In meinem letzten Artikel habe ich über den DFB geschrieben, der in seinen E-Mails des Portals DFBnet Absenderadressen fälscht, um E-Mails mit den Adressen der Schiedsrichteransetzer und Staffelleiter etc. zu versenden. Dies ist verblüffend einfach, weil in E-Mails standardmäßig keinerlei Authentifizierung vorgeschrieben ist. Du musst dich heutzutage zwar so gut wie immer vorher beim E-Mail-Server anmelden, um E-Mails verschicken zu können (das war in der Vergangenheit auch mal anders), dieser kontrolliert aber häufig nicht, ob die angegebene Absenderadresse zu dir passt.
Um das genauer zu verstehen, schauen wir uns erst einmal an, wie eine E-Mail überhaupt aussieht. Sie unterteilt sich in zwei Bereiche: Header und Body. Während im Header eine Vielzahl von Informationen untergebracht sind, von denen wir die meisten nie zu Gesicht bekommen, steht im Body – wer hätte es gedacht – die eigentliche Nachricht.
Informationen, die im Header stehen, und die auch von den meisten E-Mail-Programmen angezeigt werden sind zum Beispiel From (Absender), To (Empfänger), Cc (weitere Empfänger (sichtbar)), Bcc (weitere Empfänger (unsichtbar), Subject (Betreff) und Date (Zeitpunkt der Erstellung). Alle die bisher genannten Eigenschaften schreibt aber der E-Mail-Client (z.B. Thunderbird, Outlook, GMail, die Homepage von web.de…) selbst in die E-Mail hinein.
Das will ich ausprobieren!
Kein Problem. Mit dem E-Mail-Programm Thunderbird könnt ihr ganz einfach E-Mails mit einem falschen Absender verschicken. Einfach eine neue Nachricht erstellen und das Dropdown-Menü im Absenderfeld öffnen. Dort könnt ihr dann Customize From Address… auswählen (auf Deutsch dürfte das wohl so ähnlich heißen).
Vorher zeigt euch Thunderbird noch eine kleine Erläuterung an, wozu diese Funktion nützlich sein kann. Auch gibt das Programm zu verstehen, dass der E-Mail-Anbieter dies unterstützen muss.
Klicken wir nun auf Senden, würde Horst eine E-Mail von Angela empfangen und wahrscheinlich nicht einmal merken, dass diese nicht von ihr verschickt wurde (der Text ist schließlich fast wortwörtlich aus einer von Angelas Regierungserklärungen).
Um herauszufinden, ob man die Fälschung doch irgendwie erkennen kann, habe ich die E-Mail schließlich doch nicht an Horst, sondern an mich selbst verschickt. Um genau zu sein von der E-Mail-Adresse blog@theus.name an meine Uni-Mail-Adresse. Um jetzt mehr herauszufinden, können wir auf den Knopf More bzw. Mehr rechts über der Nachricht klicken und uns dann mit einem weiteren Klick den Quellcode der E-Mail anzeigen lassen. Und über den können wir nun recht einfach feststellen, dass da etwas nicht mit rechten Dingen zugegangen sein kann.
Ein erster sehr aussagekräftiger Hinweis ist direkt ganz oben im Quellcode zu sehen:
Return-Path: <blog@theus.name>
Der Return-Path ist die Adresse, an welche eine E-Mail zurückgeschickt werden soll, wenn der Empfänger nicht verfügbar ist (ihr kennt das von web.de-Nutzern, deren Postfach mal wieder vollgelaufen ist). Diese Angabe wird vom Mail-Server dort eingetragen und offenbart euch in vielen Fällen schon den echten Absender. Denn der Mail-Server trägt dort die passende Adresse zu eurem Benutzernamen ein. Juhu!
Es gibt aber noch weitere, etwas schwerer zu lesende, Möglichkeiten die Fälschung aufzudecken. Über die Angaben Received können wir den Weg, den die E-Mail über verschiedene Server genommen hat, zurückverfolgen. Am interessantesten sind für uns die unteren Angaben. Diese verraten uns den Mail-Server, der die E-Mail als erstes angenommen hat, und das dürfte natürlich dann der Mail-Server unseres echten Absenders sein. In unserem Beispiel steht dort zum Beispiel:
Received: from volans.uberspace.de (volans.uberspace.de [95.143.172.210]) (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mx8.iai.uni-bonn.de (Postfix) with ESMTPS id B6F17543 for <pascuasusername@cs.uni-bonn.de>; Sun, 25 Mar 2018 12:50:59 +0200 (MEST) (envelope-from blog@theus.name) (envelope-to pascuasusername@cs.uni-bonn.de) (1) (internal use: ta=1, tu=1, te=0, am=-, au=-)
Wir können erkennen, dass die E-Mail von einem Server angenommen wurde, der volans.uberspace.de heißt. Recht offensichtlich ist dies nicht der Mail-Server der Bundesregierung. Ein starker Hinweis darauf, dass die E-Mail nicht vom angegebenen Absender stammen kann. Allerdings passt der Server auch nicht auf meine eigene Domain, mit der ich die Mail ja verschickt habe. Der echte Absender war ja blog@theus.name. Wie kommt das?
Der Hoster meines Blogs ist Uberspace (übrigens ein toller Laden, den ich euch ganz herzlich empfehlen möchte) und der kümmert sich sowohl um die Auslieferung meiner Website als auch um die Mails dieser Domain. Daher trägt der Server, der E-Mails für meine Domain empfängt, eben diesen Namen.
Den passenden Mail-Server der Bundesregierung hat man dagegen recht schnell herausgefunden. Dazu reicht eine kleine DNS-Abfrage:
$ dig MX bundesregierung.de
In der ANSWER SECTION finden wir den richtigen Mail-Server zur Domain heraus. Im Fall von bundesregierung.de wäre dies mx1.bund.de oder mx2.bund.de. Solltest du also jemals eine Mail von @bundesregierung.de bekommen und es nicht der passende Mail-Server im Quelltext der E-Mail ersichtlich, dann solltest du die E-Mail wohl eher in die Kategorien SPAM oder Phishing einsortieren.
Da aber in E-Mails standardmäßig jegliche Authentifizierung fehlt: Man kann nie wissen…
Hausaufgabe
Als kleine Hausaufgabe darfst du selbst einmal herausfinden, was passiert, wenn du auf deinem Computer die Uhrzeit um zwei Stunden zurückstellst und dann eine E-Mail über dein lokal installiertes Mail-Programm (also nicht über deinen Browser) abschickst.