Sicherheitsluecke, spam Moeglichkeit in postfix/dovecot ?

Patrick Ben Koetter p at sys4.de
Di Okt 13 14:42:20 CEST 2015 

* Christoph P.U. Kukulies <dovecot at listen.jpberlin.de>:
> Am 13.10.2015 um 12:30 schrieb Peer Heinlein:
> >Am 13.10.2015 um 09:48 schrieb Christoph P.U. Kukulies:
> >
> >>Oct 11 14:18:29 myserver postfix/smtpd[28438]: 72A291AC2BB:
> >>client=unknown[183.88.25.99], sasl_method=PLAIN,
> >>sasl_username=kuku at myserver.org
> >>Frage mich jetzt, ob es ein relaying gab oder mein System u.U. gehackt
> >>wurde.
> >Jemand hat sich als kuku at myserver.org eingeloggt und hat dementsprechend
> >Mails versenden dürfen.
> >
> >Works as expected.
> >
> >Es gibt keinen Grund irgendwie anzunehmen, daß es ein Problem in der
> >Software hab und/oder der Server gehackt wurde.
> >
> >Du kannst natürlich darüber nachdenken, warum $jemand in Besitz des
> >Passwortes von kuku at myserver.org war. Das nennt man dann in der Regel
> >"doofes Passwort", "Phishing" oder "infizierter Windows-PC. Das hat aber
> >mit dem Server nichts zu tun.
> >
> >Peer
> >
> 
> Hmm. Beunruhigend. Das wäre nicht das Unix useraccount passwort
> sondern ein in sasl hinterlegtes für smtp?
> Es könnte also auch jemand die MySQL Datenbank gehackt haben,oder?

Ja, das ist möglich. Aber frag Dich bitte mal, *wie* wahrscheinlich das ist.
Es ist heutzutage viel einfacher und kostengünstiger, das Smartphone mit einer
Malware (lies: Kostenlose suppergummigeile App) zu infizieren und Credentials
auf diese Weise, am Mailprogramm vorbei, abzugreifen.

Ändere erst mal das Kennwort für den Mailuser und achte darauf, dass es eine
brauchbare Schaffenshöhe hat. Dann schlaf eine Nacht drüber und dann beobachte
das Log.

In der Zwischenzeit kannst Du mal Belege sammeln, die in Zusammenhang mit dem
Abuse stehen. Dann musst Du nicht spekulieren, sondern kannst Du auf Basis von
Datenlage interpretieren.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste Dovecot