E-Mail – nicht gehackt, “nur” geklaut
In letzter Zeit häufen sich mal wieder bei die Bounce Mails. Zu Lehrzwecken zum Thema “Rechnernetze und Internet-Technologien”, hier mal ein paar praktische Infos.
Disclaimer
Aufgrund von Bounce Mails mit dem Betreff “Mail delivery failed: returning message to sender” weiß ich, dass jemand meine Mail-Adresse benutzt. Der Inhalt der Mail sagt
A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: eine-mail-adresse@ebenfalls-unschuldiger-provider.com
Eine Mail, die mit meiner Adresse als “Absender” verschickt wurde, konnte also nicht zugestellt werden. Weiter unten kann ich sogar den Text lesen: angeblich würde ich den Direktor sprechen wollen, um ihm etwas über große Mengen Krypto-Währung mitzuteilen. Ich habe aber keine Mail an die oben genannte Adresse geschickt (und ich beschäftige mich auch gerade nicht mit Krypto-Geld). Das ist ein eindeutiges Zeichen dafür, dass jemand meine Mail-Adresse angibt und damit Schindluder treibt.
Spammer (Leute, die Spam verschicken) geben natürlich nie ihre eigene Adresse an: sie wollen ja auch keine Antwort (sondern nur dass die Empfänger einen verseuchten Link anklicken). Manchmal sind die Mail-Adressen, die sie verwenden, gewürfelt und existieren gar nicht. Manchmal sind es aber auch Adressen, die wirklich existieren. Das heißt nicht denknotwendig, dass diese Mail-Adresse gehackt wurde. Das ist bei mir gerade nicht der Fall (geprüft)!
Meine Mail-Adresse ist derzeit nicht gehackt worden (AFAIK).
Es handelt sich hierbei um Mail-Spoofing (Fälschung). Das ist eine kriminelle Tätigkeit, die Mitte der 2010ern Jahre (ca. 2015/6) plötzlich große Verbreitung fand. Als Anwender (Besitzer) einer Mail-Adresse kann man da m.W. wenig tun: die Kriminellen wählen sich beim Server ein und geben einfach eine fremde Mailadresse (meine) im Absenderfeld an.
Man kann das Problem nur “aussitzen” (was man mitkriegt, ist eh nur die Spitze des Eisbergs) und vllt. noch seinen Provider um SPF bitten.
SPF (Sender Policy Framework)
SPF prüft zwar, ob die IP-Adresse des Absenders autorisiert ist, was die Wahrscheinlichkeit senkt, dass damit Spam verschickt wird. Allerdings ist das keine 100%ige Garantie (hat mein Provider, falls wir’s nicht gerade wieder abgeschaltet haben) und bringt das auch andere Schwierigkeiten mit sich – manchmal landet dann mehr Mail im Spam als da hinein gehört, und meine Mails kommen nicht an (auch wenn sie wirklich von mir stammen).
Mail- und Post-Protokoll
E-Mail ist eine relativ alte Erfindung (frühe 1970er). Da war das Internet noch so jung, dass nur wenige Leute eine solche Adresse besaßen. Es funktionierte quasi ein bisschen wie ein Dorf: jede/r kennt jede/n und man hat wenig Sicherheitsbedenken (die kamen erst in den frühen 2000ern, also ein Drittel Jahrhundert später). Das Protokoll, das wir für E-Mail bis heute verwenden, ist daher quasi “vom Dorf”, also sehr offen.
Protokolle in der Netzwerktechnologie sind Kommunikationsregeln quasi wie das Wiener Hofprotokoll zu Sissis Zeiten: Man bittet um Einlass, die Wächter geben die Pforte frei, man betritt den Saal, knickst und verbeugt sich und wenn der Monarch es erlaubt, tritt man näher – nicht aber zu nahe. Dieses Protokoll ist offen einsehbar und jede Person, die am Hof zu tun hat, kennt es und hält es ein.
