Marcel Waldvogel

Spamwelle zu Weihnachten?

Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die Antispam-Massnahmen der weitverbreitesten Mailserver können ausgehebelt werden. Sogar die Vortragsreise dazu ist schon geplant. Nur: Der weitverbreiteste Mailserver weiss davon nichts, seine User sind ungeschützt.

Im Sommer entdeckt ein Mitarbeiter der im deutschsprachigen Bereich verwurzelten SEC Consult eine Lücke bei der Übermittlung von Mails zwischen Mailservern. Da sie leicht unterschiedliche Kriterien anlegen, wo eine Nachricht endet, können Mails mit „gut gefälschten“ Absenderadressen verschickt werden. Solche, die von etlichen Mailinstallationen nicht erkannt werden.

Die Betreiber von mehreren Millionen Mailservern im Internet (mit vielleicht Hunderten Millionen Nutzern?) werden nicht informiert, auch nicht die Leute hinter der Software. Eine koordinierte Information der Betroffenen findet nicht statt.

So sollte man eine Sicherheitslücke nicht kommunizieren. Mehr dazu in meinem DNIP.ch-Artikel von heute Morgen.

Wenn sich alle Administratoren von Postfix-Mailsystemen heute noch ins Zeug legen, können sie ihre Nutzerinnen und Nutzer noch vor unerkanntem Spam oder Phishing über die Feiertage schützen. Wietse Venema, der Kopf hinter dem beliebtesten Mailserver, Postfix, hat das Problem und Workarounds kurz und knapp zusammengefasst.

Eine Überblick über 12 von SMTP Smuggling betroffenen Mailsysteme und ihren Status findet sich hier.

