Die häufigsten E-Mail-Sicherheitslücken - aus der Praxis unserer Pentester
von Svenja Koch
Wo würden wir bei Ihnen das Haupt-Einfallstor für Angreifer finden?
Die E-Mail ist zum wichtigsten Kommunikationsmittel in Unternehmen geworden, um mit Kunden, Lieferanten oder freien Mitarbeitern zu interagieren und mitunter vertrauliche Informationen auszutauschen.
Es überrascht daher nicht, dass die E-Mail nach wie vor eines der Haupteinfallstore für Cyber-Angriffe auf Unternehmen darstellt. Gefälschte Absender-Identitäten erhöhen die Chancen, dass Anhänge mit Schadsoftware geöffnet werden oder CEO-Frauds zum Erfolg führen. Ransomware-Angriffe sind im Jahr 2020 sogar um bedrohliche 85 Prozent gestiegen.
Sie setzen selbstsignierte Zertifikate ein? Ihre SMTP-User können validiert werden? Dies sind nur zwei der am häufigsten aufgedeckten E-Mail Sicherheitslücken, die unsere IT-Sicherheitsexperten in bisher durchgeführten Pentests aufgedeckt haben.
Wo würden wir bei Ihnen eine E-Mail-Sicherheitslücke finden? Lesen Sie selbst, wo bei Ihnen jetzt dringender Handlungsbedarf vorliegt!
Platz 9
E-Mail Fail Compilation
Diese E-Mail Sicherheitslücke entsteht im Falle von nicht konfigurierten Domain Keys Identified Mails (DKIM). DKIM ist eine Methode zur E-Mail-Authentifizierung, um Absender zu überprüfen und das Fälschen von Absendern zu erschweren.
Beim Versand einer E-Mail wird die DKIM-Signatur dem Header hinzugefügt, die vom Empfänger mit dem öffentlichen Schlüssel aus der DNS-Zone verglichen wird. Durch diese Kontrolle wird die Authentizität Ihrer E-Mails geprüft und garantiert die Integrität Ihrer Nachrichten. Ursprünglich sollte das Verfahren Domain Keys Identified Mail nur die Spam-Flut eindämmen, doch da es gefälschte Absenderadressen entdeckt, verbessert es auch deutlich Ihren Schutz vor Phishing-Angriffen!
Welche Gefahren entstehen, wenn Sie DKIM nicht konfiguriert haben? Durch die fehlende Konfiguration wird das Fälschen von E-Mail-Absendern bzw. das Verfälschen von Inhalten der E-Mail möglich.
Was ist zu tun?
► Konfigurieren Sie DKIM auf ihrem Mailgateway und Ihrem DNS-Server!
► Aktivieren Sie auch DMARC (Domain-based Message Authentication, Reporting and Conformance), Sie können als Absender bestimmen, wie mit der identifizierten E-Mail verfahren werden soll, wenn diese entweder von einem unberechtigten Versender stammt oder der Inhalt verfälscht wurde.
Platz 8
Es ist keine E-Mail-Verschlüsselung aktiviert oder konfiguriert.
Bei den eingesetzten Verfahren der E-Mail Verschlüsselung wird im Wesentlichen zwischen folgenden Ansätzen unterschieden:
- TLS-Verschlüsselung: Hier wird der Transport zwischen den Mailservern verschlüsselt.
- S/MIME- oder OpenPGP-Verschlüsselung: Hier wird die E-Mail von Client zu Client verschlüsselt (end to end).
Welche Gefahren entstehen, wenn Sie keine E-Mail Verschlüsselung einsetzen? Im Falle einer Nicht-Verschlüsselung werden Ihre E-Mails quasi im Klartext versendet. Die Gefahr ist groß, dass diese auf diesem Weg durch einen Man-in-the-Middle-Angriff mitgelesen oder manipuliert werden können. Seit der Verabschiedung der EU-Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 gehen Unternehmen hohe Risiken ein, wenn sie den E-Mail-Schutz vernachlässigen.
Was ist zu tun?
► Implementieren Sie TLS als Mindeststandard für Ihre sichere E-Mail Kommunikation.
► Wir empfehlen darüber hinaus eine Ende-zu-Ende Verschlüsselung via S/MIME oder PGP, da die E-Mail Nachricht damit auf Ihrem Weg vom Absender bis zum Empfänger geschützt ist.
Platz 7
Es werden selbstsignierte Zertifikate eingesetzt.
