[linux-l] Dialin und Mail
Thomas Knop
tknop at maxrelax.de
Do Jun 26 09:28:39 CEST 2003
* Steffen Schulz <pepe_ml at gmx.net> [25.06.03 07:42]:
> On 030624 at 21:01, Michael Meyer wrote:
> > *** Thomas Knop <tknop at maxrelax.de> wrote:
> > > Keine Sicherheitslücken.
> >
> > http://www-dt.e-technik.uni-dortmund.de/~ma/qmail-bugs.html
Diese Seite zeigt zwei Möglichkeiten auf, eine DOS Attacke gegen
qmail zu fahren.
zu 1.1: Jede vernünftige qmail Installation benutzt scvcan oder
minit in Kombination mit softlimit und tcpserver [1]. Wieder meine
alte Argumentationslinie: Teile und herrsche. Es ist die Aufgabe
von qmail-smtp das SMTP Protokoll zu sprechen, nicht sich um
Resourcelimits zu kümmern.
zu 1.2 (und 4.5): Wieder die gleiche Argumentation. qmail-smtp
muss nichts über lokale User wissen, das ist der Job von
qmail-lspanw.
Der Autor schreibt dann was von "spam friendly".
Gegenargumentation: Wenn der SMTP Server bereits beim Input
von "rcpt to: user at hostname" einen Fehler "no such user" auslöst
(ja es gibt solche mta's), kann dieses missbraucht werden, um mit
einer simplen und resourcenarmen Broute-Force-Attacke lokale
User ausfindig zu machen. Das ist Spammer und Script-Kiddy
freundlich.
> *lol* Punkt 4.1 ist gut. Genau das Gegenteil hätte ich
> eigentlich erwartet, dass das Teil ressourcenschonend ist,
> bei all dem, was man so "eingespart" hat. Aber egal.
http://www.benchmarks.dmz.ro/
Ist aktueller und die kommen genau zum umgekehrten Ergebnis.
Ich mag von daher nichts darauf geben. Den einzigen Mailserver,
den ich mal "busy" gesehen habe, war einer, der einen
Virencheck gamacht hat. Und das lag ausschließlich am Virencheck.
Es ist allgemein bekannt, dass man bei einer qmail Installation
immer zwei getrennte Platten für die queue und das logging
verwenden sollte, wenn man sehr hohe Performance benötigt.
zu [1]: Der Author erwähnt, dass er die Qmail-Standart Installation
laut der qmail beiligenden Dokumentation verwendet. Tut mir leid
für ihn, dass er sich nicht vorher besser informiert hat.
Gruß Thomas
PS: Ja, ich wäre auch froh, wenn Bernstein qmail unter GPL stellen
oder wenigsten mal über eine Version 1.04 nachdenken würde.
Mehr Informationen über die Mailingliste linux-l