da]v[ax:
T-Systems & BKA. Arsch & Eimer. 'nuff said.
#define VT_MODE ON
Es kann jetzt bestimmt nicht lange dauern, bis das BKA oder der Bund der Kriminalbeamten oder die Gewerkschaft der Polizei oder unser Minilieb ums Eck kommen und genau wegen dieses Vorfalls nach noch mehr Internetüberwachung oder DE-Mail-Zwang schreien. Da fragt man sich, ob die den Schutz vor Absenderfälschung WIRKLICH nur aus Inkompetenz verbummelt haben und ob da jetzt nicht interessierte Trittbrettfahrer am Werk waren. Celler Loch, remember?
#undef VT_MODE
@OldFart: Wobei SPF auch ein Witz ist, so lange es optional ist, bzw ein Fallback ohne SPF existiert.
Dabei wäre es für die Effektivität egal ob das per Standard oder durch die Marktmacht einiger Mail-Dienste gefordert wäre.
Wiesen Googles und Microsofts Maildienste konsequent alle E-Mails ohne SFP ab, wäre das binnen kürzester Zeit bei jedem Mailserver notwendig.
Außerdem ist SPF auch per se 'doof':
Noch zu verschmerzen, dass Weiterleitungen explizites Whitelisting benötigten (oder eine Weiterleitung nicht mehr transparent erfolgen könnte), viel schlimmer, dass SPF jegliche Kryptographie vergessen hat:
Es fragt in Klartext einen DNS-Record ab, es prüft nicht die Identität des Servers und bezieht sich immer nur auf den Server - nicht auf den Endanwender.
Außerdem begünstigt es zusätzlich die Überwachung des Mailverkehres, weil jede Adresse an einen/eine Gruppe bekannter Server gebunden wäre.
Außerdem bleibt die Möglichkeit fröhlich für wenige Euro Domains zu registrieren, das Spam-Problem als solches mildert es maximal ab.
Phishing und Absenderfälschung wie in diesem Fall hätte es allerdings verhindert, widersprechen will ich dir also nicht. Ich hoffe meine Ergänzung stimmt so weit.
@meh:
In allem voll d'accord. SPF ist nicht viel und nicht ideal. Aber im Moment verfügbar und etabliert. Also sollte man wenigstens die Strohhalme greifen, die man hat, während man Besseres austüftelt.
In dem Sinne ist meine diesbezügliche Beharrlichkeit zu verstehen. SPF-Hinterlegung muß, solange nichts Besseres am Start ist, für jede Maildomain selbstverständlich sein. Und für jeden Empfänger deren Überprüfung ebenso. Besser als nix ist es in jedem Fall. Die gegenwärtige Nützlichkeit habe ich oben anhand unseres Eingangs-Mailfilters beschrieben.
Und wenn so vorbildhafte Größen wie Google, MS (und das BKA) schon das Verfügbare mit dem SPF nicht hinkriegen, bin ich halt am Meckern.