{"id":2530,"date":"2018-05-15T14:37:25","date_gmt":"2018-05-15T14:37:25","guid":{"rendered":"https:\/\/www.neam.de\/?p=11562"},"modified":"2018-05-15T14:37:25","modified_gmt":"2018-05-15T14:37:25","slug":"efail-pruefung-der-senderreputation-bietet-weitgehende-sicherheit","status":"publish","type":"post","link":"https:\/\/www.kai-wittenburg.de\/?p=2530","title":{"rendered":"EFAIL: Pr\u00fcfung der Senderreputation bietet weitgehende Sicherheit"},"content":{"rendered":"

Die Net at Work GmbH aus Paderborn, Hersteller der modularen Secure-Mail-Gateway-L\u00f6sung NoSpamProxy<\/strong>, gab heute Entwarnung im Zusammenhang mit der aktuell breit diskutierten Sicherheitsl\u00fccke EFAIL. In OpenPGP und S\/MIME ist EFAIL bei der integrierten Nutzung von E-Mail-Verschl\u00fcsselung und Senderreputationsmanagement keine Bedrohung.<\/p>\n

Verschl\u00fcsselungstechnik OpenPGP und S\/MIME betroffen<\/strong><\/p>\n

Unter dem Begriff EFAIL wurde vor wenigen Tagen eine Sicherheitsl\u00fccke beschrieben, mit der unter bestimmten Umst\u00e4nden Bestandteile einer verschl\u00fcsselten E-Mail zug\u00e4nglich gemacht werden k\u00f6nnen. Dazu muss der Angreifer zun\u00e4chst in den Besitz der verschl\u00fcsselten E-Mail gelangen. Diese wird dann \u2013 vereinfacht gesagt \u2013 mit einem Schadcode modifiziert erneut an den Empf\u00e4nger gesendet oder weitergeleitet. Beim automatischen Nachladen von Bildern kann dann der Schadcode ausgef\u00fchrt werden, der den reinen Textinhalt der E-Mail ganz oder teilweise freigibt.\"\"<\/a><\/p>\n

Betroffen sind hiervon E-Mail-Clients mit entsprechenden S\/MIME- oder PGP-Plugins, die automatisch Inhalte nachladen und zudem nicht korrekt auf die Manipulation reagieren. Auch Gateway-basierte L\u00f6sungen k\u00f6nnen betroffen sein, wenn sie nicht intensiv die M\u00f6glichkeiten zur Bewertung der Senderreputation nutzen.<\/p>\n

\u201eOpenPGP und S\/MIME sind an sich gute und sichere Komponenten zur E-Mail-Verschl\u00fcsselung, die durch Secure-Mail-Gateways wie NoSpamProxy mittlerweile auch sehr benutzerfreundlich und wartungsarm genutzt werden k\u00f6nnen\u201c, sagt Stefan Cink, E-Mail-Sicherheitsexperte bei Net at Work. \u201eUmso wichtiger ist es, potentielle Gefahrenquellen gewissenhaft zu bewerten und zu schlie\u00dfen.\u201c<\/p>\n

Schadenswahrscheinlichkeit richtig einsch\u00e4tzen<\/strong><\/p>\n

Zun\u00e4chst einmal ist das Abgreifen der verschl\u00fcsselten Mails in Zeiten von Transportverschl\u00fcsselung wie TLS nicht einfach und erfordert ein hohes Ma\u00df an technischen M\u00f6glichkeiten, die typischen Hackern in der Regel nicht \u2013 sehr wohl aber Nachrichtendiensten \u2013 zur Verf\u00fcgung stehen. Aber selbst, wenn dies gelingt, sind die Angreifer noch nicht am Ziel. Sie m\u00fcssen die Mail erneut an den Empf\u00e4nger versenden. Moderne Secure-Mail-Gateways wie NoSpamProxy nutzen hier intensiv die M\u00f6glichkeiten von SPF, DKIM und DMARC um zweifelhafte Mails zur\u00fcckzuweisen.<\/p>\n

Dabei ist es wichtig, dass das Gateway alle drei Elemente richtig kombiniert. Nur mit der gemeinsamen Auswertung von SPF-, DKIM- und DMARC-Informationen kann zweifelsfrei sichergestellt werden, dass eine Mail von dem Server kommt, von dem sie vorgibt zu kommen. Dar\u00fcber hinaus kann die Manipulation der E-Mail anhand der DKIM Signatur entdeckt werden.<\/p>\n

Blog: NoSpamProxy Version 12.2 verf\u00fcgbar<\/strong><\/span><\/a><\/p>\n

Eine manipulierte Mail \u2013 auch verschl\u00fcsselt \u2013 wird als zweifelhaft erkannt werden und kann so zur\u00fcckgewiesen werden, bevor sie Schaden anrichten kann. \u00dcber das DMARC-Reporting werden zudem die betroffenen Parteien informiert. Wird f\u00fcr den Versand von E-Mails auch die DANE-Information einbezogen, kann sichergestellt werden, dass sich kein Angreifer zwischen Sender und Empf\u00e4nger einklinken kann, indem eine TLS-verschl\u00fcsselte Verbindung aufgebaut wird.<\/p>\n

Tipps zur individuellen Pr\u00fcfung und Ma\u00dfnahmen zur Vorsorge<\/strong><\/p>\n

