Onderzoek: Nederland telt 280.000 POP3/IMAP-services zonder TLS
Nederland telt ruim 280.000 POP3/IMAP-services die geen gebruikmaken van TLS (Transport Layer Security), wat inhoudt dat gebruikersnamen en wachtwoorden van e-mailaccounts onversleuteld worden verstuurd, zo laat The Shadowserver Foundation op basis van eigen onderzoek weten. Wereldwijd gaat het om 6,6 miljoen van dergelijke services.
POP3 (Post Office Protocol) en IMAP (Internet Message Access Protocol) zijn twee protocollen die e-mailclients gebruiken voor het ophalen van e-mail van de mailserver. Standaard gebruiken POP3 en IMAP geen versleuteling. Beide protocollen kunnen echter wel gebruikmaken van TLS. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding, bijvoorbeeld tussen e-mailclient en mailserver.
The Shadowserver Foundation is een stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld naar kwetsbare systemen op internet zoekt. De stichting deed laatst een scan naar POP3/IMAP-services die geen gebruikmaken van TLS. "Dit houdt in dat wachtwoorden gebruikt voor mailtoegang door een netwerksniffer zijn te onderscheppen. Daarnaast maakt een blootgestelde service het mogelijk om password guessing-aanvallen tegen de server uit te voeren", aldus de stichting.
Op basis van de uitkomsten van de scan is The Shadowserver Foundation begonnen om organisaties met POP3/IMAP-services zonder TLS te waarschuwen. Deze organisaties worden opgeroepen om TLS in te schakelen alsmede te overwegen om de service achter een vpn te plaatsen. In totaal werden 3,3 miljoen POP3- en 3,3 miljoen IMAP-services zonder TLS aangetroffen. In de meeste gevallen is er sprake van overlap. In Nederland gaat het om 143.000 POP3-services en 137.000 IMAP-services, waarmee Nederland vijfde in het landenoverzicht is. De lijst wordt aangevoerd door de VS, met ruim 1,7 miljoen POP3/IMAP-services zonder TLS.
Reacties (20)
02-01-2025, 16:59 door
Anoniem
Goh. Flashbacks. De werkgevert waar ik destijds werkte had zo'n consultancy bureau (compleet mét eigen agenda) ingezet om een snood plan te realiseren: kaasschaaf bezuinigen.
Eén van de vragen was, hoeveel mail servers draai je? En een deel van de Unix-goegemeente had daarop inderdaad geteld waar sendmail (of postfix, etc) zoal draaide. Elk werkstation, natuurlijk - zij het natuurlijk niet op een publiek interface luisterend.
De consultants schreven daarop een flodderig rapport (voor "slechts" twee ton) met als advies om een paar miljoen per jaar naar Microsoft te schuiven voor iets wat niet eens een mailserver is (Exchange), om van dat "probleem" af te komen.
Even gemakkelijke als desastreuze conclusies zijn zo te trekken op basis van halfbakken onderzoek. End of rant.
Eén van de vragen was, hoeveel mail servers draai je? En een deel van de Unix-goegemeente had daarop inderdaad geteld waar sendmail (of postfix, etc) zoal draaide. Elk werkstation, natuurlijk - zij het natuurlijk niet op een publiek interface luisterend.
De consultants schreven daarop een flodderig rapport (voor "slechts" twee ton) met als advies om een paar miljoen per jaar naar Microsoft te schuiven voor iets wat niet eens een mailserver is (Exchange), om van dat "probleem" af te komen.
Even gemakkelijke als desastreuze conclusies zijn zo te trekken op basis van halfbakken onderzoek. End of rant.
02-01-2025, 19:46 door
Anoniem
popverdomme zeg :P
02-01-2025, 19:59 door
Anoniem
Met een VPN 'verberg' je het IP adres van de mailserver. Maar het is ook een heel handig punt voor een man-in-the-middle aanval omdat die midden tussen de mailserver en de gebruiker zit en alles langs ziet komen. Een bruteforce aanval is ook triviaal vanaf de VPN server, omdat die impliciet vertrouwd wordt.
Je weet niet met welk TLS certificaat je verbinding maakt (dat van de VPN? of werkt het niet zoals bij https waar een domeinnaam aan een IP adres gekoppeld wordt) en een STARTTLS zou kunnen zorgen voor een downgrade attack (ook heel handig voor een aanvaller).