Im (normalerweise nicht automatisch von Mail-Programmen “Clients” angezeigten) Header einer E-Mail stehen die Felder
- From
- To
- (manchmal noch) Envelope to/from
- technische Daten wie Dateityp (z.B. plain text-Format oder mitgesandte Bilder, MIME), Codierungsart und Bit-Tiefe der Codierung (z.B: 8bit tiefe UTF8-Codierung)
- IP Adresse u. manchmal auch das Betriebssystem der/s Sendenden
Diese Header-Infos kann man anschauen (menschenlesbar), aber sie werden typischerweise von den Maschinen auf dem Weg nicht hinterfragt. Sie könnten im Feld “From” also auch “Aristoteles” oder “Tutanchamun” eintragen (und ihm eine gefakte gmail-Adresse zuweisen) und die Mail würde einfach durchgehen.
Das gleiche passiert übrigens auch bei der Sackpost:
Ein Student aus Jena schrieb mir in den frühen 2000ern einmal einen Brief (klassisch auf Papier) und trug auf dem Umschlag ein “Absender: Ernst Abbe” (mit der Adresse von Herrn Abbe zu Lebzeiten, aber man weiß ja, dass Herr Abbe bereits 1905 verstarb). Die Deutsche Post interessiert das nicht: sie braucht das Feld “Abs.” nur, falls der Brief nicht ausreichend frankiert ist. Daher kommt der Brief natürlich wohlbehalten und ohne Verzögerung bei mir in Potsdam an.
Was für uns als Studierende damals ein Schabernack war (ich erkannte die Handschrift und wusste, dass da nichts Schlimmes hinter steckt), zeigt aber eben die Sicherheitslücke: Man kann in diesem Feld im Grunde eintragen, was man will – auch erfundene, geklaute oder gefälschte Adressen.
ABER: Daten-Leaks
Freiberuflerin bin ich (meist in Nebenjobs während Anstellungen) seit 1998. Da man dienstliche Mailadressen nur für dienstliche (und weder für private noch eben andere dienstliche) Themen nutzt, habe ich auch seit ca. 2000 neben den dienstlichen auch eigene Mail-Adressen. Anfangs hatte ich eine gmx-Mailadresse, aber da es einfach zu viele “susanne hoffmann”s auf diesem Planeten gibt, hab ich das ganz schnell aufgegeben. Ich erhielt damals oft Post für eine Frau gleichen Namens in Japan.
Mit der Sackpost passierte übrigens auch hier ähnliches:
Das Nachbar-Ehepaar hatte zufällig den gleichen Nachnamen (“Hoffmann” ist halt eigentlich nicht wirklich ein Name, also ein Wort, das irgendwas bezeichnen könnte, so dass man dann weiß, was/wer gemeint ist – eher ein Sammelbegriff). Mein Nachbar hatte einen Vornamen, der auch mit “S” anfing und wenn jemand nur “S. Hoffmann” als Empfänger auf den Brief geschrieben hatte, hatte der/die arme Briefträger in Potsdam (modern ohne Potsdamer Postkutschkasten) ein Problem. Manchmal landete die Post im falschen Kasten.
Meine Gegenmaßnahmen:
Erstens führte ich ab 2002 auf meinen Publikationen das Mittel-Initial “M” ein (die erste Auflage von meinem ersten Buch hat das noch nicht), zweitens kreierte ich meine eigene Domain(s) im globalen Dorf namens Internet. Damals – das war die Zeit vor Facebook – haben zwar noch sehr viele Teenager eigene Webseiten gemacht (und Webdesign war meist plain-html, also nicht besonders hübsch), aber das hörte ca. drei Jahre später mit Facebook (und später Instagram, Tiktok, Discord und anderen Plattformen) auf. Ich habe meine beiden Domainnamen (einen für wissenschaftliche, den anderen für edukative/freiberufliche Zwecke) behalten – allerdings mehrfach umgezogen und den einen aus Sicherheitsgründen auch mal geändert.
In der Vergangenheit ist aber meine Freiberufler-Mailadresse mehrfach in Datenleaks aufgetaucht.
