Port 25 offen - Mailversand unauthentifiziert möglich..?!

worker777 · ‎08.02.2022

Guten Tag Community

ich habe eine etwas delikate Frage - delikat deswegen, da ich nicht - aufgrund meiner Neugierde 😄 - in Schwierigkeiten geraten möchte, aber andererseits möchte ich nicht ein mögliches sicherheitsproblem ausser Acht lassen...

Ich habe - eben aus Neugierde - den Port der IPv4-Adresse meiner Freundin gescannt und festgestellt, dass der Port 25 offen war/ist. Ich dachte mir, das kann ja nicht sein und habe über telnet versucht (testweise!) eine E-Mail an meine E-Mailadresse zu verschicken. Zu meiner grossen Überraschung hat das geklappt!

Nun, bevor ich - eventuell umsonst, da vielleicht ein Denkfehler meinerseits(?) - Alarm bei meiner Freundin/ihrem Provider schlage, wollte ich es hier die Community verifizieren lassen, dass dies eigentlich nicht sein dürfte, dass man E-Mails einfach so über die IP-Adresse eines anderen verschicken kann/darf.

Hier ist der (bearbeitete) Mitschnitt meines Tests (xxx.xxx.xxx.xxx = ist die IP meiner Freundin; yyy.yyy.yyy.yyy ist die IP meines Anschlusses & eigenen E-Mail-Servers):

telnet xxx.xxx.xxx.xxx 25
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.
220 nwas.bluewin.ch vimdzmsp-nwas02.bluewin.ch Swisscom AG ESMTP server ready
EHLO yyy.yyy.yyy.yyy.dynamic.wline.res.cust.swisscom.ch
250-nwas.bluewin.ch hello [yyy.yyy.yyy.yyy], pleased to meet you
250-AUTH LOGIN PLAIN
250-SIZE 26214400
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250 OK
MAIL FROM: TestUser@yyy.yyy.yyy.yyy.dynamic.wline.res.cust.swisscom.ch
250 2.1.0 <TestUser@yyy.yyy.yyy.yyy.dynamic.wline.res.cust.swisscom.ch> sender ok
RCPT TO: <LokalerPart>@<MeinEmailProvider>
250 2.1.5 <<LokalerPart>@<MeinEmailProvider>> recipient ok
DATA
354 OK
Subject: Test

This is a test

.
250 2.0.0 HPiZnQxBxJLjaHPj9nHvZu mail accepted for delivery
QUIT
221 2.0.0 nwas.bluewin.ch vimdzmsp-nwas02.bluewin.ch Swisscom AG closing connection
Connection closed by foreign host.

Ich weiss nicht, was "nwas.bluewin.ch", obzw. "vimdzmsp-nwas02.bluewin.ch" ist, aber meinem Verständnis nach, dürfte ein unauthentifizierter E-Mail - Versand nicht möglich sein, oder?!
Oder ist es möglich, da unsere bedien IPs aus der Schweiz kommen??

Danke für's Lesen bzw. Aufklären 🙂

LG

worker

hed · ‎08.02.2022

Von wo aus hast du welche IP-Adresse der Freundin gescannt? Die WAN-IP-Adresse des Routers deiner Freundin von deinem LAN-Anschluss an einem anderen Standort?

P.S.:

Die eigentliche IP-Adresse selbst interessiert mich nicht, nur welchen Port du gescant hast.

worker777 · ‎08.02.2022

Hallo hed

Ja, genau.

Meine Freundin hat ja ihren Internetanschluss (weiss ihren Provider jetzt nicht) und diese WAN-IP habe ich über meinen Anschluss (WAN-IP der Swisscom) gescannt.

PS: Ich habe einen normalen "fast-scan" durchgeführt, also: nmap -F -PN xxx.xxx.xxx.xxx

Und da kam der Port 25 dabei heraus (als "offen").

