<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><br><div><blockquote type="cite"><div>Am 20.08.2024 um 11:14 schrieb Christoph Kukulies via Postfixbuch-users <postfixbuch-users@listen.jpberlin.de>:</div><div><blockquote type="cite" style="font-family: Menlo-Regular; font-size: 11px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;">Am 19.08.2024 um 17:00 schrieb Gerald Galster <list+postfixbuch@gcore.biz>:<br><br><blockquote type="cite">falls es jemand noch nicht mitbekommen haben sollte:<br><br>https://www.heise.de/news/Sicherheitspatch-Angreifer-koennen-Dovecot-Mail-Server-lahmlegen-9838592.html<br></blockquote><br>In dem Fall besser die Originale lesen:<br><br>https://dovecot.org/mailman3/hyperkitty/list/dovecot@dovecot.org/thread/TBZIOBSMJ5G2C5HBJJCE62HW4ETDZF3S/<br>https://dovecot.org/mailman3/hyperkitty/list/dovecot@dovecot.org/thread/TEVOFHCKWZW62C6NAM25S3K7CL6KUL2J/<br><br>"Incoming mails typically have some size limits set by MTA,<br>so even largest possible header size may still fit into<br>Dovecot's vsz_limit. So attackers probably can't DoS a<br>victim user this way."<br><br>"Workaround:<br>One can implement restrictions on address headers on MTA<br>component preceding Dovecot."<br><br><br>https://www.postfix.org/postconf.5.html<br><br>message_size_limit (default: 10240000)<br>header_size_limit (default: 102400)<br>header_address_token_limit (default: 10240)<br></blockquote><br style="caret-color: rgb(0, 0, 0); font-family: Menlo-Regular; font-size: 11px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><span style="caret-color: rgb(0, 0, 0); font-family: Menlo-Regular; font-size: 11px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;">Und was heißt das jetzt im Klartext? Der einzige Parameter, der bei mir in der main.cf steht, ist</span><br style="caret-color: rgb(0, 0, 0); font-family: Menlo-Regular; font-size: 11px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><span style="caret-color: rgb(0, 0, 0); font-family: Menlo-Regular; font-size: 11px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;">message_size_limit = 51200000</span><br style="caret-color: rgb(0, 0, 0); font-family: Menlo-Regular; font-size: 11px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><br style="caret-color: rgb(0, 0, 0); font-family: Menlo-Regular; font-size: 11px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><span style="caret-color: rgb(0, 0, 0); font-family: Menlo-Regular; font-size: 11px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;">Die anderen scheinen ja dann auf default zu stehen. Sollte ich die nun ändern?</span><br style="caret-color: rgb(0, 0, 0); font-family: Menlo-Regular; font-size: 11px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"></div></blockquote></div><br><div>Die Meldung sagt im Wesentlichen, dass dovecot bei ungefiltertem Maileingang anfällig für</div><div>"resource exhaustion" ist, also dass dem Server Ressourcen wie CPU und Arbeitsspeicher bei</div><div>einem solchen Angriff ausgehen können und er dadurch nicht mehr wie gewohnt erreichbar ist.</div><div><br></div><div>Der Maileingang ist aber nicht ungefiltert da Postfix diverse Limits vorsieht, die dem</div><div>Problem zumindest ein Stück weit entgegen wirken. Beispielsweise ist in der Meldung von</div><div>500.000 Adressheadern (To, Cc, ...) die Rede, postfix erlaubt aber standardmäßig nur</div><div>1000 Empfänger pro Mail (smtpd_recipient_limit).</div><div><br></div><div>Die Heise-Meldung hat bei mir den Eindruck erweckt, dass nun reihenweise Dovecot-Server</div><div>abgeschossen werden können und das ist nicht der Fall. Die Standardwerte von Postfix</div><div>bieten einen gewissen Schutz und daher werde ich diese bei meinen Systemen auch nicht</div><div>ändern.</div><div><br></div><div>Es mag Kombinationen geben, die einem ungepatchten Dovecot auch in Verbindung mit Postfix</div><div>Probleme bereiten, aber das sehe ich als gezielten Angriff und in dem Fall gibt es diverse</div><div>Möglichkeiten einen Mailserver lahmzulegen.</div><div><br></div><div>Viele Grüße</div><div>Gerald</div><div><br></div></body></html>