Frage zu einem Eintrag in /var/log/mail

Rund um die Sicherheit des Systems und die Applikationen
s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Frage zu einem Eintrag in /var/log/mail

Post by s4fuser » 2003-10-21 22:38

Hallo,
logdigest lieferte mir folgenden Eintrag, der mich zwar etwas beunruhigt, aber mit dem ich leider nichts anfangen kann:

Code: Select all

Messages matching keywords in the "alarming" list:
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
(1 lines)
Oct 20 19:59:21 servername sendmail[4131]: STARTTLS=client, relay=mail.fremdedomain.tld., version=TLSv1/SSLv3, verify=FAIL, cipher=EDH-RSA-DES-CBC3-SHA, bits=168/168
Es ist der einzige Eintrag im /var/log/mail (SuSE 8.2, sendmail), den logdigest in den letzten Tagen als "alarming" gekennzeichnet hat.

Kann mir jemand von Euch erläutern, was derjenige da versucht hat?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Frage zu einem Eintrag in /var/log/mail

Post by captaincrunch » 2003-10-21 22:40

Der gegenerische Server konnte keine vernpnftige SSL-Vebindung zu deinem aufbauen, da es anscheinend ein Problem mit dem Zertifikat gab. Was genau das war, lässt sich anhand der Meldung nicht sagen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Frage zu einem Eintrag in /var/log/mail

Post by s4fuser » 2003-10-21 22:47

SSL-POP3 gibt es auf meinem Server nicht.
Und Kunden oder andere Leute ausser mir, die von dem Server Mails versenden dürfen, gibt es auch nicht.
Wollte da jemand mein sendmail als relay verwenden? Oder testen, ob es ein offenes Relay ist?

Ich frage deswegen so genau, weil mir die fremdedomain.tld nicht unbekannt ist und ich ihrem Besitzer auch nicht... :wink:

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Frage zu einem Eintrag in /var/log/mail

Post by captaincrunch » 2003-10-21 22:52

SSL-POP3 gibt es auf meinem Server nicht.
Es geht dabei auch nicht um POP3, sondern SMTP. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Frage zu einem Eintrag in /var/log/mail

Post by s4fuser » 2003-10-21 23:03

Gut, aber auch dafür gibt es keine SSL-Verschlüsselung bei mir.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Frage zu einem Eintrag in /var/log/mail

Post by captaincrunch » 2003-10-21 23:12

Anscheinend schon.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Frage zu einem Eintrag in /var/log/mail

Post by s4fuser » 2003-10-21 23:17

Hmm, jetzt verunsicherst Du mich etwas.
Ich bin mir 99%ig sicher, dass es das nicht gibt. Alles andere würde mich sehr wundern. Dann wäre ich blinder als ich unwissend bin...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Frage zu einem Eintrag in /var/log/mail

Post by captaincrunch » 2003-10-22 11:54

Dem Log zufolge wollte der Client jedenfalls eine TLS-Verbindung zu deinem sendmail aufnehmen, was fehlgeschlagen ist, da das Zertifikat (wie gesagt : aus welchem Grund auch immer) nicht gepasst hat.

So sieht's jedenfalls aus.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Frage zu einem Eintrag in /var/log/mail

Post by flo » 2003-10-22 12:38

Wenn Du Sendmail-TLS drauf hast, z.B. für SMTP-Auth, dann macht der auch TLS, also Verschlüsselung ...

Grüße,

flo.

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Frage zu einem Eintrag in /var/log/mail

Post by s4fuser » 2003-10-22 21:32

Aha. Jetzt geht mir ein Licht auf.
SMTP-Auth ist drauf. :wink:

Aber was genau versuchte derjenige da? Hat er versucht, mein sendmail als relay zu verwenden? Bzw. nur einen Test gemacht, ob mein Server das erlaubt?

Ich meine, so ein Zugriff passiert doch nicht zufällig. Und erst recht nicht zufällig von einer Domain, die mir bekannt ist (und ich ihrem Inhaber auch).

