E-Mail-Security: Die Sicherheitsprobleme von IMAP
Auch wenn Zugriffe via Webschnittstelle auf Mail-Server zunehmen, bleibt das IMAP-Protokoll eine der wichtigsten Säulen der Kommunikation. Es hat jedoch gefährliche Lücken.
Das Internet Message Access Protocol (IMAP) wurde bereits in den 1980ern spezifiziert. Es ermöglicht Anwendern, Nachrichten zu lesen und zu verwalten, die auf einem entfernten Mail-Server gespeichert sind. Die Bedeutung von IMAP hat in den vergangenen Jahren jedoch nachgelassen, weil viele Unternehmen und Anwender mittlerweile eher Webmail-Dienste nutzen, um ihre Mail-Verzeichnisse und Nachrichten zu verwalten.
Trotzdem ist das Protokoll immer noch häufig auf Mail-Servern anzutreffen, allerdings liegen diese meist geschützt hinter Firewalls und Gateways. Das Thema bleibt aber weiterhin für viele Unternehmen relevant, da sie sich auch in Zukunft um die Sicherheit ihrer IMAP-Verbindungen kümmern müssen.
Die Sicherheit von IMAP ist Aufgabe der Nutzer selbst. Diesen Punkt hat das Protokoll mit vielen anderen Spezifikationen und Techniken für Internetanwendungen gemeinsam, die entstanden sind als das Internet noch weitgehend eine akademische Veranstaltung war, die vor allem der Forschung dienen sollte. Genau wie bei vielen anderen Protokollen aus dieser Zeit ermöglicht eine IMAP-Standardinstallation, dass sich ein Anwender ohne Einsatz von Verschlüsselung gegenüber dem Server authentifizieren darf. Aus Sicherheitssicht ist das natürlich ein Albtraum.
Die meisten Sicherheitsprobleme bei der Nutzung von IMAP wurden aber zum Glück in den Jahrzehnten behoben, nachdem die ersten Spezifikationen vorgestellt wurden. Das ändert aber nichts daran, dass IMAP ein schwieriges Umfeld bleibt, weil die Technik so weit verbreitet ist und sich in vielen unterschiedlichen Umgebungen und als Teil unterschiedlichster Plattformen findet.
Sicherheitsprobleme beim Einsatz von IMAP
Das größte Sicherheitsrisiko beim Einsatz von IMAP ist, wie bereits erwähnt, dass es ursprünglich entwickelt wurde, um Anmeldungen ohne Verschlüsselung zu akzeptieren. Das ist aber bei weitem nicht das einzige Problem. Für IT-Sicherheitsspezialisten stellt dieser Punkt jedoch die größte Herausforderung dar, um die sie sich beim Einsatz von IMAP kümmern müssen.
Eine weitere Schwachstelle bei IMAP ist die mangelnde Unterstützung für eine sichere Authentifizierung, wie sie etwa Zwei-Faktor-Authentifizierungen (2FA) ermöglichen. Das trifft insbesondere dann zu, wenn Anwender sich mit Mail-Clients bei IMAP-Diensten anmelden wollen, die auf Servern in der Cloud untergebracht sind.
Ein aktuelles Beispiel waren die kürzlich durchgeführten Password-Spraying-Angriffe gegen Office 365: Der Microsoft-Dienst kann zwar so eingerichtet werden, dass bei der Anmeldung ein zweiter Faktor benötigt wird, um die Anwender zu authentifizieren. Das lässt sich aber umgehen, indem ein Mail-Client genutzt wird, der via IMAP auf Office 365 zugreift.
Sicherheitsspezialisten sind die Gefahren seit langem bekannt, wenn Logins ohne Verschlüsselung erlaubt bleiben. Eine der wichtigsten Konfigurationsänderungen bei der Einrichtung eines IMAP-Servers ist deswegen die Aktivierung des TLS-Protokolls (Transport Layer Security). Es gibt aber weiterhin keine Möglichkeit, um eine Multifaktor-Authentifizierung in das IMAP-Protokoll zu integrieren.
Dazu kommt, dass viele IMAP-fähige Mail-Lösungen keine Möglichkeit bieten, vielfach hintereinander durchgeführte Login-Versuche zu unterbinden. Angreifer versuchen damit per Brute-Force-Methode, sich mit zum Beispiel einem Office-365-Konto zu verbinden.
Das größte Problem beim Einsatz von IMAP, das Übertragen von Login-Daten und Nachrichten im Klartext, wurde mittlerweile immerhin durch den forcierten Einsatz von TLS weitgehend behoben. Das IMAP over TLS-Protokoll, das in RFC 8314 beschrieben wird, legt fest, dass auch alle älteren Protokolle wie SMTP und POP standardmäßig TLS nutzen sollen, um damit alle Verbindungen der Anwender zu verschlüsseln. Wenn das nicht geht, sollte zumindest eine etwas schwächere Verschlüsselung mit Hilfe des StartTLS-Protokolls eingeführt werden. TLS alleine kann aber nicht verhindern, dass Angreifer Attacken via Password Spraying durchführen.
Verschärfen der IMAP-Sicherheitsmaßnahmen
Der erste Schritt bei der Absicherung einer IMAP-Umgebung ist, sich erst einmal klar zu machen, dass es überhaupt Sicherheitsprobleme gibt. Der Schutz gefährdeter Systeme setzt dann voraus, dass alle Punkte identifiziert werden, an denen unsichere Protokolle verwendet werden. Im nächsten Schritt müssen alle diese Protokolle geschützt werden, indem sie so konfiguriert werden, dass entweder StartTLS oder IMAP over TLS zwingend vorgeschrieben werden.
Der ursprünglich verwendete Port für IMAP-Verbindungen ist 143, wenn es um Anfragen der Clients geht. IMAP over TLS verwendet dagegen Port 993. Ein Konfigurieren aller Clients und Server, so dass sie nur noch Port 993 nutzen, kann dabei helfen, nicht verschlüsselte Verbindungen zu verhindern. Darüber hinaus können die Firewalls und andere Gateway-Systeme so eingerichtet werden, dass sie keine Verbindungsversuche über Port 143 mehr zulassen.
Andere Möglichkeiten, um IMAP abzusichern, setzen auf die verschiedenen Methoden, über die Kontakt mit einem IMAP-Server aufgenommen werden kann. Ein paar Beispiele:
- Verwenden Sie sorgsam konfigurierte Firewall-Regeln, um einen Remote-Zugriff auf Ihre IMAP-Server zu blockieren.
- Aktivieren Sie eine Multifaktor-Authentifizierung, insbesondere wenn es um Zugriffe aus der Ferne geht.
- Setzen Sie auf das Zero-Trust-Modell, um zu verhindern, dass Anwender ohne eine Multi-Faktor-Authentifizierung auf IMAP-Dienste zugreifen können.
- Richten Sie Ihre E-Mail-Dienste so ein, dass keine nicht authentifizierten Zugriffe aus der Ferne mehr erfolgen können.
- Im Extremfall können Sie auch den kompletten Zugriff durch Endanwender auf Ihre Legacy-Mail-Dienste deaktivieren und damit erzwingen, dass auf die Mail-Server nur noch via HTTPS zugegriffen werden darf.
In vielen Fällen ist es aber nicht empfehlenswert, gleich alle früheren Protokolle komplett zu deaktivieren. Aber immerhin ist es möglich, die Zugriffe auf sie erheblich besser abzusichern und die häufigsten Schwachstellen zu schließen, über die Angreifer Schaden anrichten können.