Mit Version 13.2 wurde Docker Mailserver gegen SMTP Smuggling abgedichtet.
Wenn man selber Server Infrastruktur betreibt dann gibt es so Dinge die man über die Feiertage nicht wirklich braucht. Zum Beispiel eine Sicherheitslücke in verschiedensten SMTP Implementierungen und eine „responsible“ Disclosure wo die Meldung zwar an Microsoft und Co. geht die Macher von Postfix etc.von der Sache erst kurz vor knapp erfahren, bevor die Lücke auf dem 37c3 präsentiert wird.
Keine Ahnung warum das von Sec Consult so gemacht wurde aber vielleicht gibt es ja einen paar Worte dazu beim Talk heute: https://events.ccc.de/congress…oofing_e-mails_worldwide/
Worum geht es bei der Attacke?
– Sie ermöglich Phishing und Social Engineering in der Form das es so aussieht als käme eine Mail von einem vertrauenswürdigen Host obwohl dem nicht so ist. DMARC, DKIM, SPF ausgehebelt dadurch das CR, LF Befehle falsch / anders interpretiert werden. Man schmuggelt im Endeffekt z.B. eine Phishing Mail innerhalb einer vetrauenswürdigen E-Mail.
Wer Einzelheiten braucht: https://sec-consult.com/blog/d…oofing-e-mails-worldwide/
Was bedeutet das nun: Wer selber einen E-Mail Server betreibt sollte schauen ob der Macher des MTA (Postfix, Exim, Sendmail etc.) entweder eine aktuelle Programmversion anbietet oder zumindest Settings empfiehlt um das Problem so gut es geht abzuschwächen.
Wie gesagt ob die Form der responsible Disclosure hier so clever war weiss ich jetzt nicht. Die Postfix Entwickler waren jedoch nicht wirklich glücklich darüber erst kurz vor einem 10 tägigem Urlaub von der Lücke zu erfahren, wo andere wie Cisco, die sich offensicht einen scheiss darum kümmern (its not a bug ist a feature (sic)) , schon Monate vorher informiert waren.
Die Macher von Postfix habe nen guten Blogeintrag verfasst der auch die nötigen Settings für mehrere Postfix Versionen bereit stellt: https://www.postfix.org/smtp-smuggling.html
Postfix ist u.a. auch die Grundlage für den Docker Mailserver den ich verwende.
Zum Zeitpunkt wo ich diesen Artikel schreibe ist Version 13.0.1 des Docker Mailserver aktuell. Da diese auf Debian 11 aufbaut ist dort Postfix 3.5.18.0 installiert. Diese Postfix Version hat noch keine fixes. Den aktuellen Stand kann man beim Debian Projekt einsehen: https://security-tracker.debian.org/tracker/CVE-2023-51764
Um den Docker Mailserver so gut es geht abzusichern müssen zwei Settings gesetzt sein: smtpd_data_restrictions = reject_unauth_pipelining sowie
smtpd_discard_ehlo_keywords = chunking
Um dies zu erreichen legt ihr im config folder des Docker eine postfix_main.cf an und fügt da einfach smtpd_discard_ehlo_keywords = chunking sowie smtpd_data_restrictions = reject_unauth_pipelining ein.
Nach einem Neustart des Docker wird das Setting übernommen. Das ist im Endeffekt das einzige was ihr da derzeit tun könnt.
Ich hoffe das Debian einen Backport für das Postfix Paket macht und es daraufhin eine vernünftig gepatchte Version vom Docker Mailserver gibt.
Edit 04.01.23
Die Edge Version des Docker Mailserver bringt inzwischen Postfix 3.5.23 mit dem Longterm Fix mit, jedoch bisher noch im potentiellen instabilen Edge Zweig des Docker: https://github.com/docker-mailserver/docker-mailserver/blob/master/CHANGELOG.md