Sicherheitsluecke, spam Moeglichkeit in postfix/dovecot ?

Christoph Kukulies kuku at kukulies.org
Mi Okt 14 09:43:59 CEST 2015


Ich hatte den String schon vorm Posten an einigen Stellen geändert, 
wußte aber nicht, daß die Encodierung
gar keine kryptische ist sondern nur base64.

Geändert war das ja schon zu dem Zeitpunkt.

Frage mich aber auch noch, warum das Paßwort hinter user= erscheint (was 
ich unten mit xxxxxxx) bezeichnet habe.

Das erscheint dann so im Klartext im Log.

Gut, man könnte sagen, der mail.log ist sowieso nicht von außen 
einsehbar und mail.log istauch innerhalb des Servers
nicht für alle lesbar. Aber warum steht da user=xxxxxxxxx ?


Am 14.10.2015 um 09:25 schrieb Patrick Ben Koetter:
> * Christoph P.U. Kukulies <dovecot at listen.jpberlin.de>:
>> Noch um diesen Thread zu benutzen: was bedeutet diese Anfrage (der
>> gecryptete String nach dem PLAIN):
>>
>> Oct 13 16:57:08 mydomain postfix/smtpd[5531]: <
>> unknown[180.93.0.252]: AUTH PLAIN
>> a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
>> Oct 13 16:57:08 mydomain postfix/smtpd[5531]:
>> xsasl_dovecot_server_first: sasl_method PLAIN, init_response
>> a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
> $ gen-auth decode a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
> kuku at kykulies.orgha�mondb3
>
>
>> Dem folgt dann
>>
>> Oct 13 16:57:08 mydomain postfix/smtpd[5531]:
>> xsasl_dovecot_server_first: sasl_method PLAIN, init_response
>> a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
>
> $ gen-auth decode a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
> kuku at kykulies.orgha�mondb3
>
>
>
>
>> Oct 13 16:57:14 kukulies postfix/smtpd[5531]:
>> xsasl_dovecot_handle_reply: auth reply: FAIL?3?user=xxxxxxxxx
>>
>>
>> xxxxxxxxxx ist in dem Falle das (wie auch immer) gefischte Password,
>> was hier aber als Username erscheint bzw. versucht wurde.
>> Entspricht der gecryptete String etwa dem, was hinter user= steht?
> Feiner, aber wichtiger Unterschied:
>
> Der String ist nicht gecryptet, sondern "nur" encoded.
> Er ist encoded, damit er 7bit safe durch das Netz gesendet werden kann.
>
> Nun zur Bedeutung:
>
> Mit der Veröffentlichung dieses Strings besitzen nicht nur
> Derjenige/Diejenige, die Dein Mailsystem missbraucht haben, das Kennwort des
> User kuku at kykulies.org, sondern auch alle Leute auf dieser Mailingliste, alle
> Suchmaschinen, die diese ML crawlen etc. pp.
>
> Es bedeutet, Du solltest es schleunigst ändern, damit es nicht weiter
> exploitet wird.
>
> Ein brauchbares Kennwort erhältst Du z.B. mit folgendem Kommando:
>
> $ pwgen -snB 12
>
> p at rick
>
--
Christoph



Mehr Informationen über die Mailingliste Dovecot