AT&T Mailserver kann kein TLS

Posted on 26. März 2021 by marius

Hallo,

heute befassen wir uns mal wieder mit dem Thema Mailsicherheit. Heute:

AT&T Mailserver kann kein TLS, nicht mal SSLv3

Ich habe ja bereits einige Mailserver erlebt, die gar kein TLS können, oder nur bereits gebrochene Dialekte sprechen. Meistens sind das Server von Leuten, die nicht in der Telekommunikationsbranche sind. Aber TK Firmen waren da noch nie drunter. Daher hatte mich das hier doch stark verwundert:

2021-03-26 12:55:09 1lPLyv-0002Bo-89 == abuse@att.net R=dnslookup T=remote_smtp defer (-38) H=ff-ip4-mx-vip2.prodigy.net [144.160.159.22]: a TLS session is required, but the server did not offer TLS support

ATT.net aka. AT&T kennen Amis gut. In Comedysendungen wird AT&T immer als Gag eingebaut, weil die im Mobilfunksegment ungefähr so kompetent sind, wie die Deutsche-Pre-Corona-Bahn beim Einhalten Ihres eigenen Fahrplans 🙂 Jetzt könnte man der Liste an AT&T Verfehlungen auch noch Inkompetenz beim Betreiben von Mailserver hinzufügen.

Das mein Mailserver mit seiner Aussage oben richtig liegt, zeigt auch ein Test von CheckTLS.com:

seconds		test stage and result
[000.000]		Trying TLS on 144.160.159.22[144.160.159.22:25] (-1)
[000.070]		Server answered
[000.299]	<‑‑	220 flpd588.prodigy.net ESMTP Sendmail Inbound 8.15.2/8.15.2; Fri, 26 Mar 2021 06:27:18 -0700
[000.299]		We are allowed to connect
[000.299]	‑‑>	EHLO www12-do.checktls.com
[000.368]	<‑‑	250-flpd588.prodigy.net Hello www12-do.checktls.com [142.93.73.156], pleased to meet you 250 ENHANCEDSTATUSCODES
[000.369]		We can use this server
[000.369]		TLS is not an option on this server
[000.369]	‑‑>	MAIL FROM:<test@checktls.com>
[000.438]	<‑‑	553 5.3.0 flpd588 DNSBL:RBL 521< 142.93.73.156 >_is_blocked.For assistance forward this error to abuse_rbl@abuse-att.net
[000.439]		Cannot proof email address (reason: MAIL FROM rejected)
[000.439]		Note: This does not affect the CheckTLS Confidence Factor
[000.439]	‑‑>	QUIT
[000.508]	<‑‑	221 2.0.0 flpd588.prodigy.net closing connection

Jetzt ratet mal wieso ich AT&T eine Abusemail schicken mußte…. DOS Angriff aus deren Netzwerk. Zum Glück nur Amateure.

Nachtrag:

Wollt Ihr noch was zu Lachen haben?

2021-03-26 14:46:25 1lPLyv-0002Bo-89 ** abuse@att.net R=dnslookup T=remote_smtp H=ff-ip4-mx-vip1.prodigy.net [144.160.159.21]: SMTP error from remote mail server after MAIL FROM:<XXX@XXXX.XX>: 553 5.3.0 flph832 DNSBL:ATTRBL 521< XX.XX.XX.XX >_is_blocked.For assistance forward this error to abuse_rbl@abuse-att.net

Der Server ist seit mehr als 10 Jahren ohne eine einzige Spamemail am Netz, weil das ein interner Server ohne Kunden von uns ist. 11 Jahre Hackfrei. Der selbe Server konnte dann an die abuse-att.net was senden 😉

Die nutzen vermutlich die gleiche veraltete DNS-Blackliste wie Fefe. Der Vorbesitzer von dem IP Netz hatte da wohl irgendwann mal Spams vermailt. Ein Glück setzen wir so schlecht gewartete Blacklisten nicht ein.