Ik zou zeker niet een VPN gebruiken die niet in eigen beheer is.
Je weet niet met welk TLS certificaat je verbinding maakt (dat van de VPN? of werkt het niet zoals bij https waar een domeinnaam aan een IP adres gekoppeld wordt) en een STARTTLS zou kunnen zorgen voor een downgrade attack (ook heel handig voor een aanvaller).
Ik zou zeker niet een VPN gebruiken die niet in eigen beheer is.
02-01-2025, 22:34 door
Anoniem
Door Anoniem: Met een VPN 'verberg' je het IP adres van de mailserver. Maar het is ook een heel handig punt voor een man-in-the-middle aanval omdat die midden tussen de mailserver en de gebruiker zit en alles langs ziet komen. Een bruteforce aanval is ook triviaal vanaf de VPN server, omdat die impliciet vertrouwd wordt.
Je weet niet met welk TLS certificaat je verbinding maakt (dat van de VPN? of werkt het niet zoals bij https waar een domeinnaam aan een IP adres gekoppeld wordt) en een STARTTLS zou kunnen zorgen voor een downgrade attack (ook heel handig voor een aanvaller).
Ik zou zeker niet een VPN gebruiken die niet in eigen beheer is.
Je weet niet met welk TLS certificaat je verbinding maakt (dat van de VPN? of werkt het niet zoals bij https waar een domeinnaam aan een IP adres gekoppeld wordt) en een STARTTLS zou kunnen zorgen voor een downgrade attack (ook heel handig voor een aanvaller).
Ik zou zeker niet een VPN gebruiken die niet in eigen beheer is.
Huh? Waar haal je de link naar VPN vandaan? Even los van hoe je het praktisch voor je ziet dat een server via een vpn verbinding naar het publieke internet zou verbinden (en tegelijkertijd ook bereikbaar is om mail te ontvangen).
Als je doel is om een mailclient via VPN verbinding te laten maken met (het netwerk van) de mailserver om de mail via (onbeveiligde) POP3 binnen te halen, is dat in ieder geval beter dan via het publieke internet. Maar die machines zullen in dit onderzoek niet gevonden worden.
Maar dat heeft dan weer helemaal niets te maken met het 'verbergen van je IP adres'.
02-01-2025, 22:35 door
Anoniem
Door Anoniem: Goh. Flashbacks. De werkgevert waar ik destijds werkte had zo'n consultancy bureau (compleet mét eigen agenda) ingezet om een snood plan te realiseren: kaasschaaf bezuinigen.
Eén van de vragen was, hoeveel mail servers draai je? En een deel van de Unix-goegemeente had daarop inderdaad geteld waar sendmail (of postfix, etc) zoal draaide. Elk werkstation, natuurlijk - zij het natuurlijk niet op een publiek interface luisterend.
De consultants schreven daarop een flodderig rapport (voor "slechts" twee ton) met als advies om een paar miljoen per jaar naar Microsoft te schuiven voor iets wat niet eens een mailserver is (Exchange), om van dat "probleem" af te komen.
Even gemakkelijke als desastreuze conclusies zijn zo te trekken op basis van halfbakken onderzoek. End of rant.
Eén van de vragen was, hoeveel mail servers draai je? En een deel van de Unix-goegemeente had daarop inderdaad geteld waar sendmail (of postfix, etc) zoal draaide. Elk werkstation, natuurlijk - zij het natuurlijk niet op een publiek interface luisterend.
De consultants schreven daarop een flodderig rapport (voor "slechts" twee ton) met als advies om een paar miljoen per jaar naar Microsoft te schuiven voor iets wat niet eens een mailserver is (Exchange), om van dat "probleem" af te komen.
Even gemakkelijke als desastreuze conclusies zijn zo te trekken op basis van halfbakken onderzoek. End of rant.
Waarop werd uiteindelijk dan bezuinigd :P? Zeer benieuwd!
02-01-2025, 22:59 door
Anoniem
Door Anoniem: Met een VPN 'verberg' je het IP adres van de mailserver. Maar het is ook een heel handig punt voor een man-in-the-middle aanval omdat die midden tussen de mailserver en de gebruiker zit en alles langs ziet komen. Een bruteforce aanval is ook triviaal vanaf de VPN server, omdat die impliciet vertrouwd wordt.
