imapd - sicherheitsproblem

quaylar · 05.03.2002, 19:19

hiho,

wer meinen thread weiter unten gelesen hat - weiss dass ich einen pop3 server suchte der mehrere mail-folder verwalten kann.
citizen wies mich auf einen hin der das konnte aber nur mit mehreren virtual users.
also fand ich schliesslich wu-imapd der auf mehrere folder zugreifen kann.

und damit gleich zum grössten problem :

imapd greift auf ALLES zu !

d.h. imapd läuft als unprivilegierter user - ich konfiguriere den mail account in meinem win client (eudora) und geb ihm dort zB das Verzeichnis /etc/ als location der maildateien an.

tja - und er stellt mir den kompletten verzeichnisbaum + dateien dieses verzeichnisses dar - d.h. inklusive lesbarer passwd datei.......

zu beachten sei :

1) ich logge mich als unprivilegierter user ein !
2) imapd läuft als unprivilegierter user !
3) der user mit dem ich mich einlogge hat KEINERLEI rechte an /etc/passwd

versteht das einer von euch ??

--qu

quaylar · 05.03.2002, 19:32

aus der wu-imapd FAQ :

Q: Why does my IMAP client show all the files on the system, recursively from the UNIX root directory?
A:

Either you are using an poorly-written IMAP client, or your client has been misconfigured to do this. Check your client documentation for how to fix it; the "Path" or "folder prefix" should not be set to "/".

sind das spassvögel oder was ??
was heisst hier "should not be set" - das juckt einen "bad guy" sicher wenig dass man das nicht tun "soll".

der scannt einfach nach offenen imap ports - und probiert mit dem folder prefix / mehrere standard user/passwd optionen durch bis er irgendwo drinn ist - das kanns doch net wirklich sein oder ?

--qu

Sloter · 05.03.2002, 20:19

Ich verwende gerne courier-imap.

IMHO geht das dort nicht, aber ich habe es auch noch nicht ausprobiert.

Sloter

quaylar · 05.03.2002, 20:30

hi sloter,

danke für den tip - ich hab auch schon dran gedacht das mal zu probieren.
frage : kann courier imap mehrere maildateien aufmachen ?

d.h. zusätzlich zu der system-inbox mehrere dateien in anderen verzeichnissen ?

--qu

quaylar · 05.03.2002, 20:33

auweh - da hab ich eh schon wieder verloren :

Zitat:

Courier-IMAP is a server that provides IMAP access to Maildirs. This IMAP server does NOT handle traditional mailbox files (/var/spool/mail, and derivatives), it was written for the specific purpose of providing IMAP access to Maildirs.

najo - muss ich mich noch anderweitig umsehen..

Sloter · 05.03.2002, 20:40

Irgendwie stehe ich auf der Leitung

Man kann Verzeichnisse anlegen.
Ich setze es mit Qmail ein und Qmaildir ist in /var/qmail

Wenn du unter Tags morgen Zeit hast, schicke ich dir eine IP dann kannst du herumklicken

Sloter

quaylar · 05.03.2002, 20:56

hmm - mein problem ist :

courier imap verwendet das maildir format d.h. :

jede mail ist eine eigene datei die in einem mail-verzeichnis gespeichert wird.

ich verwende jedoch bei mir das flat-mail format (standard unix format) d.h.:

alle mails die ich abrufe werden in 1 (!) datei geschrieben - nacheinander.

daher kann ich courier-imap nicht nutzen...

verdammt - warum muss das immer so kompliziert sein *g*

--qu

Sloter · 05.03.2002, 21:29

Alles klar

Warum stellst du nicht um?
Ein großes File belastet nur unnötig den Rechner.

Sloter

quaylar · 05.03.2002, 21:35

hmm - wie ?

ich verwende postfix als MTA - eigentlich müsste ich da ansetzen oder...
mal in der postfix doku nachsehen........

