Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Patrick Ben Koetter p at sys4.de
Mi Mär 13 12:56:28 CET 2019


* Denny Hanschke <postmaster at blubbablasen.de>:
> Am 13.03.19 um 10:43 schrieb Carsten:
> > Moin zusammen.
> > 
> > Mein Fail2Ban meldet mir immer mal wieder solche Versuche:
> > "...
> > Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from
> > 16c13.w.time4vps.cloud[195.181.245.88]
> > Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning:
> > 16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication
> > failed: Invalid authentication mechanism
> > Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from
> > 16c13.w.time4vps.cloud[195.181.245.88]
> > ..."
> > 
> > Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen,
> > da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt.
> > Im Netz finde ich jedoch nichts dazu.
> > Kann mir mal jemand auf die Sprünge helfen?
> > 
> > Gruss
> > Carsten
> 
> Das ist keine besondere Attacke sondern nur der Versuch den Mechanismus
> LOGIN zu benutzen, den du nicht erlaubt hast.
> 
> Mit LOGIN können sich lokale Benutzer unter Verwendung der /etc/shadow
> Datei am smtpd Anmelden um den Dienst in Anspruch zunehmen.

Nope, das stimmt so nicht bzw. nur in einem ganz speziellen Setup und genau
dieses will $MAN vermeiden, weil für jeden E-Mail User dann auch ein
Systemuser angelegt werden muss.


LOGIN ist ein Mechanismus den ein Client nutzen kann, um die Identität seines
Benutzers an einen Server zu senden. (Bei LOGIN wird im ersten Roundtrip der
Benutzername und im Zweiten das Kennwort gesendet. PLAIN sendet, im Vergleich
dazu, beides in einem Rountrip)

Der Server nimmt die Identitätsdaten dann und übergibt diese an einen Password
Verification Service (PWS). Der PWS greift dann über eine METHOD auf ein auth
backend zu und überprüft dort, ob die Identität authentifizert werden kann.

Das Ergebnis liefert der PWS dann an den Server zurück und dieser kann in
Abhängigkeit davon eine Aktion des Client autorisieren oder ablehnen.


Ein PWS *kann* auf eine /etc/shadow zugreifen, muss es aber nicht. Er kann
ebenso auf einen SQL-Server, einen LDAP-Server, eine separate, binäre
User-Datenbank (sasldb2) oder noch ganz andere Backends, z.B. Kerberos,
zugreifen. Was da geht, hängt von der Implementierung des PWS ab.

Setzt ihr cyrus als smtpd_sasl_type ein, geht alles was mit Cyrus SASL möglich
ist. Ist smtpd_sasl_type auf dovecot gesetzt, geht alles was über die
aktivierten /etc/dovecot/auth-* Komponenten eingerichtet wurde.

p at rick

Mehr zu Cyrus SASL: https://blog.sys4.de/tag/cyrus-sasl.html


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users