[Postfixbuch-users] Trotz SMTP-Auth extreme Spamwellen - Die Lage in den Griff kriegen

Uwe Drießen driessen at fblan.de
Do Nov 22 13:25:50 CET 2012 

Im Auftrag von Timo Heinrichs
> Ich vermute, dass jemand mit falschen Logins trotzdem ein SMTP-Auth
> schafft und extreme Spamwellen verursacht! Ich habe jetzt mal den Auth-
> Debug im Dovecot angeschaltet:

Eine Einfache Abfrage per Dovecot 

password_query = SELECT mail_pass_clear AS password FROM mail_users WHERE
mail_addr = '%u' and (date_add(Kuendigung , Interval 14 day) > now() or
Kuendigung = "0000-00-00 00:00:00")

gibt es den User zu den Bedingungen dann kommt  das PASSWORT als Ergebnis
zurück.
Gibt es den User nicht dann kommt NICHTS zurück.

Die Query muß so laufen das nur ein Ergebnis kommt wenn alle Bedingungen
zutreffen !!!  

In postfix  Query (in etwa die Funktion) 
select 1 from database where User = %u and Passwort = var(hab ich vergessen
welches %)

Also kommt nur eine 1 wenn der User mit dem passwort existiert und dann darf
er 

Oder select password from database where User = %u and Password = %var
(s.o.)



Deine Query

query: SELECT NULL AS password, 'Y' as nopassword, host as host, destuser as
destuser, 'Y' AS proxy FROM proxy WHERE destuser = 'info at geheimemail.de'
                           ^^^^^^^^^^^^

Du sagst der Database sie soll "NULL" als Passwort ausgeben.
Dein Ergebnis sieht in etwa dann so aus 
     "NULL","Y","host","destuser","Y"

Entweder kenne ich jetzt nicht alle Einzelheiten weil zu viel "ersetzt"
wurde oder dein Query ist einfach nicht richtig 

Die Query sollte eher 

SELECT FELD-Password AS password, 'Y' as nopassword, host as host, destuser
as destuser, 'Y' AS proxy FROM proxy WHERE destuser = 'info at geheimemail.de'
and  FELD-Password = "PASSWORD"

Lauten.

> Wie ihr seht, gibt es sogar zwei Passwörter mit denen es wohl klappt! Die
> sind beide definitiv nicht die richtigen Passwörter. Aber wo ist hier die
> Sicherheitslücke? Weil einloggen kann ich mich nicht mit dem Passwort!
> Kann das am Dovecot-IMAP-Proxy liegen?

In der Regel ist es ein Queryfehler 
Da deutet zur Zeit alles drauf hin weil ZWEI Passwörter wohl als richtig
gelten.
In Ausnahmen ist das PASSWORT das Richtige das benutzt wurde. (123456,
qwertz, 84625, 666666 usw...)

Mehr Informationen über die Mailingliste Postfixbuch-users