Postfix - Schutz vor SMTP-Enumeration

S

setVar

New Member
Hallo zusammen,

mein Postfix lässt leider SMTP-Enumerations zu.
Ich habe bereits nach Restrictions gesucht, die generell ein Verbindungsaufbau über HELO rejecten, da nur EHLO benötigt wird - aber leider wurde ich nicht fündig.


Für eine Lösung wäre ich sehr dankbar!


Viele Grüße
 
Joe User said:
Click to expand...
Hi, vielen Dank für die Hilfe.
das Problem ist, dass ich nicht über VRFY enumeriere, sondern lediglich mittels "RCPT TO".
Ich habe disable_vrfy_command jetzt trotzdem mit reingenommen, weil es sinnvoll ist - danke dafür.

Code: 
220 ubuntu.home.arpa ESMTP Postfix (Ubuntu)
HELO ubuntu.home.arpa
250 ubuntu.home.arpa
MAIL FROM:<bla@bla.de>
250 2.1.0 Ok
RCPT TO:<kjh@ubuntu.home.arpa>
550 5.1.1 <kjh@ubuntu.home.arpa>: Recipient address rejected: User unknown
rcpt to:<root>
250 2.1.5 Ok

Edit:
Ich bin mittlerweile einen Schritt weiter:

Code: 
220 ubuntu.home.arpa ESMTP Postfix (Ubuntu)
HELO ubuntu.home.arpa
250 ubuntu.home.arpa
MAIL FROM:<egal@egalegal.de>
250 2.1.0 Ok
RCPT TO:<root>
554 5.7.1 <root>: Recipient address rejected: Access denied

An die
smtpd_recipient_restrictions=reject_sender_login_mismatch, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject
habe ich einfach ein "reject" angefügt.

Ich glaube, das ist des Rätsels Lösung.
Der Mail-Versand funktioniert jetzt zwar nicht mehr, aber mit Lookuptables sollte das wieder in den Griff zu bekommen sein.
 
Last edited:
setVar said:
sondern lediglich mittels "RCPT TO".
Click to expand...
setVar said:
An die
smtpd_recipient_restrictions=reject_sender_login_mismatch, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject
habe ich einfach ein "reject" angefügt.
Click to expand...
Wenn man keine Mails mehr empfangen möchte, kann man es so machen...


Welcher Vollpfosten hat Dir denn den Floh ins Ohr gesetzt, dass "RCPT TO" böse wäre? Derjenige und auch Du sollte sich mal mit SMTP auseinandersetzen...
 
Joe User said:
Wenn man keine Mails mehr empfangen möchte, kann man es so machen...


Welcher Vollpfosten hat Dir denn den Floh ins Ohr gesetzt, dass "RCPT TO" böse wäre? Derjenige und auch Du sollte sich mal mit SMTP auseinandersetzen...
Click to expand...

Dieser Vollpfosten hier:

Auswahl_164.png



Dieser Auxilliary arbeitet nach SMTP.
Jedesmal, wenn dieser auf einen falschen User im RCPT TO stößt, weiß dieser auxiliarry, dass der Nutzer nicht existiert. Dieselbe Logik funktioniert auch umgekehrt.

Beispiel:
Code: 
Jan  6 17:59:05 ubuntu postfix/smtpd[28457]: NOQUEUE: reject: RCPT from unknown[192.168.0.10]: 550 5.1.1 <auditor@ubuntu.home.arpa>: Recipient address rejected: User unknown; from=<root@ubuntu.home.arpa> to=<auditor@ubuntu.home.arpa> proto=SMTP helo=<localhost>
 
Weia...
Dir ist klar, dass "RCPT TO" ein elementarer Bestandteil des Mail-Empfangs ist und nicht deaktiviert werden kann?
Das kannst du nicht abschalten - und falls doch, ist das in etwa so, als würdest du alle GET-Anfragen an einen Webserver verbieten, weil da hin und wieder ein Bad Bot vorbeischaut.
 
