Die Präsentation im PDF-Format / Netzwerkgrundlagen (HTML-Format)
{Blatt "Begriffe zu Internet E-Mail" (Folie 13) verteilen}
E-Mail fälschen ist ganz einfach! Oder doch nicht? Um das herauszufinden, begeben wir uns zusammen mit einer E-Mail auf die Reise durch das Internet.
Wir werden vielen Komponenten begegnen, die wir schon kennen: Mailtools, der TCP/IP Protokollstack, IP-Datenpakete, TCP Verbindungen, das DNS Domain Name System. Das Ziel dieses Vortrages ist es, dass ihr versteht, was alles passiert, wenn eine E-Mail durchs Internet geschickt wird. Viele andere Internet-Applikationen funktionieren ganz ähnlich.
{Falls zwei Projektoren vorhanden sind, wird diese Folie liegen gelassen und ein Bleistift zeigt die jeweilige Position der E-Mail. Die Zuhörer sollen sich während des ganzen Vortrages an dieser Skizze orientieren können. }
Zum Anfang sehen wir hier einen Überblick über den ganzen Weg durchs Internet:
Das hier ist mein PC zu Hause. Hier wird unsere Beispiel E-Mail mit einem ganz gewöhnlichen Mailtool getippt wie z.B. Netscape Messenger, Microsoft Outlook, Eudora oder irgend ein anderes. Wenn ich im Mailtool "Abschicken" bzw. "Send" anklicke, dann wird die E-Mail über mein Modem oder Terminal Adapter zu meinem Internet Service Provider ISP geschickt. Dieser schickt meine E-Mail über das Internet zum ISP des Empfängers. Wir werden uns vor allem diesen Teil der Reise besonders genau ansehen.
Die Mail gelangt zum Mailserver beim ISP. Jeder ISP hat einen eigenen Mailserver, wo die ankommenden E-Mails gespeichert werden. Der gestrichelte Pfeil zeigt, dass es hier nicht automatisch weitergeht. Der Empfänger ist schliesslich nicht immer "on-line". Der Empfänger kann die E-Mail bei seinem ISP vom Mailserver abrufen.
{Diese Folie ist im Wesentlichen dasselbe wie die vorherige. Jedoch aus einer viel technischeren Sicht. Es scheint mir sinnvoll, die vielen neuen Begriffe und Zusammenhänge gleich zwei Mal mit zwei Folien einzuführen. Im Sinne von RBR...}
Nicht erschrecken! Das ist eigentlich dasselbe Bild wie die Folie vorher: Eine technische Sicht auf den ganzen Weg der E-Mail. Die E-Mail muss beim Sender und beim Empfänger jeweils durch mehrere Protokolle hindurch. Man sagt, sie passiert einen Protokollstack.
Die E-Mail wird nach dem SMTP (Simple Mail Transfer Protocol) übermittelt. Dies ist eine spezielle Abmachung, in welchem Format die Sender- und Empfängeradressen und der eigentliche Mail-Inhalt geschickt werden. Mit SMTP können nur gewöhnliche Texte geschickt werden.
Für Fälschungen ist SMTP besonders geeignet – es ist ein sehr einfaches Protokoll. SMTP kommuniziert immer über Port 25. Man muss nur eine Telnet-Verbindung zu Port 25 aufbauen. Und schon kann man eine E-Mail nachahmen, wie wir gleich sehen werden.
Um Bilder, Attachments, ausführbare Programme, etc. zu schicken, braucht man das Zusatzprotokoll MIME (Multipurpose Internet Mail Extensions). Mit SMTP und MIME gelangt die E-Mail zum ISP. Zwischen den ISP vom Sender und Empfänger wird die E-Mail mit TCP/IP durch das Internet geschickt. Beim Empfänger ISP wird die E-Mail auf dem Mailserver gespeichert. Der Empfänger kann die E-Mail nun abrufen. Dazu verwendet er entweder das POP (Post Office Protocol) oder das IMAP (Internet Message Access Protocol). Einige dieser Protokolle werden wir nun etwas genauer kennen lernen.
Das hier ist unsere Beispiel E-Mail. Zu Hause, an meinem PC, tippe ich diese E-Mail für einen Empfänger baloo@jungle.ch. Das Subject ist: "Hallo". Und der Text lautet "Wie geht es Dir? Mir geht es gut."
Ich kann dazu irgend ein Mailtool verwenden. Was hinten heraus kommt ist bei allen dasselbe: SMTP, Simple Mail Transfer Protocol. Sobald der "Send" Knopf gedrückt wird, beginnt die Übermittlung der E-Mail gemäss dem SMTP Protokoll an den Internet Service Provider, ISP. Vorausgesetzt natürlich ich habe mein Modem eingeschaltet und mich beim ISP schon eingeloggt.
