NFsec Logo

Postfix – wyciek UID użytkownika i wewnętrznej adresacji sieciowej

13/02/2019 w Administracja, Bezpieczeństwo Brak komentarzy.  (artykuł nr 676, ilość słów: 364)

P

ocztę e-mail kiedyś wysyłało się i odbierało w terminalu. Do dzisiaj czasami korzystam z takich programów jak mutt, czy alpine. Cała taka korespondencja jest wysyłana i odbierane przez serwer SMTP (ang. Simple Mail Transfer Protocol) Postfix. Problem w tym, że w standardowej konfiguracji odbiorca naszych wiadomości będzie w stanie zobaczyć ID naszego użytkownika w systemie:

Received: from stardust.nfsec.pl (unknown [17.197.105.219])
  by firewall.hes.trendmicro.eu (TrendMicro Hosted Email Security) with ESMTPS id 22E82
  for <abuse_the@int3rn3t.pl>; Sun, 10 Feb 2019 11:47:27 +0000 (UTC)
Received: by stardust.nfsec.pl (StarDustMX, from userid 666)
  id DD41460069; Sun, 10 Feb 2019 12:47:26 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
  by stardust.nfsec.pl (StarDustMX) with ESMTP id D60FD60068
  for <abuse_the@int3rn3t.pl>; Sun, 10 Feb 2019 12:47:26 +0100 (CET)

To samo tyczy się adresów IP komputerów w sieci wewnętrznej LAN, które mogą korzystać z takiego centralnego serwera pocztowego, czy też przypadku ukrywania się za CloudFlare, kiedy to musi zostać stworzony oddzielny serwer e-mail, aby oryginalny adres IP serwera web pozostał w ukryciu.

Na szczęście nasze MTA może filtrować nagłowki za pomocą dyrektywy header_check (wbudowanej kontroli zawartości). W celu usunięcia powyższych, wrażliwych informacji – wystarczy otworzyć plik main.cf i wpisać:

header_checks = regexp:/etc/postfix/header_checks

Zapisujemy i zamykamy plik. Następnie tworzymy kolejny: /etc/postfix/header_checks, do którego wpisujemy:

/^Received:/ IGNORE

Ostatnim krokiem jest restart serwera:

# service postfix restart

Po takim zabiegu nagłówki naszej wiadomości e-mail zatrzymają się na poziomie naszego serwera pocztowego, czyli:

Received: from stardust.nfsec.pl (unknown [17.197.105.219])
  by firewall.hes.trendmicro.eu (TrendMicro Hosted Email Security) with ESMTPS id D3D23
  for <abuse_the@int3rn3t.pl>; Wed, 13 Feb 2019 21:01:05 +0000 (UTC)

Innymi nagłówkami jakie mogą nas zainteresować to:

/^X-Originating-IP:/    IGNORE
/^X-Mailer:/            IGNORE
/^Mime-Version:/        IGNORE
/^User-Agent:/          IGNORE

UWAGA!

Nigdy nie należy w ten sposób usuwać Message-ID – jest to ewidentne proszenie się o blokadę przez filtr spamu lub umieszczenie wiadomości w jego folderze.

Więcej informacji: Message Headers, Fun with email headers

Kategorie K a t e g o r i e : Administracja, Bezpieczeństwo

Tagi T a g i : , , , , , , , ,

Komentowanie tego wpisu jest zablokowane.