Wie sicher ist E-Mail ?

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Wie sicher ist E-Mail ?

Beitragvon michaelw » Mi 12 Dez, 2007 08:23

Es heißt ja immer das E-Mails so sicher vor fremdem Blicken sind wie Postkarten.
Wie sieht das nun in der Praxis aus wenn jemand die E-Mails einer Firma ausspionieren will? Wie kommt der da eingentlich nun angeblich so einfach ran?

Muss man da den E-Mail Account am Provider-Server hacken probieren und alle E-Mails mitlesen?
Oder muss man da die Internetverbindung der Firma irgendwie belauschen was ich mir auch als technisch ziemlich aufwenig vorstelle?

Und falls des da gröbere Lücken gibt, was für Abwermaßnahmen könnt ihr mir empfehlen? Bieten z.B die meisten Provider ein verschlüsseltes Abrufen der E-Mails an? (Wir nutzen im Moment hauptsächlich Telekom Business E-Mail aber auch noch Aon E-Mail. )
michaelw
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 400
Registriert: So 24 Okt, 2004 04:48

Beitragvon timurinamanu » Mi 12 Dez, 2007 08:38

Im Grunde ist email unverschlüsselt.
Das bedeutet du musst nur mitsniffen z.B. mit ethereal oder wireshark
(da kriegst du sogar den Loginnamen und das Passwort von demjenigen mit)
allerdings kann man emails auch verschlüssen und dann ist der text nicht mehr lesbar.
mfg
Bild
von meiner alten schule ^^
timurinamanu
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 283
Registriert: Do 01 Nov, 2007 06:42
Wohnort: Erde

Beitragvon medice » Mi 12 Dez, 2007 10:53

die Mail-Server selbst sind üblicherweise so sicher wie Server anderer Verwendungsart, das Problem ist wie schon angesprochen die Klartextübertragung im Normalbetrieb. Inzwischen sollte es aber bei fast allen Mailsystemen möglich sein über ssl/tls zu senden und zu empfangen (wie sich Mailserver untereinander austauschen entzieht sich meiner Kenntnis, aber da sollten dann auch keine account-passwörter mehr drin sein)

Unabhängig davon ist natürlich die gesamte Architektur rund um SMTP inzwischen zu hinterfragen, da sie auf reines Funktionieren ausgelegt zu sein scheint und nun haben wir den Spam-Salat ;)
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon lordpeng » Mi 12 Dez, 2007 11:34

grundsätzlich ist email gar nicht sicher, auch wenn die verbindung verschlüsselt wäre, müsste gewährleistet werden, dass die daten am server dies ebenfalls wären

wir übermitteln unseren kunden vertrauliche daten wie kennwortlisten oder vorkonfigurierte vpn clients etc. grundsätzlich nicht per email, es sei denn der kunde wünscht dies explizit in dem fall werden die daten gepackt und mit aes256 verschlüsselt, die passphrase zum entschlüsseln bekommt der kunde dann auf anderem wege (mündlich oder per fax)
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon michaelw » Mi 12 Dez, 2007 12:13

Ja aber so ein belauschen des Datenverkehrs stell ich mir eben technisch recht aufwenig vor, sodass es sich wohl nur bei ziemlich großen Firmen lohnt?
Und wie soll diesen Belauschen nun realistisch funktionieren? An welcher Schnittstelle kommt da denn nun ein Hacker an den Datenstrom ran und wie identifiziert er denn Teil der einer bestimmten Firma gehört?
michaelw
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 400
Registriert: So 24 Okt, 2004 04:48

Beitragvon lordpeng » Mi 12 Dez, 2007 12:34

>Und wie soll diesen Belauschen nun realistisch funktionieren?
ganz einfach ... den mailserver des opfers rooten, dort ein paar entsprechende backdoors platzieren - fertig - wenn das backdoor auf dem server nicht wirklich so platziert wird, dass der sysadmin drüberstolpert (oder der server sich komisch verhält weil er vielleicht auch von anderen leuten kompromittiert wird) fällt sowas in der regel nicht wirklich leicht auf

kompromittierte server sind mir schon oft genug untergekommen und ob $bösewicht jetzt auf dem teil irgendwelche bots installiert oder einen packetsniffer, der passwörter oder kreditkartennummern abfängt macht für $bösewicht im grunde keinen wirklichen unterschied ...

d.h. solang du nicht ausschliessen kannst, ob dein gegenüber einen kompromittierten server hat oder nicht, ist email unsicher ...

... und da du ja im grunde nicht nur mit einer person per email kommunizierst, gilt das natürlich für alle leute
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon timurinamanu » Mi 12 Dez, 2007 15:04

<Ja aber so ein belauschen des Datenverkehrs stell ich mir eben technisch recht aufwenig vor

naja also wenn ich beim wlan von unserer schule mitlogge :twisted: :twisted: :twisted:
bekomm ich schon einiges an Daten

Aufwendig ist es nicht, es ist ganz einfach.
Vor allem wenn der/die Belauschte ein email programm wie outlook verwendet
, da muss man die pakete nur per pop Sortieren :twisted: und man hat schon alle Daten


Mitlerweile hat man aber beim WLan die Treiber schon so umgeschrieben dass man nur seinen Traffic loggen kann ....
Also wenn jemand weiss wie ich meinen Intel 3945 abg Treiber manipulieren kann (ohne Linux aufzusetzen) bitte antworten

mfg
Bild
von meiner alten schule ^^
timurinamanu
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 283
Registriert: Do 01 Nov, 2007 06:42
Wohnort: Erde

Re: Wie sicher ist E-Mail ?

Beitragvon al » Mi 12 Dez, 2007 17:39

michaelw hat geschrieben:Wie sieht das nun in der Praxis aus wenn jemand die E-Mails einer Firma ausspionieren will? Wie kommt der da eingentlich nun angeblich so einfach ran?

Naja, Email-Verkehr passiert (wenn Du es nicht anders machst) unverschlüsselt, das heißt, auf dem ganzen Weg von dem Rechner, von dem sie weggeschickt wird, bis zu dem Rechner, bei dem sie gelesen wird, ist sie mitlauschbar. Am beliebtesten: WLAN Strecken, da ist das Mitlauschen am einfachsten.

Aber noch viel bequemer ist es, Dein Passwort rauszufinden (was ja, wenn Du Deine Mails zB über einen WLAN-Zugang unverschlüsselt machst, auch wieder ganz bequem geht). Dann brauche ich nur mehr schneller als Du zu sein und kann alle Deine Mails lesen...

Was tut man dagegen? Emails verschlüsseln. Das passiert End-to-End, damit ist also der ganze Weg geschützt. Wahlweise mit PGP/GnuPG oder mit X.509 Zertifikaten (in jedem besseren Mailer eingebaut).

Falls Interesse besteht, können wir gern mal einen Zertifikat-Signier-Event machen, sowohl für PGP/GPG wie auch für CAcert wie auch für Thawte Free Email Zertifikate.

/al
Wer entbündelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon ANOther » Mi 12 Dez, 2007 18:50

WLAN-Zugang

internetcafe, verseuchten rechner (eigenen oder fremden), ...

oder einfach kr@zz sichere passwürter, wie neulich der huber, dessen passwort sepp war...
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35


Zurück zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: DotNetDotCom [Crawler], Google [Bot] und 27 Gäste