- Dropbox,
- LinkedIn (das ich so gut wie nie nutze und erst auf Druck einer besorgten Mutter im Kontext der Jugendarbeit 2012 überhaupt eingerichtet hatte)
- sowie der Domainnamen-Suchdienst “WhoIs”
haben 2012 (im Juni und Sept.) und 2x im März 2017 bestätigt, dass meine Daten von deren Servern geklaut wurden. In allen Fällen betraf das nur Mail-Adresse und ein Passwort, einmal auch die Telefonnummer (auf der ich jetzt seit Jahren fast ausschließlich Spam-Anrufe bekomme).
HPI Identity Leaks Checker
… ist ein Tool vom Hasso Plattner Institut, das man hin und wieder mal bemühen sollte, um die Integrität der eigenen Adresse und anderer Daten zu prüfen.
Fazit
Es kann also sein, dass jemand von mir elektronische Post zu bekommen glaubt, aber in Wirklichkeit bin nicht ich der Absender, sondern andere Personen (Kriminelle).
Dasselbe gilt auch für jede andere Person: Die “Absender”-Zeile in Mail-Headern oder Papier-Briefen ist einfach kein sicherer Hinweis auf den Absender.
Wenn Sie sicher sein möchten, dass eine Person bestimmte Inhalte wirklich mit Ihnen teilen wollte, sprechen Sie mit dieser Person (andere Medien – bzw. ggf. persönlich)! Telefon könnte natürlich auch gehackt/ umgeleitet sein (oder abgehört werden) und auch Video-Calls kann man sehr einfach und ganz ohne KI fälschen (wie die Fake-Anrufe von Vitali Klitschko in Wien, Berlin, Madrid 2022 zeigten; damals mutmaßte man erst “DeepFakes” von einer KI, aber es war doch viel einfacher: zusammengeschnittene Aufzeichnungen und Kontaktaufnahmen mit gefälschten Mail-Adressen; angeblich war es ein Komiker-Duo).
Eben weil jede Art von Technik auch gewisse Sicherheitslücken hat, vertrauen Geheimdienste seit Jahrhunderten auf sehr ausgeklügelte eigene Technologien und nicht die jeweils zeitgenössischen Massenmedien (empfehle den Besuch des Spionage-Museums in Berlin!).
Das heißt natürlich nicht, dass wir keine E-Mail mehr verwenden sollten – sehr wohl aber, dass wir selektieren sollten, welche Informationen wir so verteilen und dass wir bei Empfang seltsamer Inhalte vllt besser zusätzlich zu Mail auf alternativen Kommunikationswegen den Kontakt suchen & finden sollten.
Wenn Historiker in Nachlässen verstorbener Personen Briefe lesen, dann findet man dort auch Informationen über das eigene Befinden, das der Familie, Nahestehender, Kollegen oder der Region (Pest u.a. Epidemien, Naturkatastrophen, Menschenkatastrophen wie Kriege und andere verwüstende Störungen etc.) – das sind alles keine “kritischen” oder “geheimen” Informationen, sondern sie erzählen, wie das Leben so spielt. Wenn es aber um Geheimdienst-Informationen geht (oder eben manches in der hohen Politik oder in der Militärforschung oder Firmengeheimnisse…) dann sollte man etwas genauer über das zu wählende Medium, dessen Sicherheitslücken und Streukreise nachdenken.
Appendix
Zu den technischen Fälschungen, von denen ich hier spreche, kommt hinzu, dass in perfiden Verleumdungen (siehe Randbemerkungen) in der Vergangenheit auch behauptet wurde, ich hätte irgendwelche Mail-Adresse gehackt. Das ist natürlich höherer Quatsch, weil a) die Verleumder typischerweise ihre Bedeutung deutlich überschätzen und b) mir dazu sowohl die kriminelle Energie als auch die Zeit fehlen: weder hacke noch klaue ich. Man sollte es als Rufmord lesen oder (mit mehr Mitleid) als Anerkennung dieser Person, die mir enorme (ihr eigenes Potential weit übertreffende) technische und intellektuelle Fähigkeiten zugesteht: Angst vor Überlegenen ist leider recht verbreitet.
