Vorsicht bei der Kombination von Exim und Dovecot

Eine gängige Art, die beiden Mail-Server-Programme Exim und Dovecot zu koppeln, führt zu einem ernsthaften Sicherheitsloch, durch das Angreifer Code einschleusen und ausführen könnten. RedTeam Pentesting ist bei Tests von Kunden über dieses Problem gestolpert und stellte fest, dass es auf einer offiziell empfohlenen, aber problematischen Konfiguration beruht.

Der Mail-Server Exim setzt für die lokale Zustellung von E-Mails häufig den POP- und IMAP-Server Dovecot ein; Dovecot agiert dabei als sogenannter Local Delivery Agent. Wird dabei wie unter anderem im Dovecot-Wiki vorgeschlagen, in der Exim-Konfiguration der Parameter use_shell gesetzt, kommt es zu einer Sicherheitslücke. So könnte ein Angreifer etwa die Absenderadresse einer Mail so zusammenstellen, dass bei der Zustellung der Mail die eingebetteten Shell-Befehle ausgeführt werden. Die könnten dann etwa via wget ein Programm aus dem Internet herunterladen und dann ausführen.

Um das zu vermeiden, sollten Admins die Option use_shell aus Ihrer Transport-Konfiguration entfernen. Die Betreiber des Dovecot-Wikis haben das auf ihren Beispiel-Seiten bereits getan. (ju)