Lord Gurke said:
Weia...
Dir ist klar, dass "RCPT TO" ein elementarer Bestandteil des Mail-Empfangs ist und nicht deaktiviert werden kann?
Das kannst du nicht abschalten - und falls doch, ist das in etwa so, als würdest du alle GET-Anfragen an einen Webserver verbieten, weil da hin und wieder ein Bad Bot vorbeischaut.
Click to expand...
Naja, ich kann das Problem halt über Lookuptables lösen, indem ich festlege, welche Domains berechtigt sind, E-Mails an meine Server zu versenden.
Das ginge zwar auch über den Parameter mynetwork aber ohne Lookuptable würde die main.cf dann unübersichtlich werden.

So stelle ich also sicher, dass nicht jeder x-beliebige User irgendwelche SMTP-Enumerations fährt - wenn überhaupt nur über einen Server meines Vertrauens --> Damit wäre das Risiko also eingeschränkt.
 
So kannst du aber auch nur Mails von diesen Servern deines Vertrauens empfangen. Du lehnst aktuell alle Mails ab, die nicht in mynetworks stehen oder sich per SASL authentisiert sind. Das sind die beiden einzige Regel, die überhaupt was erlauben, alles andere wird durch dein reject abgelehnt.
 
danton said:
So kannst du aber auch nur Mails von diesen Servern deines Vertrauens empfangen. Du lehnst aktuell alle Mails ab, die nicht in mynetworks stehen oder sich per SASL authentisiert sind. Das sind die beiden einzige Regel, die überhaupt was erlauben, alles andere wird durch dein reject abgelehnt.
Click to expand...
Das ist korrekt.
 
Dir ist klar, dass das ein gravierender Verstoss gegen gültige RFC aka Internetstandard ist?
Blacklists lassen grüssen, dann kannste auch mit Deinen "vertrauenswürdigen" Mailservern mehr kommunizieren...


Wenn Kiddies Tools für Erwachsene verwenden und entsprechend keinerlei Ahnung haben, was sie da tun...
 
Joe User said:
Dir ist klar, dass das ein gravierender Verstoss gegen gültige RFC aka Internetstandard ist?
Blacklists lassen grüssen, dann kannste auch mit Deinen "vertrauenswürdigen" Mailservern mehr kommunizieren...


Wenn Kiddies Tools für Erwachsene verwenden und entsprechend keinerlei Ahnung haben, was sie da tun...
Click to expand...
Hallo,
vielen Dank für deine Hilfe.

Geblacklisted wird man erst, wenn man als Backscatter agiert.
Ich werde jedoch keine Rejects per Mail versenden, sobald eine Verbindung von einem Server ausgehend nicht zugelassen wird, nur weil dieser nicht in meinen Lookuptables geführt wird.


Viele Grüße Herr Provokateur :)

P.S. (Offtopic) Ein Tip von mir: Immer schön sachlich bleiben. Das macht man nicht nur in den Wissenschaften so (Ich habe ein Informatikstuidum hinter mir), sondern sollte man auch generell beruflich so angehen. Hat auch etwas mit Seriosität zu tun. Neueste Forschungen zeigen, dass Menschen, die besonders ausgefallen reagieren, dass diese fachlich nicht die besten sind.
 
Last edited:
Auf http://rfc-clueless.org/ und anderen derartigen Blacklists landet man nicht wegen Backscatter oder einfachen Spam...
Desweiteren haben seit AOL-Mail nahezu alle Mailprovider weltweit interne Black/Whitelists um nicht-RFC-konforme Mailsysteme zu blocken oder gesondert zu behandeln. Aber soetwas lernt man halt nicht im völlig überbewerteten IT-Studium, ebensowenig wie das Lesen und Verstehen von RFC und Dokumentationen.

Nur weil ich provokant schreibe, heisst es nicht, dass ich unrecht habe...


Ich bin raus, denn meine fast 25 jährige Erfahrung kann mit Deinem 3,5 jährigem IT-Studium absolut nicht mithalten...
 
Was eins gerade mal raus bekommt mit Nmap + Skript smtp-enum-users, dass es root gibt. Das ist kaum problematisch.
Wenn der Server noch mehr liefert, ist die Standardkonfiguration ziemlich schlampig vom Postfix-Maintainer gemacht.
 
You must log in or register to reply here.
Back
Top