Verleumdungskampagnen haben – wie auch die oben erwähnten Fake-Anrufe bei europäischen Bürgermeistern – nichts mit HighTech zu tun, sondern ganz einfach mit menschlichen Versagen des Verleumders (darum laut Strafgesetzbuch ahndbar).
Das ist ja schlimm!
Mein tipp: E-mails, deren Absender ich nicht kenne, die öffne ich grundsätzlich nicht.
Wenn sie wichtig sind, wird sich der Absender auch auf andere Weise wieder melden.
Ob jemand anderes mit meinem Namen etwas bestellt oder E-mails verschickt, das erfahre ich dann allerdings auch nicht.
Dieses Verhalten ist richtig und mache ich auch so (seit Jahrzehnten). Ich habe auch jetzt keine Spam Mail geöffnet oder beantwortet. Wie gesagt: solche Sachen passieren ganz ohne eigenes Verschulden und Zutun, dadurch, dass jemand die Adresse irgendwoher klaut – vllt. ist sie nur zufällig richtig geraten und vllt. ist sie aus irgendeiner Sammel-Mehl gefischt, die mir ungebeten geschickt wurde (gerade ältere Kolleg:innen sind oft nicht sehr sicherheitsbedacht)… oder eben von einem Mailserver geklaut, auf dem sie durchrauschte: das müssen Sie sich vorstellen wie eine Relais-Station in der Telegrafie oder die Reiter-Post von Thurn und Taxis: wenn der Bote von Berlin nach Coburg nicht in einem Stück reitet, sondern zwischendurch Station macht – oder Pferd und Reiter getaucht werden und die Nachricht anderem übergeben wird, dann kann halt auch mal jmd auf den Absender oder Empfängernamen schauen.
Ich habe eine andere Erfahrung gemacht:
Diese ( eine ähnliche ) obige Nachricht haben Bekannte von mir erhalten, die mir eine Email aus (Ost-)asien schicken wollten. Der Server eines namhaften deutschen Telekommunikationsanbieters hat die Anfrage des Email-Providers, über den meine Bekannten emailen, nicht angenommen, sondern zurückgewiesen.
Andere Bekannte aus derselben Region haben keine derartigen Erfahrungen.
Das Problem:
Meine Beschwerde beim namhaften deutschen Telekommunikationsanbieter wurde von diesem formaljuristisch zurückgewiesen, beschwerdeberechtigt seinen nur die Absender der Mail über deren Provider, nicht ich als potentieller Empfänger.
Bemerkenswert ist dass eine Ausweichadresse über einen anderen ( deutschen ) Webdienst funktioniert hat.
Sehr interessant, danke fürs Teilen! Dieses Problem hatte ich in Südost-Asien so noch nicht – aber so ähnlich.
Wenn ich eine Mail an jemanden wirklich geschrieben hatte und dann einen Mailer-Daemon erhielt, dass sie nicht durchkam, half dagegen, dass ich sie (auf anderen Kommunikationskanälen) bat, mich auf die Whitelist zu setzen. Ich weiß nicht, ob das an der jeweiligen IP-Adresse (die werden doch heute meist dynamisch vergeben) oder am chinesischen Proxy Servern lag. Es ließ sich kein Muster erkennen – aber die Whitelist funktionierte. Das Problem ist nur, dass das eben nur sehr selektiv geht – d.h. bei Leuten, mit denen man alle paar Tage Kontakt hat und sich wundert, wenn sie nicht relativ prompt antworten. Dass Mail nicht immer zuverlässig ist in diesen Ländern, ist ein anderes Thema.
Nur die Spitze des Eisbergs
Tatsächlich sind sie Mailheader für den Versand einer Mail völlig irrelevant und können vollständig gefälscht werden. Daher ist es auch möglich, dass du eine Mail erhältst, die vom Ernst Abbe nicht nur versendet, sondern die scheinbar sogar auch ausschließlich an Ernst Abbe gerichtet war.
Der typische Weg einer E-Mail ist Client Absender -> Mailserver (Mail Transfer Agent, MTA) des Absensers -> MTA-Empfänger -> Client Empfänger. Die relevanten Daten Absender/Empfänger werden dabei ausschließlich im sogenannten SMTP-Dialog (Simple Mail Transport Protocol) zwischen den beiden MTAs ausgetauscht – sie gehen in die Header nie ein.