E-Mail Zertifikate werden zur TLS-Verschlüsselung für den Webzugang, bspw. OWA (Outlook Web Access), genutzt und können auch zur TLS- oder S/MIME-Verschlüsselung eingesetzt werden. Viele Unternehmen sind vor allem wegen des Preisunterschieds versucht, selbstsignierte SSL-Zertifikate anstelle der von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten und überprüften Zertifikate zu verwenden. Diese sind im Gegensatz zu den selbstsignierten Zertifikate nicht kostenlos.
Welches Risiko besteht bei der Verwendung von selbstsignierten Zertifikaten auf öffentlichen Sites?
Obwohl selbstsignierte SSL-Zertifikate auch Log-in- und andere persönliche Anmeldeinformationen verschlüsseln, veranlassen sie die meisten Webserver, eine Sicherheitswarnung anzuzeigen, da das Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle verifiziert wurde.
Welche Gefahren entstehen hierdurch? Der empfangende Mailserver vertraut dem Zertifikat nicht, hierdurch wird die TLS-Verschlüsselung nicht genutzt oder ist nicht vertrauenswürdig. Die Anwender bekommen eine Zertifikatswarnung beim Öffnen der Webseite des Mailsystems (OWA). Oft raten die Warnungen den Besuchern aus Sicherheitsgründen zum Abbrechen des Browsens der Seite. Die mit selbst signierten SSL-Zertifikaten verbundenen Sicherheitswarnungen vertreiben potentielle Kunden aus Angst, dass die Website ihre Anmeldeinformationen nicht sichert. Sowohl Markenruf als auch Vertrauen der Kunden werden beschädigt.
Last but not least: Ein Angreifer könnte den Webzugang unter einer anderen Seite hosten, die Anwender würden die gleiche Zertifikatswarnung erhalten.
Was ist zu tun?
► Benutzen Sie generell Zertifikate von externen Zertifizierungsstellen, damit die Identität Ihres Mailsystems von den Anwendern und Servern validiert werden kann.
Platz 6
Das automatische Nachladen von externen Inhalten beim E-Mail-Empfänger ist aktiviert.
Hierdurch können externe Inhalte, wie Bilder oder Fotos, aus dem Internet nachgeladen werden, d.h. es ist eine Kommunikation zwischen E-Mail Client und dem Internet durch eine empfangene E-Mail möglich.
Welche Gefahren entstehen hierdurch? Durch den integrierten Code innerhalb einer HTML-Mail kann beispielsweise ein Schadcode aus dem Internet nachgeladen werden. Im Rahmen der E-Fail-Attacke 2018 konnten mit S/MIME und PGP verschlüsselte E-Mails bereits automatisiert im Klartext an einen Angreifer gesendet werden. Das Nachladen von externen Inhalten war hierbei ein zentraler Bestandteil des Angriffes. Die Funktion des automatischen Nachladens von externen Bildern wird außerdem auch unerlaubt von Angreifern oder Firmen zum Tracking genutzt.
Was ist zu tun?
► Um zu verhindern, dass Sie sich über eine empfangene E-Mail Viren oder andere Malware „hochladen“, deaktivieren Sie das automatische Nachladen von externen Inhalten an allen E-Mail-Clients.
Platz 5
Zulassen vom anonymen Relay auf Exchange-Servern.
Manche Anwendungen oder Geräte benötigen ein anonymes Relay, um E-Mails verschicken zu können. Hierbei muss allerdings zwischen internem und externem Relay unterschieden werden. Das interne Relay, also das anonyme Senden von E-Mails an die von Exchange akzeptierten Domains, ermöglicht den E-Mail Versand von internen Mitarbeitern an interne Mitarbeiter, das externe Relay auch an externe Empfänger.
Welche Gefahren entstehen hierdurch? Ein Angreifer kann Mitarbeitern, z.B. im Namen eines Vorgesetzten, E-Mails von Extern senden. Des Weiteren ist natürlich auch diese Option möglich: Ein Angreifer kann einem anderen Unternehmen E-Mails im Namen eines Mitarbeiters senden.
► Insbesondere das externe Relay, also das Verschicken von Mails an externe Benutzer, ist mit Vorsicht zu betrachten, denn bei falscher Konfiguration kann Ihr Mailserver hier schnell als SPAM-Verteiler missbraucht werden. Es gilt daher, die Connectoren entsprechend einzuschränken und nur bestimmte IPs zuzulassen, nicht aber ganze Subnetze - oder im schlimmsten Fall: „Jeden“!
Was ist zu tun?
