Guest User

Untitled

a guest
Dec 22nd, 2015
66
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 6.66 KB | None
  1. drei.at SMTP MITM
  2.  
  3. they are MITM'ing outbound SMTP Traffic: connections to Port 25/tcp are terminating in their network
  4. while a new connection to the destination host will be established.
  5.  
  6. client <-> mitm host <-> destination:25
  7.  
  8. STARTTLS is not being hindered in any way.
  9.  
  10.  
  11. This is not mentioned on their website, in their T&C/TOS or elsewhere.
  12. If you call them to inquire about this you will waste your time explaining to multiple people (insufficiently trained callcenter employees) what SMTP is and that you are not having any problems with *their* mail servers until you (or they) eventually run out of patience and you write them an email. (see answer below)
  13.  
  14.  
  15. there are multiple methods to verify this:
  16.  
  17. - tcptraceroute:
  18.  
  19. # tcptraceroute 212.47.252.241 25
  20. traceroute to 212.47.252.241 (212.47.252.241), 30 hops max, 60 byte packets
  21. 1 172.17.22.132 (172.17.22.132) 88.575 ms 89.170 ms 109.083 ms
  22. 2 172.17.25.138 (172.17.25.138) 108.325 ms 149.157 ms 148.467 ms
  23. 3 * * *
  24. 4 241-252-47-212.rev.cloud.scaleway.com (212.47.252.241) <syn,ack> 178.418 ms 179.083 ms 99.753 ms
  25.  
  26. # tcptraceroute 212.47.252.241 587
  27. traceroute to 212.47.252.241 (212.47.252.241), 30 hops max, 60 byte packets
  28. 1 172.17.22.132 (172.17.22.132) 91.067 ms 91.816 ms 111.262 ms
  29. 2 172.17.25.138 (172.17.25.138) 111.903 ms 112.692 ms 130.727 ms
  30. 3 213.94.72.77 (213.94.72.77) 131.573 ms 150.851 ms 151.741 ms
  31. 4 213.94.72.11 (213.94.72.11) 152.598 ms 170.754 ms 213.94.72.6 (213.94.72.6) 89.745 ms
  32. 5 213.94.72.8 (213.94.72.8) 109.910 ms 110.975 ms 213.94.72.5 (213.94.72.5) 119.802 ms
  33. 6 92.60.6.245 (92.60.6.245) 131.039 ms 130.095 ms 131.681 ms
  34. 7 * * *
  35. 8 ae6-996.r06.inx.vie.nextlayer.net (92.60.2.161) 159.140 ms ae7-997.r06.inx.vie.nextlayer.net (92.60.3.161) 140.804 ms 145.142 ms
  36. 9 ae6-996.r06.uni.vie.nextlayer.net (92.60.2.193) 141.919 ms 149.550 ms ae7-997.r06.uni.vie.nextlayer.net (92.60.3.193) 159.396 ms
  37. 10 80.249.212.92 (80.249.212.92) 159.743 ms 159.657 ms 169.562 ms
  38. 11 195.154.1.217 (195.154.1.217) 130.115 ms 149.800 ms 272.276 ms
  39. 12 195.154.1.39 (195.154.1.39) 278.827 ms 277.374 ms 276.147 ms
  40. 13 * * *
  41. 14 * * *
  42. 15 * * *
  43. 16 241-252-47-212.rev.cloud.scaleway.com (212.47.252.241) <syn,ack> 347.253 ms 344.032 ms 362.327 ms
  44.  
  45.  
  46. - comparing source IPs in tcpdump/mail log/etc...
  47.  
  48. client:
  49. $ nc -v 212.47.252.241 25
  50. Connection to 212.47.252.241 25 port [tcp/smtp] succeeded!
  51. 220 lab-01 ESMTP Postfix (Debian/GNU)
  52.  
  53. server:
  54. Dec 23 01:14:41 lab-01 postfix/smtpd[4542]: connect from smtpout18.drei.com[109.126.64.18]
  55.  
  56. client:
  57. $ nc -v 212.47.252.241 587
  58. Connection to 212.47.252.241 587 port [tcp/submission] succeeded!
  59. 220 lab-01 ESMTP Postfix (Debian/GNU)
  60.  
  61. server:
  62. Dec 23 01:15:47 lab-01 postfix/submission/smtpd[4546]: connect from 178.165.128.138.wireless.dyn.drei.com[178.165.128.138]
  63.  
  64.  
  65. - connecting to some Host which doesnt have port 25 open:
  66. nc -v 1.1.1.1 25
  67. Connection to 1.1.1.1 25 port [tcp/smtp] succeeded!
  68.  