Je weet niet met welk TLS certificaat je verbinding maakt (dat van de VPN? of werkt het niet zoals bij https waar een domeinnaam aan een IP adres gekoppeld wordt) en een STARTTLS zou kunnen zorgen voor een downgrade attack (ook heel handig voor een aanvaller).
Ik zou zeker niet een VPN gebruiken die niet in eigen beheer is.
Je weet niet met welk TLS certificaat je verbinding maakt (dat van de VPN? of werkt het niet zoals bij https waar een domeinnaam aan een IP adres gekoppeld wordt) en een STARTTLS zou kunnen zorgen voor een downgrade attack (ook heel handig voor een aanvaller).
Ik zou zeker niet een VPN gebruiken die niet in eigen beheer is.
Het gaat hier waarschijnlijk om een versleuteling van een tunnel tussen client en server.
Maar dit onderzoek laat nog niet alles zien als het gebaseerd is op een poortscan en banners. Veel onversleuteld verkeer ontstaat door scripts die dat niet gebruiken, bijvoorbeeld vanaf verzendende servers.
03-01-2025, 00:03 door
Anoniem
Door Anoniem: Met een VPN 'verberg' je het IP adres van de mailserver. Maar het is ook een heel handig punt voor een man-in-the-middle aanval omdat die midden tussen de mailserver en de gebruiker zit en alles langs ziet komen. Een bruteforce aanval is ook triviaal vanaf de VPN server, omdat die impliciet vertrouwd wordt.
Het gaat hier vrij duidelijk om een 'bedrijfs-VPN' als advies , om het ontbreken van encryptie tussen client en mailplatform op te lossen.
De VPN breakout staat in zo'n situatie ongeveer naast de IMAP server.
Het stukje netwerk tussen de VPN exit en de mailserver is dan volledig vertrouwd
Zo'n "internet vpn provider" gebruiken is gewoon totaal nutteloos als mitigation voor dit probleem.
Je weet niet met welk TLS certificaat je verbinding maakt (dat van de VPN? of werkt het niet zoals bij https waar een domeinnaam aan een IP adres gekoppeld wordt) en een STARTTLS zou kunnen zorgen voor een downgrade attack (ook heel handig voor een aanvaller).
Huh huh ?
Het is echt vrij duidelijk dat het advies hier een 'klassiek bedrijfsvpn' om client verkeer op een veilige manier naar 'binnen' te brengen tot aan de mailservers.
Ik zou zeker niet een VPN gebruiken die niet in eigen beheer is.
In elk geval niet zo'n "hide my IP" halve oplichterij VPN platform. nee.
03-01-2025, 09:15 door
Anoniem
Door Anoniem: Ik zou zeker niet een VPN gebruiken die niet in eigen beheer is.
Me dunkt dat ze hier de eigenlijke betekenis van Virtual Private Network bedoelen: een privénetwerk (waar de server staat) virtueel uitbreiden over een publieke netwerk met behoud van vertrouwelijkheid. Het zou nogal zinloos zijn om een server te beveiligen door hem voortaan via een VPN te benaderen terwijl hij ook direct toegankelijk blijft vanaf het internet, dus dat zullen ze echt niet bedoelen.VPN-providers die de techniek zijn gaan gebruiken om het publieke internet virtueel naar het publieke internet uit te breiden (leuk hoe zinloos dát klinkt ;-) ) hadden er eigenlijk een andere naam en afkorting dan VPN voor moeten kiezen, want wat ze doen is een proxy-dienst naar het internet bieden waar je als client verbinding mee legt via een versleutelde verbinding. Encrypted Proxy Service of iets dergelijks was daar wel een aardige kreet voor geweest. Maar goed, zo slim zijn ze niet geweest, met alle verwarring van dien over waar de kreet VPN eigenlijk voor staat.
03-01-2025, 09:22 door
Anoniem
Goh. En dan heb je TLS. Zolang je de boel met certificaten niet fatsoenlijk geregeld heb, is het ook niks waard.
Zolang de EUSSR zelf certificaten kan uitgeven is het niet fatsoenlijk geregeld.
Kortom: niks nieuws onder de zon.
Zolang de EUSSR zelf certificaten kan uitgeven is het niet fatsoenlijk geregeld.
Kortom: niks nieuws onder de zon.