► Generell sollte eine Authentifizierung zum E-Mail-Versand aktiviert sein.
► Es sollten E-Mails von externen Mailservern mit der eigenen Domäne als Absender abgelehnt werden.
► E-Mails von extern sollten im Betreff automatisiert als solche gekennzeichnet werden „[EXTERN] Mein Betreff“.
Platz 4
SMTP-User können validiert werden.
Hierbei wird durch das Auswerten der Rückmeldungen vom Mailserver überprüft, welche Empfänger auf dem Server des Unternehmens vorhanden sind (E-Mail Adressvalidierung).
Welche Gefahren entstehen hierdurch? Im Falle einer E-Mail Adressvalidierung können E-Mail-Empfänger bzw. E-Mail-Adressen ausgelesen und überprüft werden. Als Folge dessen ist der Angreifer in der Lage, mit Hilfe dieser Informationen einen gezielten Phishing-Angriff durchführen.
Was ist zu tun?
► Das Validieren von Adressen sollte über Ihr E-Mail Gateway blockiert und gemeldet werden: Konfigurieren Sie ein Limit für das Abfragen einer einzelnen IP-Adresse auf dem E-Mail Gateway oder IDP-System (zum Beispiel wird nach 10 Anfragen die IP des Absenders blockiert).
Platz 3
E-Mail-Header Information Disclosure
Innerhalb des E-Mail-Headers werden Informationen zur internen E-Mail-Infrastruktur mitgesendet.
Welche Gefahren entstehen hierdurch? Ein Angreifer kann Informationen über die interne Mailinfrastruktur gewinnen.
Was ist zu tun?
Das E-Mail-Gateway sollte alle internen Informationen aus dem E-Mail-Header entfernen. Je nach System verläuft die entsprechende Konfiguration jeweils individuell.
Platz 2
Es ist kein bzw. ein fehlerhafter SPF-Record (Sender Policy Framework) konfiguriert.
Im SPF-Record werden die gültigen Mailserver für den Versand für eine bestimmte Domain festgelegt. Bei einer korrekten Konfiguration sind hier nur die Mailserver des Unternehmens eingetragen.
Welche Gefahren entstehen hierdurch? Externe Mailserver können E-Mails mit Ihrer Domäne als Absender versenden (Spoofing).
Heutzutage umfasst Spoofing sämtliche Methoden zur Umgehung von Authentifizierungs- und Identifikationsverfahren, die auf Basis vertrauenswürdiger Adressen oder Hostnamen in Netzwerkprotokollen arbeiten.
Was ist zu tun?
Schränken Sie die SPF-Record Konfiguration für Ihren Mailserver bzw. Ihre Netze ein – und vergessen Sie dabei Ihre Unternehmens-Newsletter nicht!
► SPF-Eintrag von wikipedia.de
- v=spf1 ip4:185.76.156.142 +all
► Korrekter SPF-Eintrag von secion.de:
- v=spf1 a mx ip4:213.61.251.32/27 ip4:212.12.53.96/28 include:spf.nl2go.com -all
Platz 1
Es bestehen fehlerhafte Berechtigungen auf Ihren E-Mail Postfächern (intern).
Die Freigaben z.B. für Funktionspostfächer oder ausgeschiedene Mitarbeiter sind fehlerhaft konfiguriert.
Welche Gefahren entstehen hierdurch?
► Es können Postfächer von anderen Mitarbeitern eingebunden und ausgelesen werden (Zugangsdaten bzw. Account Hijacking).
► In der Konsequenz ist es möglich, dass andere Mitarbeiter E-Mails über das freigegebene Postfach versenden können.
Was ist zu tun?
- Bei der Freigabe von Postfächern ist darauf zu achten, nur gezielte Berechtigungen für einzelne Personen freizugeben.
- Überprüfen Sie die Berechtigungen von ausgeschiedenen Mitarbeitern mit aktiven Postfächern und schränken Sie diese entsprechend ein.
Fazit:
E-Mails sind für Unternehmen immer noch das wichtigste Kommunikationsmittel. Gleichzeitig sind sie gerade aus diesem Grund ein bedeutendes Einfallstor für Malware in ein Firmennetzwerk. Ransomware, Phishing, virenverseuchte Attachments und auch Spam sind konkrete Bedrohungen für Ihre IT-Sicherheit. Unsere IT-Sicherheitsspezialisten beraten Sie gerne bezüglich der umfassenden Absicherung Ihrer E-Mail Kommunikation.