PPS: Habe jetzt ein WHOIS auf die WAN-IP meiner Freunding gemacht und es kam heraus: "LEUNET-NET"

PowerMac · ‎08.02.2022

Ja das Verhalten ist bestens bekannt. Wenn man von einem Swisscom-Privatkundenanschluss aus eine beliebige Verbindung per TCP auf Port 25 einer IPv4-IP-Adresse öffnet, wird man mit einem Proxy der Swisscom verbunden. Dh. der Scan auf Port 25 wird nicht auf die vermeintlich getestete IP-Adresse weitergeleitet, sondern vorher abgefangen. Irritiert im ersten Moment, ist aber so.

Siehe auch diesen Thread oder die etwas ausführlichere Erklärung von Tux0ne.

have you tried turning it off and on again?

DomiP · ‎08.02.2022

@PowerMac vielleicht verstehe ich das jetzt falsch, aber wurde dann bei @worker777 s Freundin etwas effektiv bzw. bewusst geöffnet?

Bei mir habe ich lediglich diese Ports:

Chi ha prescha perda seis temp. Resta pachific!
Gruess, Cordial salids, Cordialement, Cordiali Saluti, Cheers!
Dominik

worker777 · ‎08.02.2022

Hallo PowerMac

Habe mir Deine Links angeschaut, danke.

...wird man mit einem Proxy der Swisscom verbunden. Dh. der Scan auf Port 25 wird nicht auf die vermeintlich getestete IP-Adresse weitergeleitet, sondern vorher abgefangen.

Ja gut, aber es (auch der Inhalt der Links von Dir) erklärt nicht, wieso hier ein unauthentifizierter E-Mail-Versand möglich ist, oder hab ich was falsch verstanden?

PS:

Auf der Webseite 'ausführliche Erklärung von TuxOne ' heisst es:

Ich verwende als Postausgangsserver den Mail Submission Agent meines Providers. Einem Mail Submission Agent ist die Absender Domain egal. Für den Provider der Absender Domain ist dies auch in Ordnung. Im Falle eines Spam Versandes, ist der andere Provider zuständig, da die Mail aus seinem System gekommen ist. (Zurückverfolgbarkeit, bzw der Server des Versenders wird geblockt. Es liegt also in seinem Interesse den Störenfried zu finden und zu unterbinden) "Der Internet Service Provider ist für das senden der Mail verantwortlich"

...hmmm "...Im Falle eines Spam Versandes, ist der andere Provider zuständig...Es liegt also in seinem Interesse den Störenfried zu finden und zu unterbinden." - also ist der Zielserver dafür verantwortlich, ob er die Quelle als Spam-Quelle einstuft, oder nicht?

Falls ja, dann öffnet hier doch die Swisscom erst recht Tür & Tor für Spams?! *KopfKratz*

PowerMac · ‎08.02.2022

@worker777 schrieb:

Hallo PowerMac

Habe mir Deine Links angeschaut, danke.

...wird man mit einem Proxy der Swisscom verbunden. Dh. der Scan auf Port 25 wird nicht auf die vermeintlich getestete IP-Adresse weitergeleitet, sondern vorher abgefangen.

Ja gut, aber es (auch der Inhalt der Links von Dir) erklärt nicht, wieso hier ein unauthentifizierter E-Mail-Versand möglich ist, oder hab ich was falsch verstanden?

Ja, Swisscom hat da einen sogenannten Open Proxy dazwischengeschaltet, der (wie auf Port 25 üblich) keine Authentifizierung verlangt - erstens weil der die Credentials nicht kennt, und sie auch nicht kennen darf. Siehe unter der letzten Überschrift von Tux0nes Artikel, Aufzählungspunkt 3: "Der Mail Versand via Port 25 UND AUTHENTIFIZIERUNG ist nicht mehr möglich! Klar. Der Mail Proxy von Swisscom kann und darf die Zugangsdaten des fremden Accounts nicht kennen! Er wäre ein Man in the middle. Auch wenn die beiden Themen keinen direkten Zusammenhang haben. Wie lautet die Lösung? Richtig, Mail Submission Port 587 :)"

