(c)1999 Vision Crew Stuttgart
Neuer Angriffstyp ermittelt gültige E-mail-Adressen
Betriebssystem
alle Systeme
Software
Mailserver
Angriffe
Ermittlung gültiger E-mail-Adressen
Schutz
–
Stichworte
Spionage, brute-force-Angriff, Wörterbuch
Datum
16.03.1999
Das SMTP-Protokoll sieht vor, daß die Empfängeradresse mittels des Befehls RCPT TO:<Name> dem Server übermittelt wird. Ist der Empfänger unbekannt, wird eine Fehlermeldung zurückgegeben .
Problem
Ein neuer Typ von Spionageprogrammen – genannt „address collector“ – geht auf die Suche nach E-mail-Adressen. Mittels eines Wörterbuchs mit häufig genutzten Namen werden systematisch Adressen gesucht und abgespeichert. Beispiel:
02:24 16:22 SMTPD(00360110) [209.86.182.86] MAIL
FROM:<info@savings.com>
02:24 16:22 SMTPD(00360110) [209.86.182.86] RCPT
TO:<arne@954access.net>
02:24 16:22 SMTPD(00360110) [209.86.182.86] RCPT
TO:<arnie@954access.net>
02:24 16:22 SMTPD(00360110) [209.86.182.86] ERR 954access.net invalid
user <arnie@954access.net
Wird keine Fehlermeldung erzeugt, geht das Angriffsprogramm von der Existenz der Adresse aus.
Empfehlung
Zur Zeit gibt es keinen wirksamen Schutz gegen diesen Angriff, mit dem der Mailserver für Stunden beschäftigt werden kann. Ist die (natürlich) gespoofte Absenderadresse bekannt (info@savings.com in unserem Beispiel), können diese Adressen für die weitere Kommunikation ausgeschlossen werden. Besser wäre es, wenn der Mailserver nach mehreren Fehlermeldungen die Verbindung abbricht. Die Programmierer von Mailservern sollten dieses Feature in ihre nächsten Versionen einbauen.
Information
http://www.netspace.org/cgi-bin/wa?A1=ind9903a&L=bugtraq#13
http://www.l8r.com/nwa/nwa1.htm