pdadmin-forum

pdadmin-forum » PD-Admin » Anwendung » Open-Relay auf nicht vorhandenes E-Mail-Postfach » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (4): « vorherige 1 [2] 3 4 nächste » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Open-Relay auf nicht vorhandenes E-Mail-Postfach
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
VeNoM
Mitglied


Dabei seit: 14.01.2008
Beiträge: 485

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Normal müsste das auf real vorhandene Benutzer beschränkt sein. Mich erstaunt dass da alles bei Monderka scheinbar über IPv6 läuft. (IPv6 zu IPv6) Nutzt ihr alle IPv6 und ist der Mailserver bzw der MX entsprechend konfiguriert? Mir kommt es seltsam vor. Haben andere genau solche Zeilen im Log? Mal die IP gecheckt ob die "echt" ist oder gar die eigene ist? Der Absender ist mir wurscht. Es müssten eigentlich Log ins im Log vorhanden sein, wenn es denn via SMTP mit "Auth" laufen würde.

Sry, mehr fällt mir dazu leider im Augenblick nicht ein außer blöde Fragen zu stellen unglücklich

__________________
Gruß
/VeNoM
10.06.2014 08:14 VeNoM ist offline E-Mail an VeNoM senden Beiträge von VeNoM suchen Nehme VeNoM in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich kann bei meinen Fällen eine ipv6 Verbindung ausschließen und verweise nochmal auf meinen Verdacht das es mit dem smtp-after-pop zu tun hat. Ich mag falsch liegen, aber ich gehe nach wie vor davon aus das der Angreifer es geschafft hat mittels einem bestimmten Paket das er sendet, den relaylock auszutricksen. Das ist die einzige Erklärung wie er es geschafft haben könnte in das dbfile des smtp-poplocks zu kommen, ohne sich korrekt authentifiziert zu haben.

Betroffene mögen mal testweise smtp-after-pop deaktivieren (nutzt ja sowieso kaum noch jemand, die User sollten ja ohnehin alle eine smtp-auth senden) und schauen ob es weiterhin Vorfälle gibt.

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
10.06.2014 08:22 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
monderka
Mitglied


Dabei seit: 06.11.2006
Beiträge: 194
Herkunft: Ansbach

Themenstarter Thema begonnen von monderka
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich bin allen Hinweisen nachgegangen. Eine SMTP-After-POP Verbindung kann ich ausschließen, zumindest deuten die Dateien nicht darauf hin das dort IP-Adressen enthalten sind von denen der qmail-msa Daten entgegen genommen hat.
10.06.2014 08:54 monderka ist offline E-Mail an monderka senden Homepage von monderka Beiträge von monderka suchen Nehme monderka in Deine Freundesliste auf
Daniel Bradler
PD-Admin Dev

Dabei seit: 11.09.2004
Beiträge: 2.393

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Original von monderka
Folgendes steht im Header meiner aus dem Spooler gelöschten Mails.
Das schaut mir aus wie ein Open-Relay ohne jegliche Authentifizierung auf den localhost.

Received: from unknown (HELO ?127.0.0.1?) (info@xy.de@5.39.222.163)


127.0.0.1 wurde als HELO uebergeben. Die Emails wurden von der IP-Adresse 5.39.222.163 eingeliefert. Angemeldet hatte sich der Benuzter als info@xy.de. Hier wurden vermutlich die Zugangsdaten ausgespaeht.

Nachtrag: Die Domain in der qmail-Konfiguration zu deaktivieren, schaltet nicht die Moeglichkeit ab, per SMTP-Auth Mails einzuliefern.
10.06.2014 21:09 Daniel Bradler ist offline Beiträge von Daniel Bradler suchen Nehme Daniel Bradler in Deine Freundesliste auf
Daniel Bradler
PD-Admin Dev

Dabei seit: 11.09.2004
Beiträge: 2.393

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Original von tbc233
Dadurch das keine Authentifizierung zustande kommt, scheidet auch ein gehacktes Mailkonto aus. Meine einzig lebensfähige Theorie ist derzeit, das der Angreifer irgendwelche schrägen Pakete schickt, mit denen er es schafft das der smtp-after-pop Dienst ohne Authentifizierung seine IP berechtigt.

Die Empfehlung smtp-after-pop vorerst zu deaktivieren, stammt von Herrn Bradler selbst.