  69. note: if you send some character(s) (eg. \n) while the connection drei<->SMTP is not established, this error will appear:
  70. 452 syntax error (connecting)
  71.  
  72.  
  73.  
  74. official response:
  75.  
  76. Unserer Ansicht nach handelt es sich um einen Vorzeigefall des §16a TKG.
  77.  
  78. TGK §16a (1)
  79.  
  80. TKG verpflichtet den Betreiber eines öffentlichen Kommunikationsnetzes dazu,
  81. geeignete Maßnahmen zur Gewährleistung der Integrität seines Netzes zu
  82. ergreifen und die fortlaufende Verfügbarkeit der über dieses Netz erbrachten
  83. Dienste sicher zu stellen. Genau das ist hier der Fall.
  84.  
  85. Vor Einführung des Filters waren die IP-Adressranges von Drei auf zahlreichen
  86. Sperrlisten anderer Telekommunikationsbetreiber, da von ihnen aus große Mengen
  87. SPAM versandt wurden. Dadurch waren die von diesen Betreibern unterhaltenen
  88. Web- und Mailserver von Kunden-Mailservern, sowie vom Mailserver von Drei,
  89. nicht mehr erreichbar. Damit konnte unser Kommunikationsnetz nicht mehr seine
  90. Aufgabe erfüllen, nämlich unseren Nutzern den uneingeschränkten Zugang zu
  91. sämtlichen öffentlichen Angeboten im Internet zu verschaffen. Die
  92. Verfügbarkeit der über unser Netz erbrachten Dienste war somit nicht
  93. sichergestellt und die Einführung eines Filters notwendig. Diese Maßnahme
  94. erfolgt dabei im Rahmen unserer Rolle als Kommunikationsnetzbetreiber und
  95. nicht in unserer Rolle als Dienst der Informationsgesellschaft.
  96.  
  97. TGK § 16a (2)
  98.  
  99. verpflichtet Betreiber nicht nur zum Schutz der eigenen Netze, sondern auch
  100. zum Schutz zusammengeschalteter Netze.
  101.  
  102. Bezüglich Datenschutzbedenken möchten wir auf Art 15 der (Datenschutz)
  103. Richtlinie 2002/58/EG verweisen, der ausdrücklich Platz für eine Einschränkung
  104. des Datenschutzrechtes lässt für den Fall, dass eine solche Beschränkung gemäß
  105. Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d.
  106. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche
  107. Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von
  108. Straftaten oder des unzulässigen Gebrauchs von elektronischen
  109. Kommunikationssystemen in einer demokratischen Gesellschaft notwendig,
  110. angemessen und verhältnismäßig ist.
  111.  
  112. Die von uns gewählte Maßnahme ist sowohl geeignet die Netzintegrität und
  113. Netzsicherheit zu erhalten, als auch verhältnismäßig.
  114.  
  115. Das Betreiben eines solchen Filters sehen wir zudem als Teil unserer
  116. nebenvertraglichen Pflichten, da dieser dem Schutz unserer Kunden dient und
  117. für das Erbringen der von uns angebotenen Dienste notwendig ist.
  118.  
  119. Ein festschreiben von Sicherheits- und Netzintegritätsmaßnahmen in (starren)
  120. AGB erachten wir als verfehlt, da solche Maßnahmen immer dem Stand der Technik
  121. entsprechen müssen und sich daher schon per Definition ständig ändern.
  122.  
  123. Sollte aus Konsumentensicht der Wunsch nach mehr Information bestehen, können
  124. wir diesem natürlich gerne auf unserer Homepage nachkommen. Allerdings möchten
  125. wir darauf hinweisen, dass mehr Information nicht notwendigerweise zu mehr
  126. Transparenz führen muss. Gerade bei diesem Thema sehen wir die Gefahr, dass
  127. Kunden dieses technisch komplexe Thema falsch verstehen könnten und
  128. zusätzliche Informationen lediglich zu größerer Unsicherheit führen. Nicht
  129. allen Kunden ist der Unterschied zwischen dem Betreiben eines Mailservers im
  130. Netz von Drei und dem Verwenden eines Internetzugangs von Drei, aber Senden
  131. von E-Mails über Mailserver Dritter einfach und verständlich zu vermitteln.
  132.  
  133. Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.
  134.  
  135. Freundliche Grüße,
  136. Ihr 3Service-Team
  137.  
  138. [...]
  139. Der Inhalt dieses E-Mails dient dem 3Kundenservice und ist ausschließlich für
  140. den Empfänger bestimmt. Drei behält sich sämtliche Rechte vor.
RAW Paste Data Copied