Hadmut Danisch
Ansichten eines Informatikers

Die Angriffsintensität auf Mailserver

Hadmut
10.12.2025 3:15
Uncategorized

Der blanke Wahnsinn, was da draußen läuft.

An sich ist der Effekt nicht neu. Kennt man im Prinzip seit 25 Jahren: Stell einen Server mit einem offenen Port, besonders einem Standardport wie ssh (22), smtp (25), http (80) oder https (443) (un einige andere) auf IPv4 raus ins Internet, und innerhalb von Minuten, in manchen Rechenzentrums-IP-Bereichen innerhalb von Sekunden, kommen die Angreifer und versuchen einzudringen.

Es ist schon seit 25 Jahren so, damals noch eher dünn, damals hat das noch eher Stunden gedauert, dass es eine Menge Leute da draußen gibt, die den Adressraum von IPv4 – den man noch komplett abscannen kann – ständig und vollständig durchsuchen. Oder auch selektiv, weil es ergiebiger ist Rechenzentren und Hosting-/Cloud-Provider zu scannen als Privatinternet-Betreiber, weil die Leute zuhause einen Router haben, der Firewall spielt, selten Serverports offen lässt und die IP-Adressen auch ständig wechseln, man mit der Information nicht viel anfangen kann. Deshalb ist es für Angreifer durchaus sinnvoll, ihre Scan-Aktivitäten auf bestimmte IP-Bereiche zu konzentrieren.

Da gibt es die Guten, die selbsternannt Guten, die Bösen, die Forscher und so weiter. Manche wollen nur wissen, wieviele Schwachstellen es gibt. Manche wollen darauf hinweisen. Manche wollen damit Geld verdienen (Bug Bounty), und manche wollen böse Dinge damit anstellen. Und das hat eine sehr große Bandbreite, böse Dinge gibt es ganz viele.

Und selbst wenn sie keine Lücke finden, man keinen Fehler gemacht hat – sie bauen Datenbanken auf, wo welche Software läuft. Gibt es dann irgendwo eine Zero-Day-Schwäche, als eine, die so neu ist, dass sie noch nicht bekannt oder gepatcht ist, müssen die nur in ihren Datenbanken schauen, wo genau diese Software läuft – und *zack*, sind sie drin. Eine Sache, die man kaum noch vermeiden kann.

Ich habe vor einigen Tagen einen E-Mail-Server aufgesetzt.

Eigentlich ist er noch gar nicht in Betrieb, nur eine Test-Domain zeigt auf ihn. Der macht bisher nichts weiter, als herumzustehen mit einem – ist bei Mailservern eben so erforderlich – offenen Port 25 (smtp) und einem Mail-Server drauf. Und, um die korrekte Einstellung zu testen und überwachen, noch eingeschaltetem Debugging, das jede erfolglose SMTP-Verbindung protokolliert und berichtet. Und weil auf dem Server noch gar nichts läuft, gibt es nur erfolglose SMTP-Verbindungen. Und davon erstaunlich viele.

Es ist besonders erstaunlich, mit welcher Intensität viele Akteure, oft, manche Dutzende Male pro Tag, manche sekündlich, irgendwelche Tests gegen die Server fahren, ob irgendwelche schräge Syntaxabweichung funktioniert, ob Authentifizierungsports offen stehen, und, und, und.

Herkunft der IP-Adressen: USA, China, Hong Kong, Russland, Niederlande, Litauen, und andere mehr. Was nicht unbedingt immer etwas sagt. Manchmal sind es Cloud-Provider, in denen einfach jemand virtuelle Maschinen gemietet hat, selten sieht es nach gehacktem PC aus. Oft sieht es danach aus, als ob sich da jemand überhaupt nicht versteckt, sondern nach dem Motto „Na und, was willst Du mir tun?“ vorgeht.

Ich halte die Situation für mehr als brandgefährlich.

Gerade weil E-Mail ein lausig abgesicherter Steinzeit-Dienst ist, und man da auch nicht so einfach und ohne weiteres zusätzliche Sicherungen drüberlegen kann – die Mail-Clients müssen ja noch drauf zugreifen können.

Aber was machen unsere Politik, unsere Forschung?

Meines Wissens einfach gar nichts, außer von „Cyberabwehrzentren“ zu faseln, die „zurückhacken“ sollen.

Wie stellt man sich das vor?

Soll ich zur Bundeswehr gehen und sagen, hört mal, ich habe da ein Firmennetz in Hong Kong bemerkt, die scannen wie bekloppt nach Schwachstellen? Könnt Ihr die nicht mal eben kaputtzurückhacken?

Vielleicht weiß die Firma ja auch gar nichts davon?

Vielleicht missbraucht ein Mitarbeiter das auf eigene Faust?

Vielleicht sind die gehackt?

Vielleicht sind die aber auch wirklich böse, und dann brächte es gar nichts, „zurückzuhacken“.

Ständig jammern sie auf allen Kanälen, Gottogottogott, der Cyberkrieg. Was sollen wir nur tun?

Und es passiert: Einfach gar nichts. Keinerlei Abwehrversuch.

Wieviele Leute gibt es in unserer Politik, auch bei denen, die die Forschungsgelder vergeben, die das Problem verstehen oder eine Vorstellung vom Gefährdungspotential haben?

Eigentlich müssten wir Leute haben, die sich mal darum kümmern, E-Mail, SMTP, durch etwas Moderneres zu ersetzen, die Sicherheitslücken zu stopfen. Aber nicht so etwas wie die Totgeburt De-Mail, das konnte man ja nicht selbst kontrollieren.

Für IMAP und den SMTP Submission gibt es etwas Besseres, seit 10 Jahren: JMAP. Basiert auf einer JSON-API über HTTP, ließe sich also deutlich einfacher so platzieren, dass man es mit Scannern nicht finden kann, und als HTTP-basiert auch besser absichern. Kann auch gleich Versenden von E-Mails, Kalender und Adressbuch.

Aber: Es gibt kaum Implementierungen. Schon gar keine aus Deutschland.

Wir faseln so gerne davon, dass wir „digital souverän“ werden wollen, aber zu bieten haben wir eigentlich nichts. Außer De-Mail.

Gerade ist ständig die Rede davon, wie abhängig wir doch von den Amerikanern seien – trotzdem sind wir auf Mailserver und Mailclients angewiesen, die aus den USA kommen. Wir selbst sind zu blöd, welche zu bauen.

Und selbst wenn wir in der Lage wären, welche zu bauen – wir könnten uns nicht einmal selbst trauen, weil „Förderung“ nur EU-kompatibel geht und die EU Zugriff und Backdoors haben will.

Wir sind so grottenschlecht, dass eigene Mailprogramme und -protokolle zu haben tatsächlich noch schlechter wäre, als keine zu haben.

Aber ein „Cyberabwehrzentrum“, das haben wir.

Wie erreicht man die eigentlich? Per Fax? Per Post? Per Parteispende?