\"Logo<\/a>Wer sich Sorgen macht, sollte folgende Punkte pr\u00fcfen: Ist die eingesetzte Secure-Mail-Infrastruktur aktuell und nutzt sie die Senderreputation intensiv zur Abwehr zweifelhafter Mails? Sind die eigenen SPF-, DKIM- und DMARC-Records richtig eingerichtet? Wer hier passen muss, kann als \u00dcbergangsl\u00f6sung auf Plain-Text- statt HTML-Mails umstellen, auch wenn dies die Nutzer erheblich einschr\u00e4nken und so f\u00fcr erhebliche Irritationen sorgen wird. Damit wird diese Angriffsm\u00f6glichkeit zwar nicht vollst\u00e4ndig verhindert, aber es wird f\u00fcr den Angreifer aufwendiger. Mittelfristig kommt man jedoch um eine moderne, integrierte L\u00f6sungen f\u00fcr Anti-Spam\/Anti-Malware und Verschl\u00fcsselung nicht herum.<\/p>\n

Entgegen der teilweise verbreiteten Panikmache, empfiehlt das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) in einer aktuellen Pressemeldung, dass OpenPGP und S\/MIME \u201enach Einsch\u00e4tzung des BSI allerdings weiterhin sicher eingesetzt werden k\u00f6nnen, wenn sie korrekt implementiert und sicher konfiguriert werden.\u201c Allerdings erwarten die Experten, dass die Standards f\u00fcr OpenPGP und S\/MIME angepasst werden m\u00fcssen. F\u00fcr letzteren ist mit dem S\/MIME 4.0-Standard eine L\u00f6sung bereits absehbar, die mit der sogenannten „Authenticated Encryption“ diese Angriffsform sicher abwehren kann.<\/p>\n

\u201eDas Beispiel EFAIL zeigt wieder einmal, dass die Zukunft der sicheren E-Mail-Kommunikation in zentral administrierten, integrierten Secure-Mail-L\u00f6sungen liegt. Nur mit der Kombination aller verf\u00fcgbaren Sicherheitsmechanismen \u2013 wie hier der Senderreputation aus dem Spam- und Malwareschutz mit der Verschl\u00fcsselung \u2013 lassen sich die immer perfideren Angriffsmuster sicher und effizient abwehren, ohne die Nutzer einzuschr\u00e4nken\u201c, zieht Cink als Lehre aus der aktuellen Diskussion.<\/p>\n

Gateway-L\u00f6sungen erneut einfacher und damit sicher in der Administration<\/strong><\/p>\n

Auch wenn NoSpamProxy heute schon einen guten Schutz gegen diese Verwundbarkeit bietet, nutzt Net at Work dennoch die Gelegenheit, den Schutz in diesem Kontext weiter zu verbessern und wird kurzfristig ein Update f\u00fcr NoSpamProxy ver\u00f6ffentlichen, wenn die Analyse und Entscheidung \u00fcber bestm\u00f6gliche Gegenma\u00dfnahmen abgeschlossen ist. Auch hier zeigen sich die Vorteile der Gateway-Technik: W\u00e4hrend bei clientbasierten L\u00f6sungen sichergestellt werden muss, dass der bereitgestellte Fix auf allen Clients mit ihren potentiell unterschiedlichsten Softwarest\u00e4nden richtig installiert und ausgef\u00fchrt wird, reicht bei zentral administrierten Secure-Mail-Gateways das Update an einer Stelle aus.<\/p>\n

Sie m\u00f6chten weitere Informationen \u00fcber die zahlreichen Vorteile von NoSpamProxy erhalten? Oder w\u00fcnschen Sie ein Beratungsgespr\u00e4ch? Als Partner der Firma Net at Work k\u00f6nnen wir Sie ganzheitlich beraten und betreuen. F\u00fcr die Kontaktaufnahme f\u00fcllen Sie bitte einfach folgendes Formular aus.<\/strong><\/p>\n

\n
\n <\/span><\/p>\n
<\/div>\n<\/p><\/div>\n

unverbindliche Beratung anfordern<\/h2>\n<\/p>\n

[contact-form-7]<\/p>\n<\/article>\n","protected":false},"excerpt":{"rendered":"

Die Net at Work GmbH aus Paderborn, Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy, gab heute Entwarnung im Zusammenhang mit der aktuell breit diskutierten Sicherheitslücke EFAIL. In OpenPGP und S\/MIME ist EFAIL bei der integrierten Nutzung von E-Mail-Verschlüsselung und Senderreputationsmanagement keine Bedrohung. Verschlüsselungstechnik OpenPGP und S\/MIME betroffen Unter dem Begriff EFAIL wurde vor wenigen Tagen eine Sicherheitslücke […]<\/p>\n","protected":false},"author":41,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[20,5,1493,6,3,7,1494,18,1306,1377,1489,4,1495,12,17,15,1496,16,14,8],"tags":[],"class_list":["post-2530","post","type-post","status-publish","format-standard","hentry","category-blog","category-bsi","category-efail","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-it-service","category-it-systeme","category-neam","category-neam-it-services-gmbh","category-nospamproxy","category-notfallmanagement","category-openpgp","category-penetrationstest","category-penetrationstests","category-risikomanagement","category-smime","category-unternehmen","category-veranstaltungen","category-zertifizierung-audit"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/2530","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2530"}],"version-history":[{"count":1,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/2530\/revisions"}],"predecessor-version":[{"id":2531,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/2530\/revisions\/2531"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2530"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2530"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2530"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}