Sendmail身份验证问题探讨 [复制链接]

xi2008wang

论坛徽章:: 0

51楼 [报告]

发表于 2008-07-22 12:33 |只看该作者

原帖由 kenduest 于 2008-7-21 16:30 发表
漏洞？好像是基本觀念的問題沒弄清楚。這個問題討論似乎也是老生常談的 faq 問題。

先弄清楚何謂 mail relay 的意義，你架設一台 mail.abc.com 主機好了，後續若是使用該 mail server 來寄信，若是打算寄信給 ...

版主:
a@mail.abc.com -----> xx@yahoo.com 经过了mail.abc.com这个邮件服务器的中继relay认证
a@mail.abc.com -----> b@mail.abc.com 不用经过mail.abc.com中继认证
这我理解了..

但是为什么a@mail.abc.com -----> b@mail.abc.com 不用输入密码?这不是安全隐患?
怎么才能强制要输入密码?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kenduest

荣誉版主

论坛徽章:: 0

52楼 [报告]

发表于 2008-07-22 12:38 |只看该作者

原帖由 xi2008wang 於 2008-7-22 12:33 發表

版主:
a@mail.abc.com -----> xx@yahoo.com 經過了mail.abc.com這個郵件服務器的中繼relay認證
a@mail.abc.com -----> b@mail.abc.com 不用經過mail.abc.com中繼認證
這我理解了..

但是為什麼a@mail.abc.com -----> b@mail.abc.com 不用輸入密碼?這不是安全隱患?
怎麼才能強制要輸入密碼?

smtp protocol 沒這種規範啊.... 再者要認證的話，請問外面的人或者是 a 本身知道 b 的密碼嗎？不知道怎麼如何寄信給他呢 ?

--

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Weikey

丰衣足食

论坛徽章:: 0

53楼 [报告]

发表于 2008-07-22 13:22 |只看该作者

原帖由 kenduest 于 2008-7-22 12:38 发表

smtp protocol 沒這種規範啊.... 再者要認證的話，請問外面的人或者是 a 本身知道 b 的密碼嗎？不知道怎麼如何寄信給他呢 ?

--

a@mail.abc.com 发信给 b@mail.abc.com；a发信给b无须知道b的密码。

试问：若我发信给你，我需要知道你的密码么？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

xi2008wang

小富即安

论坛徽章:: 0

54楼 [报告]

发表于 2008-07-22 13:24 |只看该作者

原帖由 kenduest 于 2008-7-22 12:38 发表

smtp protocol 沒這種規範啊.... 再者要認證的話，請問外面的人或者是 a 本身知道 b 的密碼嗎？不知道怎麼如何寄信給他呢 ?

--

谢谢版主回复先

但俺还是不明白
这里是我想邮件服务器对a进行身份验证.因此要求输入a的密码,不是b的密码.难道我理解错了?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

northskycn

白手起家

论坛徽章:: 0

55楼 [报告]

发表于 2008-07-22 15:30 |只看该作者

经过两天测试，发现的问题原因。
要想出现上面问题，必须先进行一下pop或smtp连接，取完邮件后，在把密码和验证去掉（验证无所谓了）。
对此我研究很少。但我知道，客户端和服务器应该保存了此连接的一个session，以至于你再次连接时，服务器没有经过验证就直接给你连了。
这里有一个后遗症：连接一次，用户就可以在发送邮件时通过改变发件人，达到伪造邮件的目的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

xi2008wang

小富即安

论坛徽章:: 0

56楼 [报告]

发表于 2008-07-22 17:27 |只看该作者

原帖由 northskycn 于 2008-7-22 15:30 发表
经过两天测试，发现的问题原因。
要想出现上面问题，必须先进行一下pop或smtp连接，取完邮件后，在把密码和验证去掉（验证无所谓了）。
对此我研究很少。但我知道，客户端和服务器应该保存了此连接的一个sess ...

类似于IE里面的cookie?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

sosogh

小富即安

论坛徽章:: 0

57楼 [报告]

发表于 2008-07-22 23:51 |只看该作者

原帖由 xi2008wang 于 2008-7-22 12:33 发表

版主:
a@mail.abc.com -----> xx@yahoo.com 经过了mail.abc.com这个邮件服务器的中继relay认证
a@mail.abc.com -----> b@mail.abc.com 不用经过mail.abc.com中继认证
这我理解了..

但是为什么a@mail.a ...

如果是postfix 请看这个

http://www.extmail.org/forum/viewthread.php?tid=2689

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kenduest

荣誉版主

论坛徽章:: 0

58楼 [报告]

发表于 2008-07-23 16:10 |只看该作者

原帖由 northskycn 於 2008-7-22 15:30 發表
經過兩天測試，發現的問題原因。
要想出現上面問題，必須先進行一下pop或smtp連接，取完郵件後，在把密碼和驗證去掉（驗證無所謂了）。
對此我研究很少。但我知道，客戶端和服務器應該保存了此連接的一個session，以至於你再次連接時，服務器沒有經過驗證就直接給你連了。
這裡有一個後遺症：連接一次，用戶就可以在發送郵件時通過改變發件人，達到偽造郵件的目的。

看不大懂你的描述，你在說 pop3 before smtp ?

這個是另外一個領域的討論，那是透過 pop3 收信成功後暫時開放該 ip 來源可以 relay。

--

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kenduest

荣誉版主

论坛徽章:: 0

59楼 [报告]

发表于 2008-07-23 17:11 |只看该作者

原帖由 xi2008wang 於 2008-7-22 13:24 發表
謝謝版主回覆先
但俺還是不明白
這裡是我想郵件服務器對a進行身份驗證.因此要求輸入a的密碼,不是b的密碼.難道我理解錯了?

驗證寄信人嗎 ? smtp protocol 早期設計本來就沒這種架構。

auth smtp 基本上也只是透過驗證開放 mail relay 功能，但是寄件人的 e-mail 帳號基本上還是可以偽造的 ( postfix 可以限制登入的帳號與 sender 要相同)，不過一般來說透過 mail header or log 來世可以知道是透過那個帳號驗證成功。但是考慮一下實際 internet 情況，這個偽造的問題是無法解決的，因為自己架設 mail server 就不需要驗證這類。

多思考一下目前確認是否為實際的寄件人方式就是使用 PGP or GPG key 這驗證，這可以確認寄件人實際的身份。

--