[Postfixbuch-users] ungewollten Mailversand über Systemaccount verhindern

blue_pride at web.de blue_pride at web.de
Di Nov 19 15:54:17 CET 2013


>>> Dein Postfix läuft chrooted (Das ist bei Debian glaube ich default).
>>> D.h. er erwartet in jedem Fall verschiedene erforderliche Dateien an
>>> einem anderen Ort, und zwar unterhalb /var/spool/postfix (also dem
>>> chroot-Verzeichnis).

>>> Du must also schauen, dass du den saslauthd-Socket
>>> /var/run/saslauthd/mux per Sym-Link nach
>>> /var/spool/postfix/var/run/saslauthd/mux bringst. Ebenso die smtpd.conf
>>> von /etc/postfix/sasl/smtpd.conf nach
>>> /var/spool/postfix/etc/postfix/sasl/smtpd.conf.
>> ich habe eben mal folgendes probiert:
>>
>> testsaslauthd -f /var/run/saslauthd/mux -u USER -p PASSWORT
>> testsaslauthd -f /var/spool/postfix/var/run/saslauthd/mux -u USER -p PASSWORT
>>
>> Funktionieren beide! (bei erfolgreich ein "OK: success", alternativ "0: NO "authentication failed"")

>Damit testest du nur SASL auf beiden Sockets. Damit testest du aber nicht, was Postfix macht.
>Was sagt denn cat /var/spool/postfix/etc/postfix/sasl/smtpd.conf ?
OK, hast recht ;) Die Datei wird natürlich nicht gefunden...
Ich werde mir heute abend die Geschichte mal näher anschauen!
Um das chroot abzuschalten muss in jede aktive Zeile der master.cf an der chroot-Stelle ein 'n', richtig ?

>>> Da kommen vermutlich noch ne ganze Menge weiterer Dateien dazu. Damit
>>> kenne ich mich aber nicht aus. Meine Postfixe laufen nicht im chroot.

>>> Die einfache Lösung lautet in diesem Fall vermutlich die chroot-Spalte
>>> aller Postfix-Prozesse in der master.cf von "-" auf "n" zu ändern. Dann
>>> läuft dein postfix nicht mehr im chroot und findet dann auch die
>>> Dateien, die er braucht an dem Ort, an dem du sie vermutest.
>> Welche Nachteile hat das ganze dann ? ;)

>Chroot ist eine Sicherheitsmaßnahme. Wenn Postfix mal einen Bug
>aufweisen sollte und kompromittiert würde, ist dadruch das übrige System
>geschützt.

>Wenn ich mich recht entsinne, gab es in der gesamten Postfix-Geschichte
>nur ein einziges Mal ein Sicherheitsrisiko, und das auch nur unter ganz
<bestimmten Umständen.

>Unter diesem Gesichtspunkt ist chroot nicht wirklich notwendig.
falls ich das mit dem chroot nicht hinbekomme, dann das ! ;)

Danke & Gruß

Henryk




Mehr Informationen über die Mailingliste Postfixbuch-users