Aktuelles zu IT-Sicherheit

  • Festplatte hinter Gittern mit Lasern geschützt
    Ransomware-sicheres Backup
    Cyberangriffe können verheerend sein. Doch ein letztes Sicherheitsnetz ist nicht so schwierig zu bauen. Hier die Hintergründe, was es beim Aufbau eines Ransomware-resilienten Backupprozesses zu beachten gilt.
  • Löst die e-ID die Probleme von Jugendschutz und Privatsphäre?
    Heute gehen wir der Frage nach, ob eine e-ID unsere gesellschaftlichen Probleme im Internet lösen kann. Und wie wir zu einer besseren Lösung kommen.
  • Ein Wählscheibentelefon und ein Handy auf einem Tisch
    📻 E-ID: Kollidiert Altersverifikation mit dem Recht auf Anonymität?
    Die e-ID ist aktuell auch im rund um Altersverifikation in Diskussion. In einem Interview mit Radio SRF versuchte ich, einige Punkte zu klären.
  • Eine ID-Karte, auf der steht: "Wollen Sie Folgendes an Wikipedia senden: Name, Wohnort, Geburtsdatum, Alter ≥18 Jahre?" Angekreuzt ist nur der Altersnachweis, bei den anderen steht "nicht gesendet". Diese physische Nachahmung einer E-ID wird einem bernsteinfarbenen Computermonitor gezeigt, auf dem steht: "Sind Sie volljährig? Jan/Nein"
    Ja zur E-ID
    Ich setze mich bekanntermassen sehr für IT-Sicherheit und Privatsphäre ein. Und genau deshalb finde ich die E-ID in ihrer jetzt geplanten Form eine ganz wichtige Zutat. Hier meine Gründe für ein Ja am 28. September. Zusammen mit Hintergründen, die Einblick in die E-ID und ihre Geschichte und Funktionsweise geben. Ich bin für eine e-ID, weil wir… Ja zur E-ID weiterlesen
  • Screenshot ab journi.netfuture.ch: Deutschschweizer Medien und Journalist:innen Ein interaktives Fediverse-Starterpack In der folgenden Tabelle findest du eine Übersicht über die uns bekannten in der Deutschschweiz aktiven Medien und Journalist:innen. Wie folge ich Deutschschweizer Journalist:innen? Schritt 1: Journalist:innen auswählen
    CH-Journi-Starterpack fürs Fediverse
    Im gestrigen Artikel rund ums Fediverse – das offene, föderierte soziale Netzwerk – hatte ich euch ein Starterpack versprochen. Hier ist es und bringt euch deutschsprachige Journalistinnen, Journalisten und Medien aus der Schweiz und für die Schweiz.
  • Fünf bunte Kreise bunt voll vermascht
    Föderalismus auch bei sozialen Netzen
    Föderalismus liegt uns im Blut. Unsere gesamte Gesellschaft ist föderal aufgebaut. Aber – wieso lassen wir uns dann bei sogenannten «sozialen», also gesellschaftlichen, Netzen auf zentralistische Player mit absoluter Macht ein? In den digitalen gesellschaftlichen Welten sind Mark Zuckerberg (Facebook, Instagram, WhatsApp, Threads), Elon Musk (X, ehemals Twitter) oder Zhang Yiming (TikTok) die absolutistischen Herrscher,… Föderalismus auch bei sozialen Netzen weiterlesen
  • Ein Teleskop und eine schreibende Hand auf blauem Hintergrund
    Unterschreiben gegen mehr Überwachung
    Der Bundesrat will auf dem Verordnungsweg den Überwachungsstaat massiv ausbauen und die Schweizer IT-Wirtschaft im Vergleich zu ausländischen Anbieter schlechter stellen. Deine Unterschrift unter der Petition hilft!
  • Sichere VoIP-Telefone: Nein, danke‽
    Zumindest war dies das erste, was ich dachte, als ich hörte, dass der weltgrösste Hersteller von Schreibtischtelefonen mit Internetanbindung, Yealink, es jedem Telefon ermöglicht, sich als beliebiges anderes Yealink-Telefon auszugeben. Und somit als dieses Telefonate zu führen, Kontaktlisten anzuschauen und so weiter.
  • 5 Würfel in einer Reihe
    Diceware: Sicher & deutsch
    Diceware ist, laut Wikipedia, «eine einfache Methode, sichere und leicht erinnerbare Passwörter und Passphrasen mithilfe eines Würfels zu erzeugen». Auf der Suche nach einem deutschsprachigen Diceware-Generator habe ich keinen gefunden, der nur im Browser läuft, also das Passwort nicht von einem Server lädt. Da man Passwörter mit niemandem teilen sollte, war das für mich keine… Diceware: Sicher & deutsch weiterlesen
  • Nextcloud-Logo, von welchem ein Pfeil nach rechts zu einem Stoppsignal zeigt
    Nextcloud: Automatischer Upload auf Android verstehen
    Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
  • Wunderlampe basierend auf Amr Mounir, CC BY-SA-2.0
    VÜPF: Staatliche Über­wachungs­fantasien im Realitätscheck
    Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters mit Aussagen, die nicht unwidersprochen bleiben können.
  • Collage von Phishing-Loginseiten
    Phishing-Trend Schweizerdeutsch
    Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden kennenzulernen. Und danach – viel wichtiger – was wir tun können, um uns zu schützen.

Marcel Waldvogel (shorts)

, ,

Bleibe auf dem Laufenden!

Erhalte eine Mail bei jedem neuen Artikel von mir.

Ca. 1-2 Mails pro Monat, kein Spam.

Folge mir im Fediverse

Marcel Waldvogel
Marcel Waldvogel
@blog@marcel-waldvogel.ch

(Technik-)Welt verstehen

180 Beiträge
4 Folgende

Dossiers

Cloud+Sicherheit

Dossier Cloud, Sicherheit und Privatsphäre

Blockchain

Dossier Blockchain mit Kryptowährungen, Smart Contracts, NFTs

KI

Dossier Künstliche Intelligenz, Maschinelles Lernen, ChatGPT und Grafik-KI

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

To respond on your own website, enter the URL of your response which should contain a link to this post’s permalink URL. Your response will then appear (possibly after moderation) on this page. Want to update or remove your response? Update or delete your post and re-enter your post’s URL again. (Find out more about Webmentions.)

Webapps