So sieht unsere E-Mail im SMTP Stil aus. Mit HELO wird der Rechner des Absenders identifiziert. MAIL FROM gibt die Absender E-Mail Adresse an. RCTP TO ist die Adresse des Empfängers. Wir schicken unsere Beispiel E-Mail an baloo@jungle.ch. DATA und DATA. sind die Anfangs- bzw. Endmarke des eigentlichen E-Mail Textes: In unserem Beispiel ist das "Wie geht es Dir? Mir geht es gut.".
In SMTP ist es nun besonders einfach, im Feld MAIL FROM einen falschen Absender anzugeben. Falls man direkten Zugang zum Internet hat, kann man solche Fälschungen problemlos abschicken. Der ISP hingegen prüft die E-Mail Adressen. Allzu offensichtliche Fälschungen werden heraus gefiltert. Denkt daran, dass der ISP relativ viel Informationen über Euch und Euer Verhalten auf dem Internet hat.
Jetzt könnte man die E-Mail eigentlich weiter schicken über TCP/IP. Wir kennen den Namen des Mailservers beim Empfänger "jungle.ch". TCP/IP verlangt jedoch eine IP-Adresse. Das System, das für einen Namen die IP-Adresse liefert heisst Domain Name System, DNS.
Die IP-Adresse des Empfängers findet man mit Hilfe des Domain Name Systems, DNS. Im DNS kennt jeder Knoten die IP-Adressen der Namen unter ihm.
Man kann es sich vereinfacht so vorstellen, dass der Name sozusagen von hinten her abgearbeitet wird. Der Startpunkt ist "root". Da gibt es nun all die Endungen, .com, .edu, .gov, .ch etc. Zuerst gelangt man zum .ch. Und dann innerhalb des .ch hinunter zu jungle. Dort ist dann die IP-Adresse von jungle.ch bekannt.
Das IP-Paket muss auch die Absenderadresse als IP-Adresse haben. Die IP-Adresse vom Absender wird genau gleich im DNS ermittelt wie diejenige des Empfängers.
Jetzt, wo wir die IP-Adressen kennen, können wir anfangen die E-Mail in Datenpakete aufzuteilen.
Die Datenpakete auf dem Internet haben verschiedene Grössen von 1.5 bis 64 kB. Längere E-Mails, vor allem solche mit Attachments, müssen in kleinere Einheiten aufgeteilt werden.
Das IP-Protokoll legt fest, in welchem Format die einzelnen Datenpakete geschickt werden.
Wie sieht nun so ein IP-Datenpaket aus?
Ein IP-Datenpaket enthält eine Empfänger Adresse, eine Absender Adresse und die eigentlichen Daten. Ausserdem gibt es noch einige technische Felder, wie eine Checksumme zur Fehlerüberprüfung, Angaben zu den verwendeten Protokoll Versionen, eine sogenannte Lebensdauer.
Die Datenpakete werden einzeln durchs Internet geschickt. Die Datenpakete einer einzigen E-Mail werden sehr wahrscheinlich über verschiedenste Wege ans Ziel gelangen. Der Empfänger muss die einzelnen Datenpakete wieder zusammen setzen. Voraussetzung ist eine sichere, zuverlässige Übertragung. Dazu haben wir TCP.
Die Übertragung übers Internet ist unsicher. Datenpakete können unterwegs verloren gehen: Z.B. wenn ein Server abstürzt in dem Moment, wo unser Datenpaket empfangen wird. Ebenso gehen Pakete verloren, wenn ein Datenpaket in eine endlose Schleife gerät.
Datenpakete können doppelt ankommen. Der Sender hat sie zwei Mal geschickt, weil der Empfänger den Empfang zu lange nicht bestätigt hat.
Selbst wenn alle Datenpakete korrekt ankommen, muss man noch die Reihenfolge überprüfen. Die Pakete können sich unterwegs nämlich überholen: Das erste Paket wird vom Router auf eine bestimmte Route geschickt. Nun erhält der Router Information über eine noch bessere Route. Und das nächste Datenpaket wird nun auf die schnellere Route geschickt. Und schon ist es passiert: Unser zweites Paket hat das erste überholt.
Wie kann nun TCP eine zuverlässige Verbindung garantieren ? TCP verwendet dazu sogenannte Sequenznummern. D.h. jedes IP-Paket erhält eine Nummer. Der Empfänger kann so die IP-Pakete in der richtigen Reihenfolge zusammen setzen.
