Message-ID manipulierbar?

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Message-ID manipulierbar?

Andreas Meyer-3
Hallo!

Kann man anhand der Message-ID, die ein MUA generiert, auf den
sendenden Host schließen oder ist die manipulierbar?

Es geht mir um von vermutlich Windows Live Mail verschickten
Spam, bei dem offenbar auf das Adressebuch zugegriffen wird
und ich würde gerne den tatsächlich sendenden Host ermitteln.

Kann man Postfix dazu veranlassen, eine vom MUA generierte
Message-ID zu überschreiben?

Grüße

  Andreas
Reply | Threaded
Open this post in threaded view
|

Re: Message-ID manipulierbar?

Gregor Hermens
Hallo Andreas,

Am Samstag, 31. Oktober 2015 schrieb Andreas Meyer:
> Kann man anhand der Message-ID, die ein MUA generiert, auf den
> sendenden Host schließen oder ist die manipulierbar?
>
> Es geht mir um von vermutlich Windows Live Mail verschickten
> Spam, bei dem offenbar auf das Adressebuch zugegriffen wird
> und ich würde gerne den tatsächlich sendenden Host ermitteln.

die Message-ID lässt sich wie jeder Header problemlos fälschen. Du kannst dich
im Prinzip nur auf die Header verlassen, die dein eigener Postfix setzt. Damit
ist die erste IP, die mit Sicherheit stimmt, die IP des bei dir einliefernden
Clients.
 
> Kann man Postfix dazu veranlassen, eine vom MUA generierte
> Message-ID zu überschreiben?

Du kannst die bestehende Message-ID mit einem Header-Check IGNORE löschen.
Vermutlich wird Postfix anschließend eine neue generieren. Aber was bringt das
dann?

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|

Re: Message-ID manipulierbar?

Winfried Neessen
In reply to this post by Andreas Meyer-3
Hi,

Am 2015-10-31 11:47, schrieb Andreas Meyer:

> Kann man Postfix dazu veranlassen, eine vom MUA generierte
> Message-ID zu überschreiben?
>

Alles was vom MUA gesetzt wird, kann theoretisch vom MTA veraendert
werden.
Die Message ID koennte man z. B. via header_checks aendern:

header_checks = regexp:/etc/postfix/header_checks
/Message-Id:\s+<(.*?)@eigentlicheId>/ REPLACE Message-Id:
<$[hidden email]>


Winni
Reply | Threaded
Open this post in threaded view
|

Re: Message-ID manipulierbar?

Max Grobecker
In reply to this post by Gregor Hermens
Hallo Andreas,

Am 31.10.2015 um 16:08 schrieb Gregor Hermens:

>> Kann man Postfix dazu veranlassen, eine vom MUA generierte
>> Message-ID zu überschreiben?
>
> Du kannst die bestehende Message-ID mit einem Header-Check IGNORE löschen.
> Vermutlich wird Postfix anschließend eine neue generieren. Aber was bringt das
> dann?

An sich willst du nicht die Message-ID auswerten (die wird vom Client gesetzt und ist daher wenig vertrauenswürdigt)
sondern man will die Queue-ID auswerten resp. verfolgen, die Postfix generiert und die an jedem Received-Header dranklebt.

Außerdem sollte man mit der Message-ID nicht rumspielen, da sie manchmal Teil von DKIM-Signaturen ist und man
damit dann früher oder später zuverlässig derartige Signaturen zerstört.


Viele Grüße aus dem Tal
 Max


signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Message-ID manipulierbar?

Andreas Meyer-3
Hallo!

Max Grobecker <[hidden email]> schrieb am 31.10.15 um 19:36:59 Uhr:

> An sich willst du nicht die Message-ID auswerten (die wird vom Client gesetzt und ist daher wenig vertrauenswürdigt)
> sondern man will die Queue-ID auswerten resp. verfolgen, die Postfix generiert und die an jedem Received-Header dranklebt.
>
> Außerdem sollte man mit der Message-ID nicht rumspielen, da sie manchmal Teil von DKIM-Signaturen ist und man
> damit dann früher oder später zuverlässig derartige Signaturen zerstört.

Ich dank' euch allen für die Tips! Konkret geht es um einen sendenden
Server, auf den ich keine Einfluss habe. Ich hatte gehofft, das ich
aufgrund der Message-ID auf den Host schließen kann. Aber das ist
natürlich Unsinn bei genauerer Überlegung, da wie gesagt alle Header
manipulierbar sind.

Ein befreundeter Architekt hat kürzlich über sein Windows Live Mail in
einer Email an mich im CC ca. 25 Empfänger eingetragen (über diese Indiskretion
lasse ich ich jetzt hier nicht aus) und seit dieser Zeit kommt immer wieder
mal Mist in Form von Pishingmails durch, wobei die Message-ID immer
als Absender die Domaine des Architekten beinhaltet und im CC immer
wieder ein paar dieser bekannt gegebenen Email-Adressen stehen.

Ich weis nicht, wie sowas zustande kommt. Ein Automatismus kann das nur
schwerlich sein, oder? Gibt es einen Trojaner, der sowas macht?

Grüße

  Andreas
Reply | Threaded
Open this post in threaded view
|

Re: Message-ID manipulierbar?

