Vlákno názorů k článku Útočníci šíří falešnou aplikaci Seznam Emailu. Hledají cestu k účtům v bance od Tomas2 - opravdu? Spravovat mail server není vůbec sranda, často...

opravdu? Spravovat mail server není vůbec sranda, často jsou takové servery velice jednoduše napadnutelné boty.

Např. výchozí konfigurace postfixu na debianu i na ubuntu je velice nebezpečná, spouští postfix pod rootem, má špatně nastavení ssl/tls, nemá vhodně nastavené práva na datové soubory a hlavně je zranitelná k DoS útoku, kdy je možné server odříznout od světa pár požadavky za minutu...

Hoď sem adresu a řeknu ti, jak jsi na tom.

i ten master pod rootem není ono. Datové soubory jsou viditelné všem userům by default. Timeouty a omezení na počty spojení jsou příliš vysoké. V podstatě každou serverovou službu je potřeba konfigurovat podle využití.

DoS neznamená pouze mraky požadavků, ale může znamenat i jednotky requestů, které dokáží odstavit službu. Odstavit někomu na požádání email je velice nebezpečné.

defaultne je snad pod rootom len master. Ostatne ako smtpd, anvil, pickup, ... bezia pod neprivilegovanym userom postfix.

Ani ostatne popisovane nemam pocit ze by defaultne bolo nastavene zle alebo nachylne na DoS - ak sa tym nepomenuje zaplavenie mailserveru mailami ktore musia prejst cez amavis, spamassassin, clamav a cez virtualne delivery.

to asi nebolo namna, ci? :)

hmm a ako chces bindnut porty pod 1024 bez roota? A ako chces dorucit mail userovi do mailboxu, do ktoreho sa nedostanes inak ako setuidom z roota na usera? To ze to neni ono je jedna vec, ale tak ako je postfix navrhnuty je navrhnuty logicky - aby minimalizoval riziko a vedel fungovat ako MTA/MDA

Timeouty? Napis presne ktore.

Pocty spojeni - to ako smtpd_client_con­nection_count_li­mit? Ano, je defaultne nastaveny na 50, co nevytvara ziaden problem. Problem nastane pri DDOS ale tam ti nepomoze ani nastavenie na 1

Opat pises obecne ... nejake requesty... pis konkretne, aka technika, ake requesty, aka zranitelnost. Inak su to proste len plky

Tak port pod 1024 musi skutecne bind-nout root, ale to neznamena, ze server musi bezet jako root. Muze se spustit jako root, bindnout porty a potom prejit na normalniho usera. Nebo muze mit vedle pusteny proces, ktery binduje porty a posila filedeskriptory neprivilegovanemu procesu.

S tím DoS útokem bych souhlasil - samozřejmě malý servřík není tak odolný proti DoS.

Ovšem je zase otázka kdo by dělal DoS útok proti serveru, na kterém běží jednotky e-mailových schránek. A to jenom proto, aby měl radost, že právě zablokoval příjem mailů oběma dvěma lidem na celý den - jóóóóóó!!!!

A nakonec, když se někdo skutečně rozhodne do nějakého mailu dostat a je ochotný na to vynaložit prostředky, tak se do něj dostane - třeba i úplně netechnicky jenom tak, že osobně přijde a požádá o něj :) Viz případy Kevina Mitnicka :)

Zkrátka není nad vlastní mail server na vlastní doméně :). Nic podobného pak nehrozí, nikdo se vám nehrabe v mailech, kalendáři a jiných datech...

Tak se předveď, co dokážeš, 89.233.128.141 nebo vypisy.erbank.com je postfix na debianu, jsem zvědavej :-P