PS:

Auf der Webseite 'ausführliche Erklärung von TuxOne ' heisst es:

Ich verwende als Postausgangsserver den Mail Submission Agent meines Providers. Einem Mail Submission Agent ist die Absender Domain egal. Für den Provider der Absender Domain ist dies auch in Ordnung. Im Falle eines Spam Versandes, ist der andere Provider zuständig, da die Mail aus seinem System gekommen ist. (Zurückverfolgbarkeit, bzw der Server des Versenders wird geblockt. Es liegt also in seinem Interesse den Störenfried zu finden und zu unterbinden) "Der Internet Service Provider ist für das senden der Mail verantwortlich"

...hmmm "...Im Falle eines Spam Versandes, ist der andere Provider zuständig...Es liegt also in seinem Interesse den Störenfried zu finden und zu unterbinden." - also ist der Zielserver dafür verantwortlich, ob er die Quelle als Spam-Quelle einstuft, oder nicht?

Falls ja, dann öffnet hier doch die Swisscom erst recht Tür & Tor für Spams?! *KopfKratz*

Ich hab mich schon lange nicht mehr im Detail mit dem Port-25-Verhalten von Swisscom-Privatanschlüssen auseinandergesetzt. Dokumentiert ist dieses "Feature" meines Wissens nicht wirklich. Aber ich bin mir recht sicher dass da schon Schutzmechanismen implementiert wurden, die einen Missbrauch verhindern oder zumindest in engen Grenzen halten können (Rate Limiting, Eingrenzung auf bestimmte weitverbreitete Domains etc.). Vielleicht hab ich heute Abend Zeit und Lust, dieses Verhalten wieder einmal genauer anzuschauen.

Fakt ist jedenfalls, dass du dir wegen des Scanergebnisses keinerlei Sorgen zu machen brauchst.

have you tried turning it off and on again?

PowerMac · ‎08.02.2022

@DomiP schrieb:

@PowerMac vielleicht verstehe ich das jetzt falsch, aber wurde dann bei @worker777 s Freundin etwas effektiv bzw. bewusst geöffnet?

Höchstwahrscheinlich wurde auf dem Router der Freundin nichts geöffnet, per Default ist Port 25 zu. Um es mit Sicherheit herauszufinden, müsste man einen Portscan von einem Nicht-Swisscom-Anschluss aus machen (so wie du das wohl gemacht hast um das Ergebnis auf deinem Screenshot zu erzielen). Denn sobald man von einem Swisscom-Anschluss aus scannt, wird Port 25 zum Proxy geleitet. Dadurch erscheint der Port als offen, auch wenn er es in Wirklichkeit gar nicht ist.

have you tried turning it off and on again?

worker777 · ‎08.02.2022

@PowerMac

Fakt ist jedenfalls, dass du dir wegen des Scanergebnisses keinerlei Sorgen zu machen brauchst.

Hm, ja Du scheinst recht zu haben.

Die Test-Mail, die auf meinem Mail-Server angekommen ist, beinhaltet

Received: from vimdzmsp-nwas02.bluewin.ch ([195.186.228.50])

und nicht die IP-Adresse meiner Freundin.

So betrachte ich das als erledigt und bedanke mich bei allen Beteiligten - insbes. bei Dir @PowerMac ! 😉
LG

worker

RaphaelG · ‎17.02.2022

Hallo @worker777

War einer der Tipps und Hilfestellungen für dich zur Lösung passend? Wenn ja, markiere diesen doch gerne als Lösung. So können auch andere User bestens davon profitieren. Zudem wird sich der Verfasser der Antwort bestimmt freuen, dir geholfen zu haben.

Liebe Grüsse,

Raphael

Liebe Grüsse
Raphael (Moderator)

Port 25 offen - Mailversand unauthentifiziert möglich..?!

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben