Qmail-Fehlkonfiguration öffnet Mail-Server für Spammer
Eine falsche Konfiguration der AUTH-Erweiterung für Qmail öffnet Spammern Tür und Tor
In einem Posting auf Bugtraq berichtet John Simpson von möglichen Fehlkonfigurationen der Erweiterung AUTH für den Mailserver Qmail. Betroffen sind alle Versionen von AUTH bis 0.31. Die Erweiterung ermöglicht es Betreibern von Mail-Servern, eine Authentifizierung der Benutzer vor dem Versand von Mails durchzuführen. Wird eine Mail mittels SMTP an den Server gesendet, so werden Benutzername und Passwort verlangt. Somit soll der Missbrauch von Mail-Servern als Relay durch Spammer ausgeschlossen werden, Mails mit gefälschten Absender werden nicht mehr angenommen.
Die Erweiterung für Qmail wird als Patch installiert, anschließend muss Qmail mit folgenden Parametern gestartet werden:
qmail-smtpd-auth mail.domain.name /usr/bin/checkvpw /bin/true
/usr/bin/checkvpw zeigt auf ein Programm zur Überprüfung der Benutzerdaten und /bin/true ist ein Programm, das nur "TRUE" als Rückgabewert liefert, von der AUTH-Erweiterung aber benötigt wird. Wird beim Starten von Qmail aus Versehen die Mail-Domäne vergessen, so versucht Qmail als Passwortchecker /bin/true zu verwenden, mit dem Ergebnis, dass jede Kombination von Benutzernamen und Passwort funktioniert. Simpson stellt einen Patch zur Verfügung, mit dem Qmail die richtige Anzahl der Parameter überprüft. (dab)
