Ich habe Mails mit seltsamen Zeichenketten im Header erhalten, die etwa mit =?utf-8?B? beginnen und eine Menge Kauderwelsch enthalten. Was hat das zu bedeuten?
In einer verdächtigen E-Mail sind mir Header mit seltsamen Werten aufgefallen. Sie enthalten kryptische Zeichenketten, die zum Beispiel mit =?utf-8?B? beginnen und mit ?= enden. Dazwischen befindet sich eine Menge Kauderwelsch. Ist das gefährlich?
Vermutlich nicht. Bei den Zeichenketten handelt es sich um die "encoded word"-Syntax, die in RFC2047 spezifiziert ist. Die Syntax dient dazu, verschiedene Zeichensätze zu nutzen (etwa UTF-8 beziehungsweise Unicode), obwohl E-Mail-Header an sich nur druckbare ASCII-Zeichen enthalten dürfen. Zwischen den ersten beiden Fragezeichen steht der kodierte Zeichensatz und zwischen dem zweiten und dritten Fragezeichen die Art der Kodierung: "B" für Base64-kodierte Daten und "Q" für eine besser lesbare Kodierung, die dem Quoted-Printable-Standard ähnelt. Danach folgen die kodierten Zeichen.
Wozu so ein Encoded Word genutzt wird, hängt vom konkreten Fall und Header ab. Wichtig sind sie zum Beispiel, um Mails mit einem fremdsprachigen Betreff zu verfassen, besonders in Sprachen, die keine lateinischen Buchstaben verwenden. Der Text "你好 Test" wird Beispielsweise als =?UTF-8?Q?=E4=BD=A0=E5=A5=BD?= Test oder =?UTF-8?B?5L2g5aW9IFRlc3Q=?= kodiert. Auch Emojis können als Encoded Words im Betreff von E-Mails verwendet werden.
Die Zeichenketten sind also harmlos. Ein kleines Restrisiko bleibt allerdings – wie so oft – bestehen: ASCII-Zeichen zu parsen ist relativ einfach, beim ungleich komplexeren Unicode kann deutlich mehr schiefgehen. Ein fehlerhafter Parser ließe sich aber vermutlich auch an vielen anderen Stellen ausnutzen, etwa im eigentlichen Mail-Inhalt. Der Schritt zurück zu reinen ASCII-Texten wäre allerdings ein sehr hoher Preis, und abstellen können Sie das Verhalten in den meisten Clients ohnehin nicht. (syt)
Quelle: c‘t
In einer verdächtigen E-Mail sind mir Header mit seltsamen Werten aufgefallen. Sie enthalten kryptische Zeichenketten, die zum Beispiel mit =?utf-8?B? beginnen und mit ?= enden. Dazwischen befindet sich eine Menge Kauderwelsch. Ist das gefährlich?
Vermutlich nicht. Bei den Zeichenketten handelt es sich um die "encoded word"-Syntax, die in RFC2047 spezifiziert ist. Die Syntax dient dazu, verschiedene Zeichensätze zu nutzen (etwa UTF-8 beziehungsweise Unicode), obwohl E-Mail-Header an sich nur druckbare ASCII-Zeichen enthalten dürfen. Zwischen den ersten beiden Fragezeichen steht der kodierte Zeichensatz und zwischen dem zweiten und dritten Fragezeichen die Art der Kodierung: "B" für Base64-kodierte Daten und "Q" für eine besser lesbare Kodierung, die dem Quoted-Printable-Standard ähnelt. Danach folgen die kodierten Zeichen.
Wozu so ein Encoded Word genutzt wird, hängt vom konkreten Fall und Header ab. Wichtig sind sie zum Beispiel, um Mails mit einem fremdsprachigen Betreff zu verfassen, besonders in Sprachen, die keine lateinischen Buchstaben verwenden. Der Text "你好 Test" wird Beispielsweise als =?UTF-8?Q?=E4=BD=A0=E5=A5=BD?= Test oder =?UTF-8?B?5L2g5aW9IFRlc3Q=?= kodiert. Auch Emojis können als Encoded Words im Betreff von E-Mails verwendet werden.
Die Zeichenketten sind also harmlos. Ein kleines Restrisiko bleibt allerdings – wie so oft – bestehen: ASCII-Zeichen zu parsen ist relativ einfach, beim ungleich komplexeren Unicode kann deutlich mehr schiefgehen. Ein fehlerhafter Parser ließe sich aber vermutlich auch an vielen anderen Stellen ausnutzen, etwa im eigentlichen Mail-Inhalt. Der Schritt zurück zu reinen ASCII-Texten wäre allerdings ein sehr hoher Preis, und abstellen können Sie das Verhalten in den meisten Clients ohnehin nicht. (syt)
Quelle: c‘t
