KeyHelp Community

Wer es nicht mitbekommen haben sollte, es gibt (möglichst noch vor Weihnachten) was für Admins zu tun:

https://dnip.ch/2023/12/22/nicht-wirkli ... -festtage/

bzw.

https://www.heinlein-support.de/blog/sm ... chtsstress

bzw.

https://www.postfix.org/smtp-smuggling.html

Grob gesagt eine Sicherheitslücke, die es erlaubt Huckepack zu einer legitimen Mail Spam zu versenden. Eine der Optionen aus dem Beitrag (je nach Wahl) aus dem Beitrag von Heinlein sollte man denke ich setzen (das beseitigt das Problem wohl nicht völlig, aber ist zum derzeitigen Zeitpunkt das einzig Mögliche)

mhagge wrote: ↑Sat 23. Dec 2023, 11:58 Grob gesagt eine Sicherheitslücke, die es erlaubt Huckepack zu einer legitimen Mail Spam zu versenden. Eine der Optionen aus dem Beitrag (je nach Wahl) aus dem Beitrag von Heinlein sollte man denke ich setzen (das beseitigt das Problem wohl nicht völlig, aber ist zum derzeitigen Zeitpunkt das einzig Mögliche)

Danke für die Info!
mir sind auch vermehrte Spoofing Attacken aufgefallen, obwohl hier bereits reject_unauth_pipelining gesetzt ist:

Code: Select all

smtpd_data_restrictions = reject_multi_recipient_bounce, reject_unauth_pipelining

Ich werde nachher mal smtpd_forbid_unauth_pipelining testen und schauen ob es hierbei einen Unterschied macht ...
Das könnte mal wieder zu einem netten Blacklisting Gemetzel führen wenn ich da an Weiterleitungen zu Gmail & Co. denke ... freu

Ralph wrote: ↑Sat 23. Dec 2023, 12:56 ....obwohl hier bereits reject_unauth_pipelining gesetzt ist:
Code: Select all
smtpd_data_restrictions = reject_multi_recipient_bounce, reject_unauth_pipelining
Ich werde nachher mal smtpd_forbid_unauth_pipelining testen und schauen ob es hierbei einen Unterschied macht ...
Das könnte mal wieder zu einem netten Blacklisting Gemetzel führen wenn ich da an Weiterleitungen zu Gmail & Co. denke ... freu

Hallo Ralph... lass uns bitte wissen inwieweit es einen Unterschied macht....

Danke

Fezzi wrote: ↑Sat 23. Dec 2023, 15:10 Hallo Ralph... lass uns bitte wissen inwieweit es einen Unterschied macht....

Ich warte derweil noch auf Attacken, heute ist's relativ ruhig

Läuft aber alles ohne Macken (keine warnings o. errors) Roundcube und Thunderbird machen hier auch keine Probleme.
smtpd_forbid_unauth_pipelining kann ich nur mit Debian 12 verwenden bzw. ab Postfix v. 3.5.2,

Code: Select all

postconf mail_version

für alle Versionen darunter:

Code: Select all

smtpd_data_restrictions = reject_unauth_pipelining

und ab 3.5.2

Code: Select all

smtpd_forbid_unauth_pipelining = yes

Ab Postfix 3.5.2? Ok, 18>2 (Debian 11)

tab-kh wrote: ↑Sat 23. Dec 2023, 18:49 Ab Postfix 3.5.2? Ok, 18>2 (Debian 11)

Debian 11 zeigt bei mir 3.5.18 ist demnach nicht größer als 3.5.2x (3.5.1 / 3.5.2)

tab-kh wrote: ↑Sat 23. Dec 2023, 18:49 Ab Postfix 3.5.2? Ok, 18>2 (Debian 11)

Im Heinlein-Artikel steht ab 3.5.20, Ralph hat also vermutlich nur die 0 vergessen und damit stimmt sein "nur mit Debian 12".

Die Versionsnummern sind völlig egal, weil die Maintainer bugfixes backporten.

Man muss nicht auf Krampf eine bestimmte Versionsnummer ins System prügeln.

Und wie ich die Jungs von Debian kenne, gibt es Backports bevor ein Exchange Admin auch nur Update buchstabiert hat …

Ich verstehe gerade die Aufregung nicht wirklich...

Das ist doch 'nur' eine spezielle Variante einer SMTP Injection Attack...Eigentlich ist das schon ein alter Hut, siehe zB. diesen Artikel aus 2020 ->
https://vk9-sec.com/smtp-injection-attack/
https://web.archive.org/web/20231223205 ... on-attack/

Einfach in der main.cf nach den smtpd_client_restrictions:

Code: Select all

smtpd_data_restrictions = 
    reject_unauth_pipelining

einfügen, postfix neu starten und gut isses

KeyHelp Community

SMTP-Smuggling

SMTP-Smuggling

Re: SMTP-Smuggling

Re: SMTP-Smuggling

Re: SMTP-Smuggling

Re: SMTP-Smuggling

Re: SMTP-Smuggling

Re: SMTP-Smuggling

Re: SMTP-Smuggling

Re: SMTP-Smuggling