SMTP-Smuggling

[mhagge]

Wer es nicht mitbekommen haben sollte, es gibt (möglichst noch vor Weihnachten) was für Admins zu tun:

https://dnip.ch/2023/12/22/nicht-wirkli ... -festtage/

bzw.

https://www.heinlein-support.de/blog/sm ... chtsstress

bzw.

https://www.postfix.org/smtp-smuggling.html

Grob gesagt eine Sicherheitslücke, die es erlaubt Huckepack zu einer legitimen Mail Spam zu versenden. Eine der Optionen aus dem Beitrag (je nach Wahl) aus dem Beitrag von Heinlein sollte man denke ich setzen (das beseitigt das Problem wohl nicht völlig, aber ist zum derzeitigen Zeitpunkt das einzig Mögliche)

[Ralph]

Grob gesagt eine Sicherheitslücke, die es erlaubt Huckepack zu einer legitimen Mail Spam zu versenden. Eine der Optionen aus dem Beitrag (je nach Wahl) aus dem Beitrag von Heinlein sollte man denke ich setzen (das beseitigt das Problem wohl nicht völlig, aber ist zum derzeitigen Zeitpunkt das einzig Mögliche)

Danke für die Info!
mir sind auch vermehrte Spoofing Attacken aufgefallen, obwohl hier bereits reject_unauth_pipelining gesetzt ist:

Code: Select all

smtpd_data_restrictions = reject_multi_recipient_bounce, reject_unauth_pipelining

Ich werde nachher mal smtpd_forbid_unauth_pipelining testen und schauen ob es hierbei einen Unterschied macht ...
Das könnte mal wieder zu einem netten Blacklisting Gemetzel führen wenn ich da an Weiterleitungen zu Gmail & Co. denke ... freu

[Fezzi]

....obwohl hier bereits reject_unauth_pipelining gesetzt ist:

Code: Select all

smtpd_data_restrictions = reject_multi_recipient_bounce, reject_unauth_pipelining

Ich werde nachher mal smtpd_forbid_unauth_pipelining testen und schauen ob es hierbei einen Unterschied macht ...
Das könnte mal wieder zu einem netten Blacklisting Gemetzel führen wenn ich da an Weiterleitungen zu Gmail & Co. denke ... freu

Hallo Ralph... lass uns bitte wissen inwieweit es einen Unterschied macht....

Danke

[Ralph]

Hallo Ralph... lass uns bitte wissen inwieweit es einen Unterschied macht....

Ich warte derweil noch auf Attacken, heute ist's relativ ruhig
Läuft aber alles ohne Macken (keine warnings o. errors) Roundcube und Thunderbird machen hier auch keine Probleme.
smtpd_forbid_unauth_pipelining kann ich nur mit Debian 12 verwenden bzw. ab Postfix v. 3.5.2,

Code: Select all

postconf mail_version

für alle Versionen darunter:

Code: Select all

smtpd_data_restrictions = reject_unauth_pipelining

und ab 3.5.2

Code: Select all

smtpd_forbid_unauth_pipelining = yes

[tab-kh]

Ab Postfix 3.5.2? Ok, 18>2 (Debian 11)

[Ralph]

Ab Postfix 3.5.2? Ok, 18>2 (Debian 11)

Debian 11 zeigt bei mir 3.5.18 ist demnach nicht größer als 3.5.2x (3.5.1 / 3.5.2)

[l_fish]

Ab Postfix 3.5.2? Ok, 18>2 (Debian 11)

Im Heinlein-Artikel steht ab 3.5.20, Ralph hat also vermutlich nur die 0 vergessen und damit stimmt sein "nur mit Debian 12".

[24unix]

Die Versionsnummern sind völlig egal, weil die Maintainer bugfixes backporten.

Man muss nicht auf Krampf eine bestimmte Versionsnummer ins System prügeln.

Und wie ich die Jungs von Debian kenne, gibt es Backports bevor ein Exchange Admin auch nur Update buchstabiert hat …

[Jolinar]

Ich verstehe gerade die Aufregung nicht wirklich...

Das ist doch 'nur' eine spezielle Variante einer SMTP Injection Attack...Eigentlich ist das schon ein alter Hut, siehe zB. diesen Artikel aus 2020 ->
https://vk9-sec.com/smtp-injection-attack/
https://web.archive.org/web/20231223205 ... on-attack/

Einfach in der main.cf nach den smtpd_client_restrictions:

Code: Select all

smtpd_data_restrictions = 
    reject_unauth_pipelining

einfügen, postfix neu starten und gut isses