Sendmail: Mails ohne Berechtigung versenden

[Senekha]

Am Wochenende ist mir aufgefallen, das man über meine Mail-Server E-Mails ohne Anmeldung/Berechtigung versenden kann. (Ideal für Spammer)

Bis jetzt ist es mir noch nicht gelungen, das zu unterbinden.

Kann mir jemanden einen Tip geben wir ich Sendmail o. Postfix einrichten kann, damit nur noch bekannte User mit Anmeldung ihre Mails versenden können, so das diese Sicherheits-Lücke geschlossen wir.

In den Tutorials die ich bis jetzt gefunden habe, stand nur viel "Blah" aber kein brauchbaren Lösungen für das Problem.

System:
Redhat 9
Sendmail version 8.12.8, config V10/Berkeley
Postfix version 1.1.11

 

[Thorsten]

Hallo Senekha,

In den Tutorials die ich bis jetzt gefunden habe, stand nur viel "Blah" aber kein brauchbaren Lösungen für das Problem.

für Sendmail

define(`confAUTH_OPTIONS', `A')dnl
dnlTRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
dnldefine(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl

Rest dürfte ja kein Problem sein

mfG
Thorsten

 

[Senekha]

Thanx Thorsten

Die Zeilen hatte ich so ähnlich in der sendmail.mc und habe sie deinem Vorschlag angepaßt.
Leider hat sich nichts geändert. Der Mail-Server steht immer noch offen.

Protokol > Maillog
Feb 5 16:37:03 150222 sendmail[24291]: i15Fb1D1024291: from=<test@domain.de>, size=1190, class=0, nrcpts=1, msgid=<006e01c3ebfe$299f4470$1800a8c0@klevereheulvve>, proto=SMTP, relay=pD9FF55C1.dip.t-dialin.net [217.255.85.193]
Feb 5 16:37:05 150222 sendmail[25892]: i15Fb1D1024291: to=<kontakt@domain.de>, ctladdr=<test@domain.de> (0/0), delay=00:00:03, xdelay=00:00:01, mailer=local, pri=31416, dsn=2.0.0, stat=Sent

Protokol > messages
Feb 5 16:37:00 150222 xinetd[8739]: START: smtp pid=24291 from=217.255.85.193

Anscheinend wird die Prüfung des Logins gar nicht durchgeführt, so das jeder auf den SMTP zugreifen kann.

 

[tim]

Gleiches Problem

Hallo Senekha,

das gleiche Problem hatte ich auch.
Die drei Zeilen in der sendmail.mc sollten eigentlich ausreichen.
Ich habe allerdings bei mir noch die Zeile

HACK('popauth')dnl

durch

dnl HACK('popauth')dnl

deaktiviert. Durch diese Zeile war es möglich sich über POP3 zu authentifizieren und der SMTP-Zugang stand dann für den gleichen Account offen. Dieser Hack war ursprünglich mal für Mail-Clients, die keine Authentifizierung für SMTP hatten (z.B. ältere Outlook Express-Versionen).

Man merkt nicht sofort, dass die Authentifizierung dadurch schon vollzogen ist.

Eine weitere Sicherheitsmaßnahme ist auch die Zeile
FEATURE('delay_checks')dnl
Nähere Infos dazu findest Du unter
http://www.sendmail.org/~ca/email/chk-810.html oder
http://www.spandrel.com/writing/sendmail/spamcontrolin8dot10.html


Die sendmail.mc muss natürlich noch in die sendmail.cf übersetzt werden.
Das kann man mit dem Befehl

m4 sendmail.mc > sendmail.cf

erreichen. Nach einem Neustart von sendmail (falls nicht vom inetd oder xinetd gesteuert), sollte es jetzt klappen.

Gruß
Tim

 

[Huschi]

Dieser Hack war ursprünglich mal für Mail-Clients, die keine Authentifizierung für SMTP hatten (z.B. ältere Outlook Express-Versionen).

Nur um die Computergeschichte nicht durcheinander zu bringen:
SMTP-after-POP stammt aus der Zeit, als es noch keine Authentifizierung über das SMTP-Protokoll gab. Damals waren alle SMTP-Server automatisch auch SMTP-Relays, was (damals) im Sinne von SMTP auch vollkommen korrekt war.

Und wie der Parameter schon sagt, handelt es sich um einen Hack. Denn man brauchte einen ge-patch-ten (!) POP-Server und einen gepatchten sendmail, da beide Server dieses Zusammenspiel nicht von Hause aus konnten.

(Fertig mit Klugscheiß )

huschi.

 

[tim]

Das ist vollkommen korrekt was Du schreibst. Ich versuche es nur so zu erklären, dass es auch jeder versteht. Ob die Aussage jetzt 100%ig korrekt ist, ist eigentlich nebensächlich. Ich denke, nicht jeder weiss, dass SMTP ein Protokoll ist, und vorallem was überhaupt ein Protokoll ist. Und was ein SMTP-Relay ist, weiss wahrscheinlich auch nicht jeder.



tim