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Frage zu einem Eintrag in /var/log/mail

Post by Joe User » 2003-10-22 21:58

da ich Sandfüll nicht kenne, tippe ich mal darauf, dass Dir Dein Bekannter eine eMail mit einem TLS uterstützendem MUA schicken wollte, da Dein Sandfüll TLS angeboten hat und am fehlendem Zertifikat scheiterte...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Frage zu einem Eintrag in /var/log/mail

Post by captaincrunch » 2003-10-22 22:00

Aber was genau versuchte derjenige da? Hat er versucht, mein sendmail als relay zu verwenden? Bzw. nur einen Test gemacht, ob mein Server das erlaubt?
Sofern auch derjenige einen SSL-fähigen MTA nutzt, ist es um einiges wahrscheinlicher, dass er dir einfach eine Mail zukommen lassen wollte, und sein MTA daraufhin eine Verbindung zu deinem aufgenommen und gesehen hat, dass dieser TLS unterstützt. Daraufhin wollte der MTA eine verschlüsselte Verbindung aufbauen (STARTTLS), was aber aufgrund des Zertifikats fehlgeschlagen ist.

Die Frage, die sich dabei stellt ist nur, warum das Zertifikat nicht gepasst hat.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Frage zu einem Eintrag in /var/log/mail

Post by s4fuser » 2003-10-22 22:16

Danke an Euch für die Aufklärung. Jetzt ist mir einiges klarer.
CaptainCrunch wrote:Die Frage, die sich dabei stellt ist nur, warum das Zertifikat nicht gepasst hat.
Die Frage stellt sich mir auch. Aber leider kann ich das im Moment mangels Kenntnis nicht weiter nachprüfen.
Bei der Einrichtung und Absicherung des Servers habe ich Hilfe in Anspruch genommen. Mit den meisten Sachen komme ich mittlerweile alleine klar. Aber da fehlt es mir einfach an der Kenntnis.
Ich werde einfach mal googlen und schauen, ob ich was dazulernen kann.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Frage zu einem Eintrag in /var/log/mail

Post by dodolin » 2003-10-23 01:29

Ich werde einfach mal googlen und schauen, ob ich was dazulernen kann.
Das wäre sehr sinnig, denn es ist äußerst beschissen, wenn ein Server als EHLO-Response STARTTLS ankündigt, dann aber mangels Zertifikat dieses nicht machen kann. Das qualifiziert für ein LART.

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Frage zu einem Eintrag in /var/log/mail

Post by s4fuser » 2003-10-23 18:45

Danke für den Hinweis.
dodolin wrote:Das qualifiziert für ein LART.
Wirklich ein komischer Zufall, dass kurz vor diesem Posting mein MTA von mehreren Open-Relay-Test-Diensten geprüft wurde, obwohl ich hier weder meine IP noch eine meiner Domains veröffentlicht habe (ausser meiner Mailadresse bei der Registrierung). Und komischerweise war das der erste solche Test, der nicht von mir selbst beantragt wurde, seit ich den Server habe.
Zufälle gibt es. :lol:

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Frage zu einem Eintrag in /var/log/mail

Post by dodolin » 2003-10-24 11:54

Wirklich ein komischer Zufall, dass kurz vor diesem Posting mein MTA von mehreren Open-Relay-Test-Diensten geprüft wurde
Falls du hiermit etwas unterstellen möchtest, dann bist du paranoid. Außerdem mache ich mir nicht die Mühe, irgendwelche Nachforschungen anzustellen - bin ich viel zu faul für.

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Frage zu einem Eintrag in /var/log/mail

Post by s4fuser » 2003-10-24 18:17

Mag sein, dass ich paranoid bin. 8)
Aber das wäre ja halb so schlimm. Schliesslich habe ich ja schon einen Psychoanalytiker gefunden. 8O

Aber ich wollte natürlich nichts damit unterstellen. Ich fand nur den Zufall lustig. :wink:

Aber jetzt mal im Ernst. Da scheint wohl bei der Konfiguration was in die Hose gegangen zu sein. Da ich das nicht selbst gemacht habe, werde ich erstmal denjenigen fragen, der das für mich gemacht hat. Im Zweifelsfall werde ich mich wohl selbst da durchwühlen müssen.