'Re: Sicherheit - Mailserver mit Lokalen Usern und =?utf-8?q?unverschl=C3=BCsselter_Verbindung_-_Mein'

[prev in list] [next in list] [prev in thread] [next in thread] 

List:       suse-linux
Subject:    Re: Sicherheit - Mailserver mit Lokalen Usern und =?utf-8?q?unverschl=C3=BCsselter_Verbindung_-_Mein
From:       Andreas Winkelmann <ml () awinkelmann ! de>
Date:       2006-01-04 13:14:53
Message-ID: 200601041414.53125.ml () awinkelmann ! de
[Download RAW message or body]

Am Wednesday 04 January 2006 12:14 schrieb Artur Cichosz:

> ich möchte jemanden von den Sicherheitsexperten in der Liste bitten, eine
> kurze Meinung zu folgender Sache zu geben.
>
> Ich habe auf die schnelle einen Mailserver mit Postfix + Procmail + Cyrus +
> lokale Benutzer aufsetzen müssen. Diese Benutzer authentifizieren sich ja
> bei ihrer Mailbox mit dem Linux-Passwort und zu allem Überfluß klappt
> SSL/TLS auch irgendwie nicht (Beide Outlooks wollen nicht aber auch The Bat
> und Pegasus Mail) also läuft es im Moment ohne Verschlüsselung.

Dazu fällt mir spontan ein, dass der ein oder andere Virenscanner auf 
Windows-Clients SSL/TLS sperrt. Evtl. mal disablen und nochmal probieren.
Kann aber auch noch ein paar andere Gründe haben.

> Das war also die Ausgangslage und jetzt sieht es folgendermassen aus:
>
> 1) Suse Linux 9.3
> 2) Apache2 Webserver mit PHP4
> 3) Postfix / Cyrus Mailserver mit lokalen Benutzern und ohne TLS
> 4) Lokale Benutzer haben Standard-Rechte (Grupen users, video, dialout)
> 5) SuSEFirewall2 aktiv mit offenen Ports für ssh, pop3, pop3s, imap, imaps,
> http, https 6) Nur passwortloser SSH-Zugrif über RSA-Keys und nur SSH2
>
> Wer kann mir mit einem oder zwei Sätzen kommentieren, wie gross das Risiko
> für das System ist kompromitiert zu werden wenn die Linux-User Daten bei
> dem E-Mail-Verkehr im Plain-Text durchs Netz gehen obwohl kein
> passwortbasierter Zugang über ssh möglich ist.

Wie sicher ist denn das Netz zwischen Server und Clients?

> Gibts es eine möglichkeit über eine Postfix-Option die Linux-User oder
> Linux-User und Linux-Passwörter auf andere zu mappen - vielleicht mit SASL?
> Kennt jemand ein How-To, dass sich genau mit Cyrus SASL mit lokalen Usern
> beschäftigt? In den letzten zwei schlaflosen Nächten hatte ich wohl zu viel
> Input und weiss nicht so recht wo ich da ansetzen soll.

Cyrus-SASL bringt ne eigene Datenbank mit, die sasldb. Mit ein paar 
Handgriffen lässt sich diese einbinden und bringt auch noch ein paar Vorteile 
mit. Die Passwörter werden dort drin zwar im Klartext gespeichert, aber 
dadurch gibt es auch die Möglichkeit Authentifizierungsmechanismen zu 
benutzen, bei denen das Passwort nicht mehr über die Leitung geht. Bei 
saslauthd oder lokal verschlüsselten Passwörtern muss das Klartextpasswort 
übertragen werden.

> P.S.
> Aus Zeitgünden war auf die Schnelle nur diese Lösung möglich aber ich
> arbeite bald daran die E-Mail-User über MySQL zu authentifizieren. Leider
> gehts nicht sofort und die E-Mails müssen sein.
>
> Wenn sich jemand bereit erklärt mir bei dem SSL/TLS - Problem zu helfen so
> schiebe ich gerne noch zusätzliche infos wie z.b. die main.cf nach.

Kommen in den Logs fehler? Schalt mal verbose Logging ein (in der master.cf 
hinter dem smtpd ein "-vv") und schau Dir im Log mal genau an, was zwischen 
Client und Server übertragen wird.

-- 
	Andreas

-- 
Um die Liste abzubestellen, schicken Sie eine Mail an:
    suse-linux-unsubscribe@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: suse-linux-help@suse.com


[prev in list] [next in list] [prev in thread] [next in thread]
Configure | About | News | Add a list | Sponsored by KoreLogic