Tippfehler: Mails fürs US-Militär gingen an Mali-Domain
Ein fehlender Buchstabe ließ zig E-Mails für das US-Militär beim Betreiber der Top-Level-Domain von Mali landen. Dabei wäre das Problem leicht zu lösen gewesen.
Das US-Verteidigungsministerium muss sich einmal mehr wegen geleakter Informationen erklären. Erst im Februar war bekannt geworden, dass ein Mailserver des Ministeriums zwei Wochen lang ungeschützt über das Internet zu erreichen war. Dieses Mal geht es um E-Mails, die wegen einfacher Tippfehler beim Betreiber der Länderdomain für Mali, .ml, statt bei den eigentlichen Adressaten unter .mil eintrudeln. Die Endung .mil ist eine seit Beginn des DNS an das US-Militär vergebene eigene Top-Level-Domain.
Seit 10 Jahren betreibt der Niederländer Johannes Zuurbier mit seiner Firma Mali Dili die Domainendung .ml. Zuurbier betreibt auch andere TLDs wie die für die Südpazifik-Insel Tokelau (.tk). Ein solches Outsourcing des nationalen Top-Level-Domain-Betriebs ist gerade für Entwicklungsländer nicht unüblich.
Sensible Fehlläufer?
Zuurbier habe über einen längeren Zeitraum versucht, die US-Behörden über das Problem zu informieren, sagte er der Financial Times. Seit Anfang des Jahres habe er an die 117.000 fehlgeleitete Mitteilungen, manchmal 1000 am Tag, verzeichnet. Darunter seien auch Reisepläne von US-Militärangehörigen oder sensible Daten wie Steuererklärungen gewesen.
Die Zahl der hochsensiblen Daten, die so in falschen Händen landen, ist vermutlich überschaubar. Einerseits werden für eingestufte und Top-Secret-Informationen gesonderte Kanäle genutzt, berichtet die BBC unter Verweis auf US-Beamte. Zudem kann auch Verschlüsselung den Blick auf die Mail-Inhalte verhindern.
Trotzdem mahnte Zuurbier Anfang Juli nochmals ausdrücklich vor einem Abfluss von Daten. Weil sein Vertrag zum Betrieb der TLD jetzt ausläuft, schickte er laut FT einen letzten Brandbrief an die US-Regierung. Wer künftig die Mali-Domainendung betreibt, ist nicht bekannt. Weil Mali Russland nahe steht, könnte es einen Abnehmer geben, wird spekuliert.
Fehler auf beiden Seiten
Damit an .mil-Adressen gerichtete Nachrichten bei .ml abgefangen und ausgewertet werden können, müssen beide Seiten "mitspielen". Auf Seite der Top-Level-Domain ist es notwendig, per "Catch-All"-Einstellung alle Anfragen, auch die nach nicht existierenden Name-Servern beziehungsweise Mailservern abzufangen.
Solche Wild-Card-Konfigurationen werden gerne auch genutzt, um die Absender nicht zustellbarer Anfragen auf der eigenen Seite zu behalten, etwa aus Werbezwecken. Ob Zuurbier die Sammlung fehlgeleiteter .mil-Mails lediglich aus "erzieherischen Zwecken" angelegt hat, ist unklar. Der Vorwurf klassischen Typosquattings kann man Mali immerhin nicht machen. Denn die Länderdomains werden auf Basis des ISO-3166-a Standards automatisch erteilt.
Auf der anderen Seite müssen sich US-Behörden vorwerfen lassen, dass auf Seiten der Mailsender geschlampt worden ist. Eine Prüfung vor dem Mailversand, ob der entsprechende Mailserver existiert, ist eigentlich kein Problem, sagen Experten.
Eine Sprecherin des US-Verteidigungsministeriums erklärte im täglichen Briefing auf Nachfrage von Journalisten, dass Typos in Mailadressen einen Versand falsch adressierter Mails eigentlich unmöglich machen. Der Versand an .ml sei komplett geblockt, aber wann die Server des Verteidigungsministeriums umkonfiguriert wurden, konnte sie nicht sagen.
Außerdem habe das DoD natürlich keine Kontrolle, wenn Beamte, Militärangehörige oder Dritte über private Mailadressen Informationen an .mil-Adressen versenden. Man werde die aktuellen Berichte wohl zum Anlass nehmen, noch einmal auf die Vorschriften hinzuweisen.
(mki)