Outlook und SPA – Sicherheit vorgetäuscht

Es gibt bei Outlook (wohl auch bie Express) die Möglichkeit sich “sicher” am POP3- und/oder SMTP-Server anzumelden. Das ganze nennt sich dann ecure Password Authentication (SPA). Dabei werden die Zugangsdaten für den POP3-Server nicht mehr im Klartext übertragen, sondern eine Authentifizierung über ein Challenge-Response-Verfahren durchgeführt. Die Methode die Outlook dabei unterstützt ist NTLM v.1., das ist als solches schon mal nicht sicher.

Die wahre Gefahr dabei ist aber die Vorgehensweise von Outlook. Outlook verwendet für die Anmeldung am Server nicht etwa die Zugangsdaten die man in den Kontoeinstellungen verwendet hat, sondern als erstes die Zugangsdaten des aktuell angemeldeten Benutzers. Wenn jetzt also die Zugangsdaten am Mailserver sich von denen im lokalen Netzwerk unterscheiden schlägt die erste Anmeldung jedesmal fehl. Nach dem Fehler verwendet Outlook dann die Zugangsdaten aus den Kontoeinstellungen. Der Benutzer denkt also, die verwendete Methode sei sicher, aber weit gefehlt.

Ausnutzen kann man diese Unart z.B. mit einer Man in the Middle Attake (MIM). Damit lassen sich dann die Zugangsdaten für das Windows Netzwerk erschleichen. Es gilt also:

Niemals Outlook mit SPA verwenden, außer der Mailserver ist der Exchangeserver im LAN.

Mehr zu dieser Problematik: http://www.security.nnov.ru/advisories/oespa.asp

2 Responses to “Outlook und SPA – Sicherheit vorgetäuscht”

  1. Lan Says:

    Danke erstmal für die Zusammenfassung, aber wie kann ich dann in einem “öffentlichen” WLAN mit Outlook meine Daten sicher verschlüsselt übertragen?

  2. konqi Says:

    @Lan: Mit einer SSLv3 bzw. TLSv1 verschlüsselten Verbindung zum Server. Wenn der Nutzer ein wenig Hirn verwendet und nicht jedes Zertifikat, das ihm der Server präsentiert, einfach akzeptiert, ist diese Methode nach aktuellen Stand noch sicher; oder sicher genug für private und geschäftliche Kommunikation.
    Hier wird bevor Zugangsdaten übertragen werden über ein asymmetrisches Verfahren ein gemeinsamer Schlüssel für eine symmetrisch verschlüsselte Verbindung ausgehandelt. Die eigentlische Kommunikation geschieht über eine AES verschlüsselte Verbindung die von der NSA für hochsichere Anwendungen zugelassen ist.

    Wer Optionen wie SPA verwendet, ohne zu wissen, was das eigentlich bedeutet – dem kann man nicht helfen. Danke für den Artikel!