imapd - sicherheitsproblem
 

hiho,

wer meinen thread weiter unten gelesen hat - weiss dass ich einen pop3 server suchte der mehrere mail-folder verwalten kann.
citizen wies mich auf einen hin der das konnte aber nur mit mehreren virtual users.
also fand ich schliesslich wu-imapd der auf mehrere folder zugreifen kann.

und damit gleich zum grössten problem :

imapd greift auf ALLES zu !

d.h. imapd läuft als unprivilegierter user - ich konfiguriere den mail account in meinem win client (eudora) und geb ihm dort zB das Verzeichnis /etc/ als location der maildateien an.

tja - und er stellt mir den kompletten verzeichnisbaum + dateien dieses verzeichnisses dar - d.h. inklusive lesbarer passwd datei.......

zu beachten sei :

1) ich logge mich als unprivilegierter user ein !
2) imapd läuft als unprivilegierter user !
3) der user mit dem ich mich einlogge hat KEINERLEI rechte an /etc/passwd


versteht das einer von euch ??

--qu

nachtrag
 

aus der wu-imapd FAQ :

Q: Why does my IMAP client show all the files on the system, recursively from the UNIX root directory?
A:

Either you are using an poorly-written IMAP client, or your client has been misconfigured to do this. Check your client documentation for how to fix it; the "Path" or "folder prefix" should not be set to "/".

sind das spassvögel oder was ??
was heisst hier "should not be set" - das juckt einen "bad guy" sicher wenig dass man das nicht tun "soll".

der scannt einfach nach offenen imap ports - und probiert mit dem folder prefix / mehrere standard user/passwd optionen durch bis er irgendwo drinn ist - das kanns doch net wirklich sein oder ?

--qu

Ich verwende gerne courier-imap.

IMHO geht das dort nicht, aber ich habe es auch noch nicht ausprobiert.


Sloter

hi sloter,

danke für den tip - ich hab auch schon dran gedacht das mal zu probieren.
frage : kann courier imap mehrere maildateien aufmachen ?

d.h. zusätzlich zu der system-inbox mehrere dateien in anderen verzeichnissen ?

--qu

auweh - da hab ich eh schon wieder verloren :

najo - muss ich mich noch anderweitig umsehen..

Irgendwie stehe ich auf der Leitung :)

Man kann Verzeichnisse anlegen.
Ich setze es mit Qmail ein und Qmaildir ist in /var/qmail

Wenn du unter Tags morgen Zeit hast, schicke ich dir eine IP dann kannst du herumklicken :D

Sloter

hmm - mein problem ist :

courier imap verwendet das maildir format d.h. :

jede mail ist eine eigene datei die in einem mail-verzeichnis gespeichert wird.

ich verwende jedoch bei mir das flat-mail format (standard unix format) d.h.:

alle mails die ich abrufe werden in 1 (!) datei geschrieben - nacheinander.

daher kann ich courier-imap nicht nutzen...

verdammt - warum muss das immer so kompliziert sein *g*

--qu

Alles klar :)

Warum stellst du nicht um?
Ein großes File belastet nur unnötig den Rechner.

Sloter

hmm - wie ?

ich verwende postfix als MTA - eigentlich müsste ich da ansetzen oder...
mal in der postfix doku nachsehen........

--qu