BSI aktualisiert Mailserver auf TLS 1.2.. ABER

Datenschutz: Wie peinlich T-Online ist

Posted on 25. Februar 2020 by marius

Peinlicher, aber nicht ganz unerwarteter, Fauxpas von T-Online:

2020-02-25 04:55:03 1j69ZJ-0001iL-S3 H=rx.t-online.de [194.25.134.67]: a TLS session is required, but the server did not offer TLS support
2020-02-25 04:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-38) H=rx.t-online.de [194.25.134.67]: a TLS session is required, but the server did not offer TLS support
2020-02-25 05:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'rx.t-online.de'
2020-02-25 06:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'rx.t-online.de'
2020-02-25 07:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'rx.t-online.de'
2020-02-25 08:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'rx.t-online.de'
2020-02-25 09:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'rx.t-online.de'
2020-02-25 10:55:03 1j69ZJ-0001iL-S3 H=rx.t-online.de [194.25.134.67]: a TLS session is required, but the server did not offer TLS support
2020-02-25 10:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-38) H=rx.t-online.de [194.25.134.67]: a TLS session is required, but the server did not offer TLS support

angemerkt sein, daß die Server für Kundenmails davon nicht betroffen sind. Das ändert aber nichts daran.

T-Online mit Datenschutzverstoß

Der Verzicht auf TLS stellt meiner Meinung nach, mal einen soliden Verstoß gegen Artikel 32 DSGVO dar, weil man als Mailserverbetreiber ja vorher nicht wissen kann, ob da drüber Personenbezogene Daten transportiert werden sollen oder nicht. Hellsehen, was einem einer jemals schicken wird, kann man ja nicht und daher muß man zwangsläufig vorher die Sicherheit der Datenübertragung aktiviert haben, weil nachträglich Sicherheit herstellen geht in dem Fall nun mal nicht.

Artikel 32
Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

Das kombiniert mit Artikel 4 2. schließt den Transport von Daten mit in den Begriff „Verarbeitung“ ein und erzwingt, weil der Aufwand praktisch nicht vorhanden ist und somit auch keine Kosten entstehen, die Verschlüsselung von Emails beim Transport durch den Einsatz von aktuellen Techniken ( STARTTLS mit TLS 1.2+).

In dem Fall wären es tatsächlich Personenbezogene Daten gewesen, weswegen unser Mailserver so eingestellt ist, daß er das in dem Fall auf keinen Fall über unsichere Leitungen schicken darf.

Die Adresse tosa@rx.t-online.de ist übrigens eine T-Online Adminadresse, falls man mal mit seinem Server gesperrt ist(, weil T-Onlinekunden Spams an ihre echten Adressen einfach ungefiltert an T-Onlineadressen weiterleiten) . Ich gehe mal davon aus, daß wie bei großen Organisationen üblich, Links nicht weiß was Rechts hätte tun sollen.

Die notwendigen Schritte den Verstoß abzustellen, werde ich jetzt anstoßen.

Update: 18:50 Uhr

Es gab Antwort von T-Online… und jetzt schön hinschauen… nicht lachen…

Received: from mailout02.t-online.de ([194.25.134.17])
	by userserver with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.93)
	(envelope-from <postmaster@rx.t-online.de>)
	id ---
	for unsere@adresse; Tue, 25 Feb 2020 13:26:31 +0100
Received: from fwd37.aul.t-online.de (fwd37.aul.t-online.de [172.20.27.137])
	by mailout02.t-online.de (Postfix) with SMTP id ---
	for <unsere@adresse>; Tue, 25 Feb 2020 13:26:31 +0100 (CET)
Received: from mail.t-online-team.de (SU1DYkZrrhdrbk+8MoWoNLfFvJAGt3hYNV-3h42o51p2-46yGQLhcUQTxiv6TV2wPu@[194.25.187.129]) by fwd37.t-online.de
	with (TLSv1:ECDHE-RSA-AES256-SHA encrypted)
	esmtp id ---; Tue, 25 Feb 2020 13:26:30 +0100
From: Deutsche Telekom E-Mail Engineering ************* <postmaster@rx.t-online.de>
Date: Tue, 25 Feb 2020 13:26:31 +0100
Organization: Deutsche Telekom AG
X-Mailer: Forte Agent 6.00/32.1186
Content-Type: text/plain; charset=ISO-8859-1

Diese Email ist der nächste Verstoß gegen den Datenschutz, weil in der DSGVO steht drin, daß man auch bei internem Datentransport an die Absicherung denken muß.