Hier haben wir es mit einem anderen Fall zu tun, der mir tatsaechlich unklar ist. Ich habe mir das Skript zur POP3-Passwort-Ueberpruefung genauer angesehen und es sind mir keine Fehler aufgefallen. Ein tcpdump einer POP3-Verbindung waere sehr hilfreich.

SMTP-Poplock ist aber eher als Anachronismus anzusehen. Wir werden es zukuenftig fuer Neuinstallationen abschalten. Da die Ursache ungeklaert ist, lautet unsere Empfehlung SMTP-Poplock nach Moeglichkeit auch bei bestehenden Installation zu deaktivieren.
10.06.2014 21:14 Daniel Bradler ist offline Beiträge von Daniel Bradler suchen Nehme Daniel Bradler in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Haben Sie einen Tipp bei der Hand wie man auch nach Entfernung des Wörtchens "relaylock" aus der qmail-smtpd/run noch das Senden von 127.0.0.1 erlauben kann? Es hat sich rausgestellt das einige Skripte von Usern genau das tun, was jetzt nicht mehr funktioniert.

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
10.06.2014 21:26 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
monderka
Mitglied


Dabei seit: 06.11.2006
Beiträge: 194
Herkunft: Ansbach

Themenstarter Thema begonnen von monderka
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Das stimmt sehr wohl das ein inaktiver MX nicht gleiche auch SMTP-AUTH deaktiviert. Ist aber bei inaktivem MX auch kein einziges E-Mailpostfach angelegt bleibt es seltsam wie man sich über ein nicht vorhandenes, quasi fiktives E-Mailpostfach, authorisieren kann.
11.06.2014 07:03 monderka ist offline E-Mail an monderka senden Homepage von monderka Beiträge von monderka suchen Nehme monderka in Deine Freundesliste auf
Daniel Bradler
PD-Admin Dev

Dabei seit: 11.09.2004
Beiträge: 2.393

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Original von tbc233
Haben Sie einen Tipp bei der Hand wie man auch nach Entfernung des Wörtchens "relaylock" aus der qmail-smtpd/run noch das Senden von 127.0.0.1 erlauben kann? Es hat sich rausgestellt das einige Skripte von Usern genau das tun, was jetzt nicht mehr funktioniert.


Das sollte funktionieren, indem Sie in /etc/tcp.smtp folgende Zeile am Anfang der Datei ergaenzen:

127.0.0.1:allow,RELAYCLIENT=""

Anschliessend muss die Datei /etc/tcp.smtp.cdb neu erstellt werden.

tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
11.06.2014 08:44 Daniel Bradler ist offline Beiträge von Daniel Bradler suchen Nehme Daniel Bradler in Deine Freundesliste auf
monderka
Mitglied


Dabei seit: 06.11.2006
Beiträge: 194
Herkunft: Ansbach

Themenstarter Thema begonnen von monderka
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo Gemeinde...

ich glaube ich bin ein Stück weiter bei meinem Phänomen.
Kann es sein das wenn in einem Kunden kein E-Mailpostfach angelegt ist, aber das Systempasswort ausgespäht wurde, man mit jeder beliebiger E-Mailadresse und dem Systempasswort SMTP einliefern kann?

Zumindest habe ich, um wirklich auf Nummer sicher zu gehen, nochmal alles gecheckt und auch die Systempasswörter des betroffenen Kunden geändert.
Und siehe da, heute Mittag wurden zahlreiche Maileinlieferung auf info@... vom smtp-auth abgelehnt.

Mag Zufall sein. Aber es schaut schon so aus.
Es bleibt auf jeden Fall erst einmal unter Beobachtung.

viele Grüße und danke für die tollen Tipps.
Das Forum ist super gut.

Manfred Onderka
12.06.2014 13:01 monderka ist offline E-Mail an monderka senden Homepage von monderka Beiträge von monderka suchen Nehme monderka in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich persönlich glaube nicht das das möglich ist, weil die Authentifizierung meines Wissens nach ausschließlich auf die pop3 Tabelle los geht und dort drin wird sie das Accountpasswort nicht finden.

Aber: Das kannst Du ja relativ leicht testen. Leg in Deinem Mailprogramm einen smtp Account an mit einer beliebigen Adresse als Username und dem Accountpasswort als Passwort und dann versuch zu senden (achte aber darauf das Du smtp-after-pop ausschließen kannst, also nimm am besten Port 587).

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
12.06.2014 13:23 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
Seiten (4): « vorherige 1 [2] 3 4 nächste » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » PD-Admin » Anwendung » Open-Relay auf nicht vorhandenes E-Mail-Postfach

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de