wer bin ich?

E-Mails von Strato-Kunden leicht fälschbar

Marktführer Strato sieht keine Veranlassung zur besseren Sicherung seiner Mail-Server
Von Matthias Maetsch

Wie durch eigene Recherchen der Teltarif-Redaktion bekannt wurde, ist es möglich, beliebige E-Mails mit der Absender-Adresse eines jeden Strato-Kunden zu versenden, ohne dass diese Fälschungen erkennbar sind, da diese über den Original-Strato-Mail-Server verschickt worden sind.

Die Strato Medien AG, nach eigenen Angaben europäischer Marktführer im Bereich Domain-Hosting, sichert seine Mailserver mit dem Verfahren "SMTP after POP". Dieses Verfahren sollte eigentlich dafür sorgen, dass nur E-Mails über den SMTP-Server (Postausgang) versendet werden können, wenn vorher durch den POP-Server (Posteingang) der Benutzer mit Hilfe von Benutzernamen und Passwort identifiziert wurde. Der SMTP-Server ist dann für eine gewisse Zeit für diesen Benutzer offen und er kann E-Mail mit seinem Absender einliefern. Versucht der Benutzer hingegen, E-Mails mit einer fremden oder gefälschten Absenderkennung zu versenden, sollte ein gut konfigurierter SMTP-Server dieses verhindern. Nicht jedoch bei Strato, der SMTP-Server versendet alles, was man ihm schickt, wenn man sich einmal vorher per POP angemeldet hat, unabhängig, ob die Mails zum POP-Account passen oder nicht.

Die Strato AG hostet mehr als 1,3 Millionen Domains. Da pro Domain bis zu 1000 E-Mail-Konten konfigurierbar sind, kann von betroffenen E-Mail-Adressen im zweistelligen Millionenbereich ausgegangen werden. Neben privaten Homepages hostet Strato auch die Adressen von Firmen, Parteien und Organisationen.

Wir haben die Strato Medien AG vorab informiert. In ihrer Stellungnahme weist Strato darauf hin, dass dieser Sachverhalt auch bei anderen Anbietern vorliege und so die Mailboxen von deutlich über 80% der deutschen Internet-Präsenzen betroffen seien. Die fehlende Absender-Identifizierung bei SMTP sei eine Protokollgegebenheit. Ein Sicherheitsproblem sehe man nicht.

Eigene Tests ergaben, dass das hier beschriebene Problem bei folgenden bekannten Anbietern jedoch nicht auftritt und dort der Server durchaus sicher ist: GMX, Hotmail, Schlund. Puretec weißt zwar E-Mails ab, die nicht bei Puretec gehosteten Domains entsprechen, lässt aber ebenfalls falsche Absender-Namen zu, wenn diese anderen Puretec-Accounts entsprechen. Man darf also annehmen, dass der Marktführer Strato die 80% zumindest teilweise auf sich selbst bezog. Diese Marketingstrategie ist uns von marktbeherrschenden Softwarekonzernen ja schon bekannt. Frei nach dem Motto: "Meine Bugs sind keine Fehler, sondern Industriestandard".

Trotz der vielen Negativ-Meldungen des letzten Jahres und des oft bekundeten Willens, die Probleme zu beseitigen, schafft es Strato immer wieder, durch Pannen, Sicherheitslücken und Serviceprobleme negativ aufzufallen.