Wie man sieht nutzt der erste Mailserver (mail.t-online-team.de) auf dem Weg zu unserem Mailserver (oberster Eintrag) TLSv1.0 , ein seit spätestens 2015 final geknacktes Protokoll. Der nächste interne Server (fwd37.aul.t-online.de) benutzt für den internen Transport zu mailout02.t-online.de gleich gar keine Verschlüsselung mehr. Der letzte Mailserver mailout02.t-online.de macht dann endlich mal was richtig auf dem weg zu uns und benutzt TLSv1.2.

D.b. das „mailout02.t-online.de“ und „fwd37.aul.t-online.de“ können entweder miteinanders kein gemeinsames Protokoll finden, oder haben TLS/SSL gar nicht im Programm. Da aber jeder von denen auf der jeweils anderen Seite der Verbindung irgendwie TLS kann, muß da bei T-Online das Chaos pur herrschen. Ob das absichtlich, unabsichtlich oder fahrlässig so ist, werden die Datenschutzbehörden klären.

„Hallo T-Online, das Jahr 2005 will seinen Uralt-Zeichensatz zurück haben!“

Von dem ISO-8859-1 Fail des Mailprogramms will ich gar nicht erst anfangen, aber wirklich, was für einen uralt Krempel nutzen die da??? de-latin1 und TLSv1 passen historisch natürlich gut zusammen 🙂

Ältere Fälle:

Willkommen im Club der TLS Verweigerer: Apache Foundation!

BSI aktualisiert Mailserver auf TLS 1.2.. ABER

Sächsische Polizei benutzte gebrochene Verschlüsselung

OMG des Tages: Fulldisclosure ML bietet kein TLS an

Posted on 27. September 2019 by marius

Nicht das man es brauchen würde, aber in 2019 darf man doch von einer Securityliste erwarten, daß deren Mailserver TLS kann, oder? Nicht so bei NMAP.

seclists.org Mailserver bietet kein TLS an

Gerade wollte ich das Duplicator Pro Advisory an die FullDisclosure Mailingliste schicken, da mault doch glatt mein Mailserver, daß er die Mail nicht schicken könnte, weil der Empfänger TLS verweigert. Ein OMG war die Folge:

CheckTLS Confidence Factor for „fulldisclosure@seclists.org“: 0

MX Server	Pref	Answer	Connect	HELO	TLS	Cert	Secure	From
ack.nmap.org [45.33.49.119:25]	0	OK (69ms)	OK (151ms)	OK (68ms)	FAIL	FAIL	FAIL	OK (357ms)

2019-09-27 21:23:52 1iDvqI-0005NU-Mw == fulldisclosure@seclists.org R=dnslookup T=remote_smtp defer (-38) H=ack.nmap.org [45.33.49.119]: a TLS session is required, but the server did not offer TLS support

Jetzt braucht man natürlich keine Verschlüsslung, wenn eh an eine öffentliche Mailingliste Veröffentlichungen schickt, aber da laufen auch private Mailinglisten drüber z.b. über Bugs in NMAP und die sollten ja wohl verschlüsselt ankommen, oder?

Es kommt mir so bekannt vor…

Besonders prekär für die Admins des NMAP Mailservers ist der Umstand, daß deren Mailserver sehr wohl TLS beim Senden von Emails kann, sonst kämen die Emails nicht bei uns an:

2019-09-26 08:54:08 1iDNfD-00060F-Mj <= fulldisclosure-bounces@seclists.org H=ack.nmap.org [45.33.49.119] P=esmtps X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=21878 id=6e00195f-664f-1d1c-0fb6-1333992ad574@sec-consult.com

Die große Ähnlichkeit zum BSI CERT-Bund Mailserver macht es natürlich nicht besser: BSI aktualisiert Mailserver auf TLS 1.2.. ABER .

Ich seh schon, mit dem TLS Gate habe ich noch auf Jahre jede Menge Spaß fürs Blog 😀

Hinweis: Duplicator Pro <= 1.3.14 hat eine fiese IFDC Schwachstelle. Bitte updaten!

Marius Welt

Tag Archives: mailserver