[Eisfair] E-64 Fetchmail hostname mismatch

Marcus Röckrath marcus.roeckrath at gmx.de
So Okt 11 18:51:10 CEST 2020 

Hallo Kay,

Kay Martinen wrote:

>> Wenn jemand den DNS-Eintrag für netbeat manipuliert, um die Zugriffe auf
>> einen anderen Server umzuleiten, hat man den Salat.
> 
> Du meinst den für meine domain? Oder wirklich den vom hoster?

Wenn jemand es darauf abzielt durch einen manipulierten DNS-Eintrag den
Verkehr für die Domains bei deinem Hoster auf einen anderen Server
umzubiegen - hat es alles schon gegeben.

Auf dich persönlich hat es da erstmal niemand abgesehen - du und ich sind
als direkte Opfer viel zu uninteressant.

Pflegt dein Hoster für jeden Kunden einen eigenen DNS-Eintrag, so dass ein
Angreifer ganz gezielt alle Einträge manipulieren müsste?

eis64 # nslookup pop.netbeat.de
Server:         192.168.1.1
Address:        192.168.1.1#53

Non-authoritative answer:
pop.netbeat.de  canonical name = mx-mail3.netbeat.de.
Name:   mx-mail3.netbeat.de
Address: 83.243.58.181

eis64 # nslookup pop.martinen.de
Server:         192.168.1.1
Address:        192.168.1.1#53

Non-authoritative answer:
pop.martinen.de canonical name = mx-mail4.netbeat.de.
Name:   mx-mail4.netbeat.de
Address: 83.243.58.182

Bist du immer mx-mail4.netbeat.de? Dann kannst du auch diesen als Mailserver
statt pop.martinen.de nutzen und das Zertifikat passt.

>> Daher ist es sinnvoll, dass solche Zertifikatsmismatche auch erkannt und
>> "honoriert" werden.
> 
> Hmm ja schon. Bezüglich manipulation wäre das eine im dns. Und das liegt
> auf zwei servern beim hoster, und dort sicherlich in einem zonenfile das
> nur für martinen.de oder etliche vermutl. mit $ORIGIN abgetrennte
> domains gültig ist. Denn es erschiene mir logisch das man als hoster die
> eigenen domains (netbeat) in einer separaten datei hält. So kann die
> eine automatisch bearbeitet werden, die andere muß es nicht und kann
> besser geschützt werden. Sollte man nicht annehmen das jemand der so
> weit kommt auch die Zertifikate anpassen kann?

Es gab schon Umleitungen von Domains auf andere Domains. Es gab auch schon
Leute, die es durch fehlerhafte Zertifizierungsstellen geschafft haben,
sich ein Zertifikat ausstellen zu lassen, obwohl sie nicht im Besitz der
Domain waren.

Dann hilft garnichts mehr, weil der falsche Server sich mit einem
vertrauenswürdigen Zertifkat ausweisen kann.

Und wenn jemand irgendwelche DNS-Server manipuliert, kann da dein Provider
erstmal garnichts machen, denn die DNS-Server haben mit deinem Provider
physisch nichts zu tun.

Nach einer DNS-Manipulation ist der auch abgehängt und seine Kunen landen
irgendwoanders.

Du wirst per Google bestimmt Beschreibungen für Angriffe dieser Art finden.

> Fetchmail läuft nun ohne ssl klimbim.

Also läßt netbeat noch unverschlüsselte Verbindungen zu, was mich ansonsten
verwundert hätte, wenn er Billigpakete ohne Zertifikat anpreist.

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair