Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- drei.at SMTP MITM
- they are MITM'ing outbound SMTP Traffic: connections to Port 25/tcp are terminating in their network
- while a new connection to the destination host will be established.
- client <-> mitm host <-> destination:25
- STARTTLS is not being hindered in any way.
- This is not mentioned on their website, in their T&C/TOS or elsewhere.
- If you call them to inquire about this you will waste your time explaining to multiple people (insufficiently trained callcenter employees) what SMTP is and that you are not having any problems with *their* mail servers until you (or they) eventually run out of patience and you write them an email. (see answer below)
- there are multiple methods to verify this:
- - tcptraceroute:
- # tcptraceroute 212.47.252.241 25
- traceroute to 212.47.252.241 (212.47.252.241), 30 hops max, 60 byte packets
- 1 172.17.22.132 (172.17.22.132) 88.575 ms 89.170 ms 109.083 ms
- 2 172.17.25.138 (172.17.25.138) 108.325 ms 149.157 ms 148.467 ms
- 3 * * *
- 4 241-252-47-212.rev.cloud.scaleway.com (212.47.252.241) <syn,ack> 178.418 ms 179.083 ms 99.753 ms
- # tcptraceroute 212.47.252.241 587
- traceroute to 212.47.252.241 (212.47.252.241), 30 hops max, 60 byte packets
- 1 172.17.22.132 (172.17.22.132) 91.067 ms 91.816 ms 111.262 ms
- 2 172.17.25.138 (172.17.25.138) 111.903 ms 112.692 ms 130.727 ms
- 3 213.94.72.77 (213.94.72.77) 131.573 ms 150.851 ms 151.741 ms
- 4 213.94.72.11 (213.94.72.11) 152.598 ms 170.754 ms 213.94.72.6 (213.94.72.6) 89.745 ms
- 5 213.94.72.8 (213.94.72.8) 109.910 ms 110.975 ms 213.94.72.5 (213.94.72.5) 119.802 ms
- 6 92.60.6.245 (92.60.6.245) 131.039 ms 130.095 ms 131.681 ms
- 7 * * *
- 8 ae6-996.r06.inx.vie.nextlayer.net (92.60.2.161) 159.140 ms ae7-997.r06.inx.vie.nextlayer.net (92.60.3.161) 140.804 ms 145.142 ms
- 9 ae6-996.r06.uni.vie.nextlayer.net (92.60.2.193) 141.919 ms 149.550 ms ae7-997.r06.uni.vie.nextlayer.net (92.60.3.193) 159.396 ms
- 10 80.249.212.92 (80.249.212.92) 159.743 ms 159.657 ms 169.562 ms
- 11 195.154.1.217 (195.154.1.217) 130.115 ms 149.800 ms 272.276 ms
- 12 195.154.1.39 (195.154.1.39) 278.827 ms 277.374 ms 276.147 ms
- 13 * * *
- 14 * * *
- 15 * * *
- 16 241-252-47-212.rev.cloud.scaleway.com (212.47.252.241) <syn,ack> 347.253 ms 344.032 ms 362.327 ms
- - comparing source IPs in tcpdump/mail log/etc...
- client:
- $ nc -v 212.47.252.241 25
- Connection to 212.47.252.241 25 port [tcp/smtp] succeeded!
- 220 lab-01 ESMTP Postfix (Debian/GNU)
- server:
- Dec 23 01:14:41 lab-01 postfix/smtpd[4542]: connect from smtpout18.drei.com[109.126.64.18]
- client:
- $ nc -v 212.47.252.241 587
- Connection to 212.47.252.241 587 port [tcp/submission] succeeded!
- 220 lab-01 ESMTP Postfix (Debian/GNU)
- server:
- Dec 23 01:15:47 lab-01 postfix/submission/smtpd[4546]: connect from 178.165.128.138.wireless.dyn.drei.com[178.165.128.138]
- - connecting to some Host which doesnt have port 25 open:
- nc -v 1.1.1.1 25
- Connection to 1.1.1.1 25 port [tcp/smtp] succeeded!