03-01-2025, 10:08 door
_R0N_
Door Anoniem: Goh. En dan heb je TLS. Zolang je de boel met certificaten niet fatsoenlijk geregeld heb, is het ook niks waard.
Zolang de EUSSR zelf certificaten kan uitgeven is het niet fatsoenlijk geregeld.
Kortom: niks nieuws onder de zon.
Zolang de EUSSR zelf certificaten kan uitgeven is het niet fatsoenlijk geregeld.
Kortom: niks nieuws onder de zon.
Dit is dus het meest nutteloze commentaar vandaag.
Je kunt certificaten op meerdere manieren regelen. Als je het echt veilig zou willen maak je gebruik van je eigen CA en voeg je dat root certificaat toe op de clients.
Dus de uitgave van certificaten heb je dan zelf in de hand.
03-01-2025, 15:53 door
Anoniem
Door _R0N_:
Als je het echt veilig zou willen maak je gebruik van je eigen CA en voeg je dat root certificaat toe op de clients.
Het risico dat een andere entiteit alsnog ook een certificaat voor jou hostname kan uitgeven (en vervolgens kan gebruiken voor een MITM aanval) los je niet op door je keuze van CA.Als je het echt veilig zou willen maak je gebruik van je eigen CA en voeg je dat root certificaat toe op de clients.
Certificate of public key pinning is wat je zal moeten doen om je daar tegen te beschermen.
03-01-2025, 16:27 door
Anoniem
Door Anoniem: Huh huh ?
Het is echt vrij duidelijk dat het advies hier een 'klassiek bedrijfsvpn' om client verkeer op een veilige manier naar 'binnen' te brengen tot aan de mailservers.
Het is echt vrij duidelijk dat het advies hier een 'klassiek bedrijfsvpn' om client verkeer op een veilige manier naar 'binnen' te brengen tot aan de mailservers.
Dat noemden we vroeger geloof ik een Intranet. Maar VPN is ook goed. Is duidelijk nu.
Anoniem 19:59
03-01-2025, 17:26 door
Anoniem
Dat zal dan wel om onbelangrijke mail (status, log etc) gaan die iedereen mag lezen.
03-01-2025, 18:42 door
Anoniem
Door Anoniem:
Dat noemden we vroeger geloof ik een Intranet. Maar VPN is ook goed. Is duidelijk nu.
Door Anoniem: Huh huh ?
Het is echt vrij duidelijk dat het advies hier een 'klassiek bedrijfsvpn' om client verkeer op een veilige manier naar 'binnen' te brengen tot aan de mailservers.
Het is echt vrij duidelijk dat het advies hier een 'klassiek bedrijfsvpn' om client verkeer op een veilige manier naar 'binnen' te brengen tot aan de mailservers.
Dat noemden we vroeger geloof ik een Intranet. Maar VPN is ook goed. Is duidelijk nu.
Nee, een intranet is/was gewoon de term voor het interne , destijds typisch bedrade, netwerk, met interne webservers ,fileshares, printers etc .
"extranet" was dan de term voor intranet+ bedrijfs-vpn, trusted suppliers etc etc.
en "internet" - "de rest van de boze buitenwereld".
Gisteren, 04:21 door
Anoniem
Door Anoniem: Dat zal dan wel om onbelangrijke mail (status, log etc) gaan die iedereen mag lezen.
Tja, het gevolg is dat zulke "onbelangrijke mail" niet wordt aangenomen door een goed beveiligde server.
No TLS 1.2/1.3? No SMTP session for you!
Er zijn ook nog veel organisaties die zogenaamde restrictieve settings gebruiken gebaseerd op misverstanden van antieke NIST documenten. Vrijwel altijd TLS 1.2 en een zeer beperkte ondersteuning voor maar een klein aantal suites. Meestal oude security suites die nu ill advised zijn. NIST is sowieso een pendulum van slechte adviezen, voeg een laag no-brain complaincy artiesten toe en je hebt feest.
Gisteren, 14:39 door
Rubbertje
Maken de POP3/IMAP-services van Outlook (waarmee ik mijn hotmail.com en gmail.com e-mailadressen beheer op een Windows 11 pc) wel gebruik van TLS? Of moet ik dat zelf handmatig instellen? Dezelfde vraag geldt ook voor Outlook voor Android.
Gisteren, 17:44 door
Anoniem
Door Anoniem: Nee, een intranet is/was gewoon de term voor het interne , destijds typisch bedrade, netwerk, met interne webservers ,fileshares, printers etc .