Daniel Gompf
Hallo Andreas

Am 31.10.2015 um 20:14 schrieb Andreas Meyer:

> Hallo!
>
> Max Grobecker <[hidden email]> schrieb am 31.10.15 um 19:36:59 Uhr:
>
>> An sich willst du nicht die Message-ID auswerten (die wird vom Client gesetzt und ist daher wenig vertrauenswürdigt)
>> sondern man will die Queue-ID auswerten resp. verfolgen, die Postfix generiert und die an jedem Received-Header dranklebt.
>>
>> Außerdem sollte man mit der Message-ID nicht rumspielen, da sie manchmal Teil von DKIM-Signaturen ist und man
>> damit dann früher oder später zuverlässig derartige Signaturen zerstört.
>
> Ich dank' euch allen für die Tips! Konkret geht es um einen sendenden
> Server, auf den ich keine Einfluss habe. Ich hatte gehofft, das ich
> aufgrund der Message-ID auf den Host schließen kann. Aber das ist
> natürlich Unsinn bei genauerer Überlegung, da wie gesagt alle Header
> manipulierbar sind.
>
> Ein befreundeter Architekt hat kürzlich über sein Windows Live Mail in
> einer Email an mich im CC ca. 25 Empfänger eingetragen (über diese Indiskretion
> lasse ich ich jetzt hier nicht aus) und seit dieser Zeit kommt immer wieder
> mal Mist in Form von Pishingmails durch, wobei die Message-ID immer
> als Absender die Domaine des Architekten beinhaltet und im CC immer
> wieder ein paar dieser bekannt gegebenen Email-Adressen stehen.
>
> Ich weis nicht, wie sowas zustande kommt. Ein Automatismus kann das nur
> schwerlich sein, oder? Gibt es einen Trojaner, der sowas macht?

Ich hatte vor einiger Zeit das Glück so etwas mal sehr schön beobachten
zu können.

Das Adressbuch und wahrscheinlich auch einige Metadaten oder andere
Daten zum Kommunikationsverhalten sind von dem Webmail-Konto  eines
Bekannten gezogen wurden.
Seit dem geistern immer wieder E-Mail von ihm herum auch mit je ca. 20
Empfängern, allerdings kommen die von irgendwelchen Bots nicht aus
seinem Konto.

Interessant war die Auswahl der Empfängerlisten, die sahen nicht
zufällig aus, sie passten meistens recht gut zusammen. Hin und wieder
änderte sich der Text-Anteil im From-Header wobei die Adresse im
From-Header immer gleich blieb.

>
> Grüße
>
>   Andreas
>
Reply | Threaded
Open this post in threaded view
|

Re: Message-ID manipulierbar?

Max Grobecker
In reply to this post by Andreas Meyer-3
Moin Andreas,


Am 31.10.2015 um 20:14 schrieb Andreas Meyer:

> [...] wobei die Message-ID immer
> als Absender die Domaine des Architekten beinhaltet und im CC immer
> wieder ein paar dieser bekannt gegebenen Email-Adressen stehen.

Das ist durchaus üblich - ob das Standard ist weiß ich gerade nicht aus dem Kopf.
Was dir aber in dem Fall weiterhilft ist der Received-Header, von dem erfährst du nämlich welcher Server
die Mail bei dir resp. deinem Anbieter eingekippt hat.

Die werden von unten nach oben gelesen, wobei für dich dann der erste Header interessant ist,
der von deinen eigenen Mailserver bzw. Anbieter gesetzt wurde.

Meistens werden dazu gestohlene Zugangsdaten anderer Mailserver verwendet, die dann auch tragischerweise
keine Absenderverifikation machen. Oder es sind irgendwelche Lücken in Webapplikationen, über die dann solche Mails
rausgedrückt werden können.


Viele Grüße aus dem Tal
 Max


signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Message-ID manipulierbar?

Andreas Meyer-3
Hallo!

Max Grobecker <[hidden email]> schrieb am 01.11.15 um 13:55:06 Uhr:

> Moin Andreas,
>
>
> Am 31.10.2015 um 20:14 schrieb Andreas Meyer:
>
> > [...] wobei die Message-ID immer
> > als Absender die Domaine des Architekten beinhaltet und im CC immer
> > wieder ein paar dieser bekannt gegebenen Email-Adressen stehen.
>
> Das ist durchaus üblich - ob das Standard ist weiß ich gerade nicht aus dem Kopf.
> Was dir aber in dem Fall weiterhilft ist der Received-Header, von dem erfährst du nämlich welcher Server
> die Mail bei dir resp. deinem Anbieter eingekippt hat.
>
> Die werden von unten nach oben gelesen, wobei für dich dann der erste Header interessant ist,
> der von deinen eigenen Mailserver bzw. Anbieter gesetzt wurde.

Ja, die hatte ich mir angeschaut und der erste Eintrag war von einer
toplevel-Domaine .za, ich habe die Email jetzt nicht mehr zur Verfügung.

Verwunderlich, dass dann die Domaine des Architekten in der Message-ID
auftaucht.

> Meistens werden dazu gestohlene Zugangsdaten anderer Mailserver verwendet, die dann auch tragischerweise
> keine Absenderverifikation machen. Oder es sind irgendwelche Lücken in Webapplikationen, über die dann solche Mails
> rausgedrückt werden können.

Ist dieses Windows Live Mail nicht auch eine Webapplikation? Da hat
einer der CC-Empfänger wohl einen Trojaner onboard, der sich munter
bedient.

Grüße

  Andreas