Erst wenn ein Relay-Server ins Spiel kommt, wenn der Weg also nicht mehr MTA -> MTA, sondern MTA -> Relay -> MTA verläuft, ändert sich das. Der Relay weiss beim Weiterleiten u. U. schon nicht mehr, welche Informationen er gerade eben noch im SMTP-Dialog erhalten hat. Daher ist der Relay für die Weiterleitung auf die Header-Daten angewiesen. Dieser Weg ist heute aber sehr unüblich, Standard ist MTA zu MTA.
Wenn im Standard der MTA des Empfängers den Empfang der Mail ablehnt, teilt er dies dem Sender-MTA unmittelbar mit. Daraufhin erstellt der Sender-MTA einen Unzustellbarkeitsbericht – aber der geht an die Adresse aus dem SMTP-Dialog, nicht an die im Header genannte Absenderadresse. Der geht also nicht an dich, sondern an den tatsächlichen Absender.
Wenn du also einen solchen Unzustellbarkeitsbericht für eine angeblich von dir versendete Mail erhältst, kannst Du davon ausgehen, dass entweder ein Relay verwendet wurde, bzw. – passiert leider auch häufig genug – dass einer der Verantwortlichen in der Lieferkette seinen Server falsch konfiguriert hat.
Dass bedeutet aber, dass auf einen Unzustellbarkeitsbericht, den du erhältst, womöglich hunderte oder tausende von Mails kommen, die ebenfalls angeblich von dir geschickt wurden, die aber entweder zugestellt oder unmittelbar, d. h. an den tatsächlichen Absender, retourniert wurden.
Es ist aber noch ein anderes Szenario denkbar und in der freien Wildbahn gelegentlich schon gesichtet worden: Der Spammer setzt gezielt einen Server auf, der ausschließlich dazu dient, solche Unzustellbarkeitsbenachrichtigungen zu erzeugen. Auf diese Weise ist es möglich, dem Empfänger Informationen gezielt zukommen zu lassen, die scheinbar an jemand anderen gerichtet waren. Das ist besonders nützlich für Informationen, die beim direkten Versand viel zu plump wirken würden, um eine Reaktion auszulösen. Durch den -scheinbaren – Irrläufer ist der Empfänger jetzt aber ganz unversehens in den Besitz eines ‘Geheimnisses’, einer fremden privaten Kommunikation gelangt. Damit kommt dem Informationsgehalt auf einmal eine ganz andere Bedeutung zu! So wie die zwei Spione, die ganz klandestin flüsternd die dollsten Gehemnisse austauschen – wohlwissend, dass ihr Gespräch vom Agenten einer fremden Macht belauscht wird.
Schorsch,
bei den “Fachleuten” gibt es auch Spaßvögel, die E-mails unter dem Namen des Empfängers an den Empfänger verschicken.
Einen Punkt sollte ich vielleicht noch etwas deutlicher herausstellen: Wenn du einen Unzustellbarkeitsbericht für eine nicht von dir versendete Mail erhältst, ist eigentlich immer – also auch bei Nutung eines Relays – ein (möglicherweise vorsätzlich) mangelhaft konfigurierter Server im Spiel. Daher sind solche falschen Berichte heute extrem selten.
Selbst dort, wo aus Überwachungsgründen (durch eine staatliche Institution, aber auch durch z. B. einen zentralen Virenscanner) immer ein oder mehrere Relais zwischengeschaltet werden, ist es inzwischen sehr selten, dass Unzustellbarkeitsberichte an die im Header genannte Adresse gehen.
Eine zeitlang war es sogar “üblich”, dass die Mails als Absender Message-IDs aus den Newsgroups (hach ist das lange her) hatten, nur weil die ebenfalls ein “@” enthielten und die Bots oder werd auch immer das nicht von einer validen E-Mail Adresse unterscheiden konnten. Mich hat das damals eigentlich mehr amüsiert