Mailspoofing intern mogelijk

rewre schreef op maandag 15 februari 2016 @ 13:09:
Ik werk bij een bedrijf waar het mogelijk is om interne email te spoofen via een eigen authenticated smtp server. Diegene die de gespoofte email ontvangt kan aan niets zien dat het spoofing betreft.
De admins zullen pas na het bekijken van smtplogs kunnen zien dat het bericht verstuurd is door iemand met andere credentials.

Er wordt door de admins aangegeven dat dit altijd al mogelijk is geweest, er niks aan te doen is, gewoon mogelijk en zeker geen security issue.

Ik vindt dit zeker een security issue, of vat ik het te zwaar op

Spoof een mailtje naar degene die het geen issue vindt, alsof het komt vanuit een hoge baas, waarin staat dat hij op het matje moet komen vanwege de spoofmogelijkheid.

Meestal is er wel degelijk iets aan te doen.
Als het over een exchange gaat, kan je bijvoorbeeld authenticatie afdwingen, en dan heb je wel degelijk een rechten-model dat ervoor zorgt dat jij niet in bob zijn naam gaat sturen...

Het is zeker een gevaarlijk security issue! Stuur maar eens een mail uit jouw manager's naam naar iedereen dat hij morgen voor ontbijt zorgt ;-)
Dan gaan de dingen meestal wel aan het rollen :-)

rewre schreef op maandag 15 februari 2016 @ 13:09:
Ik werk bij een bedrijf waar het mogelijk is om interne email te spoofen via een eigen authenticated smtp server. Diegene die de gespoofte email ontvangt kan aan niets zien dat het spoofing betreft.
De admins zullen pas na het bekijken van smtplogs kunnen zien dat het bericht verstuurd is door iemand met andere credentials.

Er wordt door de admins aangegeven dat dit altijd al mogelijk is geweest, er niks aan te doen is, gewoon mogelijk en zeker geen security issue.

Ik vindt dit zeker een security issue, of vat ik het te zwaar op

Ik denk dat je het te zwaar op vat ja. Dit "issue" bestaat al zo lang als e-mail bestaat en is niet alleen bij jullie intern van toepassing, maar op alle e-mail wereldwijd. En ook op alle analoge post die we al honderden (duizenden?) jaren aan elkaar versturen trouwens.

Kortom het is een sociaal geaccepteerd "probleem". Vind het eigenlijk best bijzonder dat er nog steeds mensen verbaasd zijn dat dit kan.

De enige oplossing die hiervoor bestaat is PGP te gebruiken en al je uitgaande mail encrypten met je private key.

[ Voor 6% gewijzigd door mcDavid op 15-02-2016 13:18 ]

mcDavid schreef op maandag 15 februari 2016 @ 13:17:
...
De enige oplossing die hiervoor bestaat is PGP te gebruiken en al je uitgaande mail encrypten met je private key.

S/MIME zou op zich ook prima kunnen.


Op zich zou er trouwens wel wat anders aan te doen zijn, in dit geval

[ Voor 12% gewijzigd door begintmeta op 15-02-2016 14:05 ]

dit is een best kwalijke zaak mocht iemand van extern binnen dringen dan kan hij of zij een mail spoofen en zo zeer makkelijk social engineering toepassen om meer gegevens los te krijgen.

een zeer makelijke optie is om voor iedere gebruiker een mail certificaat aan te maken desnoods een gratis comodo certificaat maar dan alsnog een die er voor kan zorgen dat je de indentiteit van de verzender kan controlleren en veriferen
Een goed begin hiervan is om er zelf aan te beginnen en desnoods wat collega,s mee te krijgen zodat je weet dat jij er alles aan hebt gedaan?
Dit werkt trouwens ook erg goed op alle platformen gewoon als cert. importeren in en tablet/smartphone/outlook/mail client en je mailt automatisch met dit cert. aan je mail vast.

PGP is dan de volgende stap iets dat een security bedrijf eigenlijk standaard moet hebben maar geen idee of dat bij jullie handig is om te gebruiken gezien het gebruik op verschillende platformen windows/linux/mac/android/IOS etc... niet altijd even goed werkt.

maar zoals al eerder is aangegeven het klink slecht voor je ban maar je kent zelf het beste jou werk omgeving en jou werkgever als jij een mail stuurt als zijnde de manager die inderdaad iets ludieks doet als een ontbijt betalen ofzo dan kan je mensen wel in beweging zetten.

Sommge werkgevers vinden dat niet leuk maar een goede werkgever ziet hier de humor en security issues in en zal je desnoods nog belonen ook dit is bij ons op kantoor wel zo

[ Voor 14% gewijzigd door copywizard op 15-02-2016 14:30 ]

Als ik het e-mailadres van je baas weet, kan ik een e-mail sturen naar de financiële afdeling dat er met spoed € 100.000 naar mij overgemaakt moet worden.
Aangezien de financiële afdeling de baas als afzender ziet staan kan het maar zo gebeuren dat ik geld ontvang.

Qua e-mail zijn PGP en S/MIME eigenlijk het enige wat gedeeltelijk hiertegen helpt.

Een beter oplossing is gewoon geen e-mail gebruiken, ten alle tijden niet. Gebruik een betere oplossing!

[ Voor 17% gewijzigd door DJMaze op 15-02-2016 15:47 ]

E-Mail werkt nu helaas zo. Met digital signing van mail dmv van pgp/s-mime kun je dit soort problemen redelijk goed tackelen. Verder is het in een goed ingerichte exchange omgeving vrij lastig om een mailtje uit naam van iemand anders te sturen.

