Ein großer Teil der Anfragen an der ClubComputer/ccc.at-Hotline*) betreffen Mail-Clients und dort vermeintlich fehlerhafte Mailboxen, weil sie den Zugang trotz richtiger Eingabe des Passworts verwehren.

Grundsätzlich sind alle unsere Mailboxen gleich, eine Sonderbehandlung gibt es nicht. Dennoch kann es aber passierten, dass man sich nicht mehr einloggen kann, obwohl man eigentlich gar nichts verändert hat oder verändert zu haben glaubt. Es ist daher nützlich zu wissen, wie das Verhalten einer (Mailenable**)-)Mailbox ist.

Identifikation

Jedes Mailbox-Konto ist mit Usernamen und Passwort geschützt. Der Username ist die E-Mail-Adresse***).

Mailboxsperre nach 10 erfolglosen Anmeldeversuchen

Mailboxen sind ein begehrtes Angriffsziel. Angreifer versuchen, das Passwort durch wiederholte Login-Versuche zu erraten; den Usernamen kennen sie ja, denn der ist bei unserem Mailenable-Server immer die E-Mail-Adresse. Damit nun Angreifer bei ihrem Einbruchsversuchen nicht beliebig viele Versuche absetzen können, ist unser Server so eingestellt, dass er nach 10 erfolglosen Login-Versuchen den Zugang für Freund und Feind für eine Stunde sperrt.

Sollte das einmal passieren, können wir diese Sperre vorzeitig aufheben aber natürlich nur, wenn jemand am Arbeitsplatz sitzt.

Passwort Policy

Wegen dieser Angriffe ist es außerordentlich wichtig, ein ausreichend starkes Passwort zu setzten. Die Passwort-Policy auf unserem Server ist derzeit:

  • mindestens 6 Zeichen
  • mindesten eine Zahl
  • mindestens ein Buchstabe

Leider gilt das aber nur für neu angelegte Mailboxen. Da wir das System schon sehr lange betreiben, gibt es auch noch Uralt-Passwörter, die diesen Regeln nicht entsprechen. Es sind genau 430 Mailboxen mit einem zu schwachen Passwort.

Würde man zu den obigen Bedingungen auch nur eine weitere hinzufügen, nämlich, dass es ein Mischung aus Groß- und Kleinbuchstaben geben muss, würden bereits 1297 Mailboxen diesem Kriterium nicht entsprechen.

Wenn wir noch eins drauflegen, und darauf bestehen, dass auch ein Symbol im Passwort sein muss, dann entsprechen bereit 3261 Mailboxen nicht dieser Policy.

Wir richten daher einen Appell an alle Betreiber von Mailboxen, eine Revision ihrer Passwörter vorzunehmen und auf die obigen Bedingungen anzupassen. Es ist bei Mailboxen überhaupt nicht nötig, ein kurzes Passwort zu verwenden, weil es ja im Alltag kaum verwendet wird. Und wenn man den Webclient benutzt, merkt sich der Browser das Passwort und man muss es am eigenen Rechner gar nicht eingeben. Lediglich in Internetcafes muss man das Passwort aus einem (elektronischen) Notizbuch holen; es sein denn, man hat sich eine mnemonische Merkhilfe zurecht gelegt, mit der man sich auf das Passwort leicht erinnern kann und dennoch die Passwort-Policy des Servers nicht verletzt. (Siehe Vortrag von Manfred Wöhrl vom 11.5.2016 über sSicherheit, PDF-Dokument, Abschnitt “Was ist ein sicheres Passwort” und “Wie merke ich mir einen PIN”).

Wenn Du wissen willst, wie sicher Dein Passwort ist, benutze diesen Online-Passwort-Checker.

IP-Sperre von offensichtlichen Angreifern

Weiters gibt es am Webserver eine Einrichtung, die erkennt, dass jemand versucht mit Einträgen aus Passwortlisten Passwörter zu erraten und sperrt dann die attackierende IP-Adresse einige Zeit aus.

Ob das aber alles hilft, ist fraglich, denn natürlich kennen die Angreifer diese Maßnahmen und es ist ja nicht notwendig, dass ein Angreifer mehrere Male dieselbe Mailbox attackiert. Er kann in dem riesigen Reservoir angreifbarer Server mit Mailboxen zyklisch Versuche starten und erst nach langer Zeit wieder zu der fraglichen zurückkehren und daher ist der Angriff nur schwer als solcher zu erkennen. Na, und die Veränderung der IP-Adressen ist auch schon erfunden.