Hier im Beispiel sind wir beim Empfänger. Es kommt z.B. das IP-Paket Nummer 7 an. Unten im Buffer werden die empfangenen IP-Pakete gespeichert. Der Empfänger hat das IP-Paket Nummer 7 jedoch schon erhalten. Es ist ein Duplikat und wird weg geworfen.
Dann kommt das IP-Paket Nummer 11 an. Das haben wir noch nicht. Wir setzten es in die Lücke im Buffer ein. Der Empfänger schickt dem Sender ein sogenanntes "Acknowledgement". Das ist eine kurze Meldung, dass die Nummer 11 erfolgreich empfangen wurde.
Nun kommt das IP-Paket Nummer 13 an. Dieses IP-Paket kann auch erfolgreich empfangen werden. Wiederum wird eine "Acknowledgement" Meldung zum Sender geschickt.
Der Empfänger stellt irgendwann fest, dass immer grössere Nummern 11, 13, 14, 15, etc. ankommen. Die Nummer 8 fehlt jedoch immer noch. Nach einer bestimmten Zeit schickt der Empfänger dem Sender eine Meldung, dass er die Nummer 8 immer noch nicht erhalten hat. Der Sender wird das IP-Paket Nummer 8 nochmals schicken.
So zuverlässig die TCP/IP Verbindung auch sein mag, Fälschungen sind auch hier möglich. Dazu braucht man allerdings Zugang zum Datenpfad. Z.B. kann man das Ethernet-Kabel in einer Hauptverbindung anzapfen und seinen eigenen PC dazwischen hängen. So kann man die einzelnen IP-Pakete abfangen und ändern.
Hier sehen wir ein IP-Paket mit unserer Beispiel E-Mail auf dem Internet. Für
eine Fälschung könnte man das Paket aus dem Datenverkehr herausnehmen, und
anschliessend verändert wieder übers Internet weiter schicken. Man muss das
TCP/IP Protokoll jedoch sehr genau kennen. Man will ja nicht, dass die Fälschung
beim Empfänger gleich auffällt.
Und nun zum letzten Schritt: vom Mailserver bis zum Empfänger nach Hause.
Es gibt grundsätzlich zwei Möglichkeiten, wie man seine Mailbox verwaltet.
Erste Möglichkeit: Man kopiert alle E-Mails vom Mailserver zu sich. Nun kann man die E-Mails auf seinem Rechner bearbeiten, speichern und archivieren. So wird es mit dem weit verbreiteten POP (Post Office Protocol) gemacht. Pop ist ein sehr einfaches Protokoll. Es gilt aber als etwas veraltet.
Zweite Möglichkeit: Man lässt alle E-Mails auf dem Mailserver liegen. Man kann die E-Mail übers Netz lesen und bearbeiten. So wird es mit IMAP gemacht. IMAP kann sehr viel mehr als POP. Es ist aber ziemlich kompliziert. Z.B. Bluewin unterstützt deswegen IMAP nicht.
Der Vorteil von IMAP ist jedoch, dass man seine E-Mail von überall her auf dem Mailserver bearbeiten kann. Wenn ich also im Büro ein E-Mail erhalte, dann kann ich sie dort lesen und bearbeiten. Die eigentliche E-Mail bleibt jedoch auf dem Mailserver. Von meinem PC zu Hause aus kann ich dann nochmals dieselbe E-Mail weiter bearbeiten. Sie ist ja immer noch auf dem Mailserver.
Mit POP wäre das nicht möglich. Mit POP könnte ich die E-Mail auf dem Mailserver nur lesen, nicht aber bearbeiten.
Nun ist also die E-Mail beim Empfänger zu Hause. Und wir sind somit am Ende unserer Reise durchs Internet. Wir haben gesehen, dass die Reise einer E-Mail durchs Internet über einige Stationen führt. Unter anderem deswegen ist es auch recht leicht, eine E-Mail zu fälschen.
Zum Glück gibt es aber auch recht einfache Vorsichtsmassnahmen, mit denen man gefälschten E-Mails begegnen kann. Was kann man tun? Vor allem skeptisch sein. Absender überprüfen. Dubiose E-Mails löschen ohne sie zu lesen. Kurz: Genau das, was man mit dubioser Briefpost auch tun würde.
Diese Begriffe müsst ihr nicht auswendig kennen. Wenn ihr jedoch einmal etwas
mit der technischen Seite von E-Mail zu tun habt, könnt ihr hier nachschauen.