S/MIME werkt op zich wel maar dan moeten gebruikers wel getraind worden om te letten op de aanwezigheid van het icoontje dat aangeeft dat de mail ondertekend is. Veel succes daarmee Voordeel van S/MIME is wel weer dat het na de aanvraag en installatie kinderlijk eenvoudig te gebruiken is en breed wordt ondersteund.

rewre schreef op maandag 15 februari 2016 @ 14:07:
[...]


Dat begrijp ik. Volledig voorkomen doe je het niet.
Maar het feit dat het nu zo makkelijk is om het te doen stoort mij.
Men kan toch minstens een check inbouwen. Wanneer From: mailadres niet gelijk aan accountemailadres is foutmelding en weigering email te verzenden.

Dat zou je kunnen doen. Maar wat weerhoudt mensen er dan van om gewoon een andere mailserver te installeren die niet datsoort checks doet?

Een betere oplossing zou zijn de inkomende mail te filteren. Veel spamfilters doen dat al en vangen duidelijk gespoofde mail af (eenvoudig te checken: hoort dit ip-adres wel bij dit domein). Maar ja ook dat is niet waterdicht en je hebt er intern natuurlijk weinig aan.

Ik mag toch hopen dat je de Exchange omgeving voor @bedrijf.com dusdanig kan inrichten dat hij emails met een afzender van @bedrijf.com alleen vertrouwt als het ook via de exchange omgeving verzonden is en anders gewoon blokkeert? Volgens mij is er binnen een exchange omgeving weinig reden om interne mail vanaf een onbekende SMTP server te ontvangen?

Je zou een testje kunnen doen, een mailtje sturen via telnet. Waarschijnlijk hebben ze het gewoon open staan voor intern verkeer. Dit is een veel gemaakte fout, soms ook voor printers gedaan, zodat ze geen account hoeven in te geven op de printers. Ik ben er geen voorstander van.

Ja dat is het. De vraag is nu: Is dat jouw probleem? En ga je er dan wat aan doen? En zo ja wat dan...?

Je hebt dit besproken met de admins, maar is er binnen je bedrijf ook iemand die verantwoordelijk is voor de informatiebeveiliging? Zo ja: stel die op de hoogte. Zo nee: dan is dat wellicht eerder iets om je druk om te maken dan een lekke mailserver...

rewre schreef op dinsdag 16 februari 2016 @ 11:23:
[...]


En jawel, de interne open smtp accepteert ook email (telnet) zonder authenticatie. Kan precies dezelfde email weer spoofed verzenden. En, in de header staat vervolgens geeneens het IP adres van mijn computer.
Zie ik het nou verkeerd of is dit zo lek als een mandje

Het is by design zo lek als een mandje. Ik heb nog nooit iemand bij zijn volle verstand een mandje zien gebruiken om water in te vervoeren, en zolang je dat ook niet verwacht te kunnen doen, is er niets mis met het mandje op zich.

Het grootste probleem lijkt me eigenlijk dat jouw verwachtingen niet aansluiten bij het gereedschap (e-mail) dat je gebruikt. Als je daadwerkelijk veilig en integer wilt kunnen communiceren, is e-mail (althans, zonder PGP/s-mime toevoegingen) gewoon het verkeerde hulpmiddel.

mcDavid schreef op dinsdag 16 februari 2016 @ 11:52:
[...]


Het is by design zo lek als een mandje.

Email in algemene zin wel ja, maar dat weerhoudt je er nog niet van om het binnen een bedrijfsomgeving zo in te richten dat email verzonden namens een mailadres van dat bedrijf, alleen geaccepteerd wordt via een geauthenticeerd kanaal. Dat scheelt al een boel risico's zonder dat je compleet naar crypto oplossingen moet grijpen.

de s in smtp staat ook niet voor secure, maar voor "simple" mail transfer protocol


Als er niets secure aan is kan het ook geen security isue zijn.
Dit is niets anders dan een reguliere envelop waar jij achterop de afzender schrijft. en daar kun je alles schrijven wat je wil.

Ik heb mijn manager wel eens per ongeluk over de zeik gehad. ik stuurde een mailtej uit suriname met de webclient van xs4all, daar kon je direct de afzende in plakken. had ik zijn adres daar gepaste. heheeh heeft de it wel even lopen narren. ja sory niets aan te doen

[ Voor 32% gewijzigd door Fish op 16-02-2016 12:00 ]

rewre schreef op dinsdag 16 februari 2016 @ 11:23:
En jawel, de interne open smtp accepteert ook email (telnet) zonder authenticatie. Kan precies dezelfde email weer spoofed verzenden. En, in de header staat vervolgens geeneens het IP adres van mijn computer.
Zie ik het nou verkeerd of is dit zo lek als een mandje

Hmm, je eigen adres (of hooguit het adres van een laatste NAT-router voordat je bij de SMTP-server komt) zou wel gewoon in de headers moeten staan... En en unauthenticated SMTP-server hoort gewoon dicht te staan op IP-basis of zo.

Zo is de onze alleen te benaderen uit het printer- of server-VLAN (zonder SBC / RDS-servers).

copywizard schreef op maandag 15 februari 2016 @ 14:23:
als jij een mail stuurt als zijnde de manager die inderdaad iets ludieks doet als een ontbijt betalen ofzo dan kan je mensen wel in beweging zetten.

Sommge werkgevers vinden dat niet leuk maar een goede werkgever ziet hier de humor en security issues in en zal je desnoods nog belonen ook dit is bij ons op kantoor wel zo

Done that (met collega's)

Het gesprek aan de overkant en de vragende blikken waren beloning genoeg
Geen idee of ze ook echt pizza zijn gaan eten

Een misschien wel interessant stukje in dit kader.