Sicherheitsluecke, spam Moeglichkeit in postfix/dovecot ?
Christoph P.U. Kukulies
kuku at kukulies.org
Di Okt 13 15:32:31 CEST 2015
Am 13.10.2015 um 13:17 schrieb "Jan Büren":
> Hi,
>> Hmm. Beunruhigend. Das wäre nicht das Unix useraccount passwort sondern
>> ein in sasl hinterlegtes für smtp?
>> Es könnte also auch jemand die MySQL Datenbank gehackt haben,oder?
> Ich glaub Du hast Peers Antwort nicht so ganz wahrgenommen.
Ja, es war ein bißchen so formuliert, als hätte sich jemand bei mir
interaktiv eingeloggt.
Mein SMTP-Server lehnt grundsätzlich relaying ab. Habe einen Test auf
http://www.mailradar.com/openrelay/
gemacht. Meine TB Verbindung geht über port 587, STARTTLS. Wie kann ich
feststellen, ob noch andere unverschlüsselte Verbindungen möglich sind?
Was mich aber wundert ist, daß ich nach Ändern meines Paßwortes und das
des anderen fraglichen Nutzers
das Leck noch nicht stopfen konnte und ich selbst hier gerade diese
Email von Thunderbird aus weiter verschicken konnte.
TB hätte doch meckern müssen.
Hier ist mein main.cf (postfix):
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no
append_dot_mydomain = no
readme_directory = no
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mydestination =
mailbox_size_limit = 51200000
message_size_limit = 51200000
recipient_delimiter =
inet_interfaces = all
myorigin = myserver.org
inet_protocols = all
##### TLS parameters ######
smtpd_tls_cert_file=/etc/postfix/ssl/mail.myserver.org.crt
smtpd_tls_key_file=/etc/postfix/ssl/mail.myserver.org.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
###### SASL Auth ######
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
###### Use Dovecot LMTP Service to deliver Mails to Dovecot ######
virtual_transport = lmtp:unix:private/dovecot-lmtp
##### Only allow mail transport if client is authenticated or in own
network (PHP Scripts, ...) ######
##### allow mail sending if Client is authenticated or in own network
(PHP scripts, ...) , block spam servers ######
##### smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated, reject_unauth_destination
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated, reject_unauth_destination, reject_rbl_client
zen.spamhaus.org
###### MySQL Connection ######
virtual_alias_maps = mysql:/etc/postfix/virtual/mysql-aliases.cf
virtual_mailbox_maps = mysql:/etc/postfix/virtual/mysql-maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/virtual/mysql-domains.cf
local_recipient_maps = $virtual_mailbox_maps
content_filter=smtp-amavis:[127.0.0.1]:10024
> Wahrscheinlicherweise hat einfach jmd. dein E-Mail-Passwort "geklaut".
>
> Das er hier über das Aufbrechen der gesamten Hintergrund-Authentifizierung
> für sasl darangekommen ist, halte ich vom Szenario auch eher für
> unwahrscheinlich.
>
> Check mal, ob Dein Server unverschlüsselte POP/IMAP bzw. SMTP-Auth
> Verbindungen zulässt, dass wäre dann plausibler.
>
> Ob die Mailverbindungen transportverschlüsselt sind, würde ich einfach
> mittels telnet / openssl auf der Konsole durchführen.
>
>
> Als Sofortmassnahme würde ich allerdings das Passwort des Mailnutzers
> ändern - Somit kannst Du zumindestens im Nachhinein prüfen, ob jmd. 3.
> weiter (aber dann erfolglos) relayen möchte und od dieser 3. dann
> erfolgreich wieder das Passwort ausfindig machen kann.
>
> Gruß,
>
> Jan
>
>> Grüße
>> Christoph
>>
>>
>>
>
Grüße
Christoph
Mehr Informationen über die Mailingliste Dovecot