"extranet" was dan de term voor intranet+ bedrijfs-vpn, trusted suppliers etc etc.
en "internet" - "de rest van de boze buitenwereld".
"extranet" was dan de term voor intranet+ bedrijfs-vpn, trusted suppliers etc etc.
en "internet" - "de rest van de boze buitenwereld".
Raar om het Internet niet het Extranet te noemen en het Intranet alle lokale IP adressen, maar Wikipedia geeft je gelijk.
Anoniem 19:59
Gisteren, 22:44 door
Anoniem
Door Rubbertje: Maken de POP3/IMAP-services van Outlook (waarmee ik mijn hotmail.com en gmail.com e-mailadressen beheer op een Windows 11 pc) wel gebruik van TLS? Of moet ik dat zelf handmatig instellen? Dezelfde vraag geldt ook voor Outlook voor Android.
Als je deze vraag stelt dan weet je volgens mij niet zo goed waar je mee bezig bent..
Vandaag, 01:26 door
Anoniem
Door Anoniem:
Raar om het Internet niet het Extranet te noemen en het Intranet alle lokale IP adressen, maar Wikipedia geeft je gelijk.
Anoniem 19:59
Door Anoniem: Nee, een intranet is/was gewoon de term voor het interne , destijds typisch bedrade, netwerk, met interne webservers ,fileshares, printers etc .
"extranet" was dan de term voor intranet+ bedrijfs-vpn, trusted suppliers etc etc.
en "internet" - "de rest van de boze buitenwereld".
"extranet" was dan de term voor intranet+ bedrijfs-vpn, trusted suppliers etc etc.
en "internet" - "de rest van de boze buitenwereld".
Raar om het Internet niet het Extranet te noemen en het Intranet alle lokale IP adressen, maar Wikipedia geeft je gelijk.
Anoniem 19:59
Historie.
Internet was er _eerst_ , in zekere zin. Een netwerk tussen netwerken -dus "inter" .
In de vroege historie bestond er geen "apart" INTRA net - bedrijfs (en vooral : universiteits) netwerken waren volledig deel van Internet met direct bereikbare IP adressen op alle workstations.
Of waren totaal NIET internet gekoppeld omdat ze een ander netwerk protocol (Appletalk, IPX, DecNET etc) gebruikten.
Dan was er alleen een mail gateway of zo iets.
private adressen (10.x,192.168.x,172.16) en NAT zijn later uitgevonden als schaling.
Het concept van een internet netwerk op basis van "het internet protocol" met "de internet services zoals http en lpd" is wat later uitgevonden - en dat werd dan INTRA net genoemd.
private adressen (10.x,192.168.x,172.16) en NAT zijn later uitgevonden als schaling.
Er waren nog intranetten die "gewoon iets van nummers pakten" . Een heel vervelende oeps als ze dan later een internet koppeling willen maken. Hele vieze nat-nat en dns rewriting trucs zijn daar nog voor gemaakt.
En dan werden die intra-netten ook gekoppeld met 'vertrouwde partijen' en moet de branche/marketing voor zo'n concept een naam verzinnen en kom je op de tegenstelling van intra - extra .
Als je met een leeg schoolbord logische namen voor alle concepten mag verzinnen kom je vast op iets anders uit.
Maar de concepten - en namen zijn evolutionair gegroeid.
Vandaag, 12:18 door
Anoniem
Door Anoniem: Het concept van een internet netwerk op basis van "het internet protocol" met "de internet services zoals http en lpd" is wat later uitgevonden - en dat werd dan INTRA net genoemd.
private adressen (10.x,192.168.x,172.16) en NAT zijn later uitgevonden als schaling.
private adressen (10.x,192.168.x,172.16) en NAT zijn later uitgevonden als schaling.
Klopt. Lokale adressen zijn uit Maart 1994 https://datatracker.ietf.org/doc/html/rfc1597. En de eerste browser was uit Januari 1993 https://nl.wikipedia.org/wiki/Mosaic_(browser).
Ik had gedacht dat lokale adressen veel ouder waren, maar die kwamen pas toen IPv4 vol liep. Daarvoor had ieder apparaat een eigen globaal IPv4 adres. Zoals het nu weer een beetje is met IPv6.
Anoniem 19:59
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.