Diagnosetool oder Spyware: So nutzt man Wireshark

Manch andere Firewallprobleme lassen sich auch mit einem Sniffer nur sehr schwer feststellen. Dazu zählt das inzwischen gelöste Problem des Postfix-Mailers mit der PIX-Firewall von Cisco. Das SMTP-Protokoll schreibt vor, dass das Ende einer Mail dadurch zu kennzeichnen ist, dass eine Zeile genau einen Punkt enthält. Somit wird das Ende einer Mail durch die Bytesequenz <cr><lf>.<cr><lf> bestimmt.

Cisco stellte seinerzeit fest, dass alle gängigen Mailer das erste <cr><lf> zusammen mit dem Ende der Mail in ein TCP-Paket packen. Im nächsten TCP-Paket folgte .<cr><lf>. Die meisten Spamprogramme hingegen verwenden nicht zwangsweise ein neues TCP-Paket. Beide Methoden sind eine völlig korrekte Implementierung des SMTP-Standards. Die Macher der PIX-Firewall glaubten nun, eine Methode zur Spamerkennung gefunden zu haben.

Allerdings verhält sich Postfix so wie die Spamprogramme. Das ist nicht nur standardkonform, sondern sogar sinnvoll, denn alle anderen Mailer benötigen für nur drei Nutzlastbytes ein komplettes TCP-Paket. Die PIX-Firewalls in den Versionen 5.2 und 6.0 erkennen Postfix-Mailer hingegen als Spamversender und filtern die Pakete.

Um derartige Probleme zu erkennen, gehört einiges an manueller Detektivarbeit dazu. Betrachtet man nur den TCP-Strom, dann sieht das Protokoll einer SMTP-Verbindung mit Postfix genauso aus wie mit einem anderen Mailer, beispielsweise Exim oder Sendmail. Den Unterschied sieht man nur, wenn man die TCP-Pakete einzeln betrachtet.

Probleme, wie sie aus der Kombination aus Postfix und PIX resultieren, sind zwar recht selten, sollten sie jedoch auftreten, sind sie schwer auszumachen und auszumerzen. Dass Pakete nicht durchgelassen werden, die es eigentlich sollten, kommt heutzutage allerdings immer wieder vor, da moderne Betriebssysteme standardmäßig mit einer aktivierten Firewall installiert werden.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

1 Tag ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

1 Tag ago

Erste Entwickler-Preview von Android 16 verfügbar

Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…

1 Tag ago

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.

2 Tagen ago

Digitale Produkte „cyberfit“ machen

Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.

2 Tagen ago