Leider kommt es daher immer wieder vor, dass eine Mailbox gekapert wird und dann ungebremst Spam versendet; mit dem Effekt, dass unser Server auf Blacklists landet und alle Mailserver, die diese Blacklists abfragen, nehmen keine Mails von uns an. Damit es aber nicht soweit kommen muss, müssten nur die Besitzer der 430 Mailboxen ihr Passwort verbessern, damit wäre uns schon sehr geholfen.

Passwort ist Privatsache

Das Passwort ist Eigentum des Mailboxbenutzers und wir, als Administratoren, kennen es nicht. Wenn eine Mailbox geknackt worden ist, setzen wir auf dieser Mailbox ein neues, starkes Passwort und teilen es dem Benutzer mit, wenn er bei der Hotline anruft, weil es seine Mailbox (wegen des geänderten Passworts) nicht mehr erreicht. Das ist aber ein Einmal-Passwort und danach sollte der Benutzer das Passwort verändern, weil es eben sein Geheimnis sein soll. Bei dieser Neueinstellung werden bereits die stärkeren Regeln angewendet.

Es ist im Laufe der Jahre immer wichtiger geworden, stärkere Passwörter zu verwenden. Leider hinken wir mit den alten Mailboxen noch hinterher und bitte Euch, durch Aktualisierung der Passwörter unsere Reputation hoch zu halten.

Abfragefehler durch viele Clients

Aber in vielen Fällen sind es gar keine Angreifer, die eine Mailbox zum einstündigen Abschalten bringen, sondern die Benutzer selbst. Egal, was genau der Grund ist. Ein falsch konfigurierter Client versucht sich anzumelden; gelingt ihm das nicht, probiert er es immer wieder, bis ihn die Mailbox aussperrt und er die Meldung bekommt: “Username oder Passwort falsch”. Ein typisches Szenario ist, dass man das Passwort am Server verändert (über das Webinterface oder auch über das WebSitePanel (für Domäneninhaber)) und die Einstellung am Arbeitsrechner gleichzeitig durchführt. Alles scheint in Ordnung zu sein, doch nach einiger Zeit ist man ausgesperrt mit besagter Fehlermeldung. Die häufigste Ursache sind die modernen Zeiten, weil man sich schon gar nicht mehr genau erinnert, wie viele Endgeräte bereits auf die Mailbox zugreifen. Und schaltet man dann das Handy ein, versucht dieses mit (dem noch alten Passwort) auf die Mailbox zuzugreifen und verursacht damit die Sperrung.

Verwendete Bilder

Anmerkungen

*) Unsere Hotline ist praktisch immer besetzt. Aber man muss Geduld haben, denn zuerst landet der Ruf in der Zentrale. Hebt dort niemand ab, wird der Ruf an die Handies weitergeleitet. Oft passiert es, dass man abhebt aber der Anrufer schon die Geduld verloren hat. Leider signalisiert unsere Anlage nicht die Nummer des Anrufers auf das Handy, sodass wir nicht zurück rufen können. Auch kommt es vor, dass das Handy temporär (oder unabsichtlich) abgeschaltet ist. Bitte nicht aufgeben, und noch einmal probieren.

**) Die aktuelle (Jänner 2017) Version des Mailenable-Server ist 9.12, Edition Enterprise. Webmail-Dokumentation (englisch)

***) In Systemen, die zusätzlich zur E-Mail-Adresse einen eigenen Usernamen verlangen, gibt es zusätzlich zum Passwort eine zusätzliche Sicherheitsstufe, denn ein Angreifer kennt zwar die E-Mail-Adresse, nicht aber den zugehörigen Benutzernamen. Am Mailenable-Server muss man daher ganz besonders auf ein starkes Passwort achten.

Links

 

Franz Fiala

Präsident Clubcomputer / Herausgeber PCNEWS bei ClubComputer.at
Franz ist pensionierter HTL Lehrer (TGM), Präsident von ClubComputer, Herausgeber der Clubzeitung PCNEWS und betreut unser Clubtelefon und Internet Support. Er ist leidenschaftlicher Rapid Wien Fan.

Letzte Artikel von Franz Fiala (Alle anzeigen)