Sicherheitsluecke, spam Moeglichkeit in postfix/dovecot ?

Patrick Ben Koetter p at sys4.de
Mi Okt 14 09:25:14 CEST 2015 

* Christoph P.U. Kukulies <dovecot at listen.jpberlin.de>:
> Noch um diesen Thread zu benutzen: was bedeutet diese Anfrage (der
> gecryptete String nach dem PLAIN):
> 
> Oct 13 16:57:08 mydomain postfix/smtpd[5531]: <
> unknown[180.93.0.252]: AUTH PLAIN
> a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
> Oct 13 16:57:08 mydomain postfix/smtpd[5531]:
> xsasl_dovecot_server_first: sasl_method PLAIN, init_response
> a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==

$ gen-auth decode a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
kuku at kykulies.orgha�mondb3


> Dem folgt dann
> 
> Oct 13 16:57:08 mydomain postfix/smtpd[5531]:
> xsasl_dovecot_server_first: sasl_method PLAIN, init_response
> a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==


$ gen-auth decode a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
kuku at kykulies.orgha�mondb3




> Oct 13 16:57:14 kukulies postfix/smtpd[5531]:
> xsasl_dovecot_handle_reply: auth reply: FAIL?3?user=xxxxxxxxx
> 
> 
> xxxxxxxxxx ist in dem Falle das (wie auch immer) gefischte Password,
> was hier aber als Username erscheint bzw. versucht wurde.
> Entspricht der gecryptete String etwa dem, was hinter user= steht?

Feiner, aber wichtiger Unterschied:

Der String ist nicht gecryptet, sondern "nur" encoded.
Er ist encoded, damit er 7bit safe durch das Netz gesendet werden kann.

Nun zur Bedeutung:

Mit der Veröffentlichung dieses Strings besitzen nicht nur
Derjenige/Diejenige, die Dein Mailsystem missbraucht haben, das Kennwort des
User kuku at kykulies.org, sondern auch alle Leute auf dieser Mailingliste, alle
Suchmaschinen, die diese ML crawlen etc. pp.

Es bedeutet, Du solltest es schleunigst ändern, damit es nicht weiter
exploitet wird.

Ein brauchbares Kennwort erhältst Du z.B. mit folgendem Kommando:

$ pwgen -snB 12

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste Dovecot