- note: if you send some character(s) (eg. \n) while the connection drei<->SMTP is not established, this error will appear:
- 452 syntax error (connecting)
- official response:
- Unserer Ansicht nach handelt es sich um einen Vorzeigefall des §16a TKG.
- TGK §16a (1)
- TKG verpflichtet den Betreiber eines öffentlichen Kommunikationsnetzes dazu,
- geeignete Maßnahmen zur Gewährleistung der Integrität seines Netzes zu
- ergreifen und die fortlaufende Verfügbarkeit der über dieses Netz erbrachten
- Dienste sicher zu stellen. Genau das ist hier der Fall.
- Vor Einführung des Filters waren die IP-Adressranges von Drei auf zahlreichen
- Sperrlisten anderer Telekommunikationsbetreiber, da von ihnen aus große Mengen
- SPAM versandt wurden. Dadurch waren die von diesen Betreibern unterhaltenen
- Web- und Mailserver von Kunden-Mailservern, sowie vom Mailserver von Drei,
- nicht mehr erreichbar. Damit konnte unser Kommunikationsnetz nicht mehr seine
- Aufgabe erfüllen, nämlich unseren Nutzern den uneingeschränkten Zugang zu
- sämtlichen öffentlichen Angeboten im Internet zu verschaffen. Die
- Verfügbarkeit der über unser Netz erbrachten Dienste war somit nicht
- sichergestellt und die Einführung eines Filters notwendig. Diese Maßnahme
- erfolgt dabei im Rahmen unserer Rolle als Kommunikationsnetzbetreiber und
- nicht in unserer Rolle als Dienst der Informationsgesellschaft.
- TGK § 16a (2)
- verpflichtet Betreiber nicht nur zum Schutz der eigenen Netze, sondern auch
- zum Schutz zusammengeschalteter Netze.
- Bezüglich Datenschutzbedenken möchten wir auf Art 15 der (Datenschutz)
- Richtlinie 2002/58/EG verweisen, der ausdrücklich Platz für eine Einschränkung
- des Datenschutzrechtes lässt für den Fall, dass eine solche Beschränkung gemäß
- Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d.
- h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche
- Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von
- Straftaten oder des unzulässigen Gebrauchs von elektronischen
- Kommunikationssystemen in einer demokratischen Gesellschaft notwendig,
- angemessen und verhältnismäßig ist.
- Die von uns gewählte Maßnahme ist sowohl geeignet die Netzintegrität und
- Netzsicherheit zu erhalten, als auch verhältnismäßig.
- Das Betreiben eines solchen Filters sehen wir zudem als Teil unserer
- nebenvertraglichen Pflichten, da dieser dem Schutz unserer Kunden dient und
- für das Erbringen der von uns angebotenen Dienste notwendig ist.
- Ein festschreiben von Sicherheits- und Netzintegritätsmaßnahmen in (starren)
- AGB erachten wir als verfehlt, da solche Maßnahmen immer dem Stand der Technik
- entsprechen müssen und sich daher schon per Definition ständig ändern.
- Sollte aus Konsumentensicht der Wunsch nach mehr Information bestehen, können
- wir diesem natürlich gerne auf unserer Homepage nachkommen. Allerdings möchten
- wir darauf hinweisen, dass mehr Information nicht notwendigerweise zu mehr
- Transparenz führen muss. Gerade bei diesem Thema sehen wir die Gefahr, dass
- Kunden dieses technisch komplexe Thema falsch verstehen könnten und
- zusätzliche Informationen lediglich zu größerer Unsicherheit führen. Nicht
- allen Kunden ist der Unterschied zwischen dem Betreiben eines Mailservers im
- Netz von Drei und dem Verwenden eines Internetzugangs von Drei, aber Senden
- von E-Mails über Mailserver Dritter einfach und verständlich zu vermitteln.
- Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.
- Freundliche Grüße,
- Ihr 3Service-Team
- [...]
- Der Inhalt dieses E-Mails dient dem 3Kundenservice und ist ausschließlich für
- den Empfänger bestimmt. Drei behält sich sämtliche Rechte vor.
Add Comment
Please, Sign In to add comment