--qu

05.03.2002, 19:19	#1
quaylar Hero Registriert seit: 28.09.2001 Beiträge: 940	imapd - sicherheitsproblem hiho, wer meinen thread weiter unten gelesen hat - weiss dass ich einen pop3 server suchte der mehrere mail-folder verwalten kann. citizen wies mich auf einen hin der das konnte aber nur mit mehreren virtual users. also fand ich schliesslich wu-imapd der auf mehrere folder zugreifen kann. und damit gleich zum grössten problem : imapd greift auf ALLES zu ! d.h. imapd läuft als unprivilegierter user - ich konfiguriere den mail account in meinem win client (eudora) und geb ihm dort zB das Verzeichnis /etc/ als location der maildateien an. tja - und er stellt mir den kompletten verzeichnisbaum + dateien dieses verzeichnisses dar - d.h. inklusive lesbarer passwd datei....... zu beachten sei : 1) ich logge mich als unprivilegierter user ein ! 2) imapd läuft als unprivilegierter user ! 3) der user mit dem ich mich einlogge hat KEINERLEI rechte an /etc/passwd versteht das einer von euch ?? --qu ____________________________________ Those who desire to give up Freedom in order to gain Security, will not have, nor do they deserve, either one. -- Benjamin Franklin

05.03.2002, 19:32	#2
quaylar Hero Registriert seit: 28.09.2001 Beiträge: 940	nachtrag aus der wu-imapd FAQ : Q: Why does my IMAP client show all the files on the system, recursively from the UNIX root directory? A: Either you are using an poorly-written IMAP client, or your client has been misconfigured to do this. Check your client documentation for how to fix it; the "Path" or "folder prefix" should not be set to "/". sind das spassvögel oder was ?? was heisst hier "should not be set" - das juckt einen "bad guy" sicher wenig dass man das nicht tun "soll". der scannt einfach nach offenen imap ports - und probiert mit dem folder prefix / mehrere standard user/passwd optionen durch bis er irgendwo drinn ist - das kanns doch net wirklich sein oder ? --qu ____________________________________ Those who desire to give up Freedom in order to gain Security, will not have, nor do they deserve, either one. -- Benjamin Franklin

05.03.2002, 20:30	#4
quaylar Hero Registriert seit: 28.09.2001 Beiträge: 940	hi sloter, danke für den tip - ich hab auch schon dran gedacht das mal zu probieren. frage : kann courier imap mehrere maildateien aufmachen ? d.h. zusätzlich zu der system-inbox mehrere dateien in anderen verzeichnissen ? --qu ____________________________________ Those who desire to give up Freedom in order to gain Security, will not have, nor do they deserve, either one. -- Benjamin Franklin

05.03.2002, 20:56	#7
quaylar Hero Registriert seit: 28.09.2001 Beiträge: 940	hmm - mein problem ist : courier imap verwendet das maildir format d.h. : jede mail ist eine eigene datei die in einem mail-verzeichnis gespeichert wird. ich verwende jedoch bei mir das flat-mail format (standard unix format) d.h.: alle mails die ich abrufe werden in 1 (!) datei geschrieben - nacheinander. daher kann ich courier-imap nicht nutzen... verdammt - warum muss das immer so kompliziert sein g --qu ____________________________________ Those who desire to give up Freedom in order to gain Security, will not have, nor do they deserve, either one. -- Benjamin Franklin

05.03.2002, 21:35	#9
quaylar Hero Registriert seit: 28.09.2001 Beiträge: 940	hmm - wie ? ich verwende postfix als MTA - eigentlich müsste ich da ansetzen oder... mal in der postfix doku nachsehen........ --qu ____________________________________ Those who desire to give up Freedom in order to gain Security, will not have, nor do they deserve, either one. -- Benjamin Franklin

05.03.2002, 20:19	#3
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Ich verwende gerne courier-imap. IMHO geht das dort nicht, aber ich habe es auch noch nicht ausprobiert. Sloter

05.03.2002, 20:40	#6
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Irgendwie stehe ich auf der Leitung Man kann Verzeichnisse anlegen. Ich setze es mit Qmail ein und Qmaildir ist in /var/qmail Wenn du unter Tags morgen Zeit hast, schicke ich dir eine IP dann kannst du herumklicken Sloter

05.03.2002, 21:29	#8
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Alles klar Warum stellst du nicht um? Ein großes File belastet nur unnötig den Rechner. Sloter

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)