Topic: Username nell'header delle mail spedite

[acamapixtli]

Salve a tutti,

facendo delle prove ho notato che usando il server smtp di SME Server dall'esterno, e quindi in ssmtp, nella mail che arriva è presente lo username dell'utente che l'ha inviata; faccio l'esempio, ecco cosa appare nell'header:

Received: from [IP_DEL_CLIENT] (HELO NOME_DEL_PC_CLIENT) (IP_DEL_CLIENT)
  (smtp-auth username USERNAMEUTENTE, mechanism login)
  by nome_del_server (qpsmtpd/0.40) with ESMTPA; Tue, 18 Aug 2009 17:47:31 +0200

dato che non mi pare assolutamente carino ma sopratutto sicuro che si legga lo username dell'utente, qualcuno sa come ovviare ?

Ringrazio.

[Stefano]

ciao

posto che non ci sono problemi di sicurezza se non usi password banali (ed al limite per spedire puoi avere un utente ad hoc), se non erro è qualcosa di già discusso qualche tempo fa nei forum in inglese.. ti consiglierei di ricercare.. ev. più tardi cerco anche io (mo' sono col palmare ed è una epistassi)

ciao
Stefano

[acamapixtli]

ciao

posto che non ci sono problemi di sicurezza

[cut]

Non mi risulta.
Le credenziali, è noto, sono composte dall'accoppiata username+password; una volta conosciuto lo username un terzo del lavoro dell'intruder è già fatto.
BTW ho risolto, grazie lo stesso.

[Stefano]

Non mi risulta.
Le credenziali, è noto, sono composte dall'accoppiata username+password; una volta conosciuto lo username un terzo del lavoro dell'intruder è già fatto.

posso anche concordare con te, ma ho infatti detto che se non usi password banali il problema non si pone.. e, come detto, per spedire posta puoi crearti un utente ad hoc con password MOLTO complessa

tra l'altro, se questo problema fosse veramente REALE, pensa ai milioni di utenti di libero (per fare un esempio) dei quai è noto a priori lo username... non è lo username il problema, ma la password

BTW ho risolto, grazie lo stesso.

mi fa piacere per te, ma se condividessi col prossimo il "come" sarebbe meglio, non trovi?

Ciao
Stefano

[acamapixtli]

mi fa piacere per te, ma se condividessi col prossimo il "come" sarebbe meglio, non trovi?

Eh, la fretta.
Dunque, ho semplicemente eliminato la voce $authheader dalla riga 683 del file SMTP.pm, che è rinvenibile nella directory /usr/lib/perl5/site_perl/Qpsmtpd/SMTP.pm.

In pratica la riga che prima era così:

Code: [Select]

$header->add("Received", $self->received_line($smtp, $authheader, $sslheader), 0);
diventa così

Code: [Select]

$header->add("Received", $self->received_line($smtp, $sslheader), 0);
Prima di eseguire tale operazione è comunque consigliabile eseguire un backup del file medesimo.

Bye

[Stefano]

Eh, la fretta.
Dunque, ho semplicemente eliminato la voce $authheader dalla riga 683 del file SMTP.pm, che è rinvenibile nella directory /usr/lib/perl5/site_perl/Qpsmtpd/SMTP.pm.

modifica che sarà persa ogni volta che verrà aggiornato qpsmtpd...

Stefano

[acamapixtli]

modifica che sarà persa ogni volta che verrà aggiornato qpsmtpd...

Ovvio, ma per me non è un problema dato che la frequenza di aggiornamento pare essere mooolto dilatata nel tempo.

[Stefano]

parli di qpsmtpd o di SME? presumo il primo...

[acamapixtli]

parli di qpsmtpd o di SME? presumo il primo...

Presumi bene, visto che è di quello specifico aggiornamento che stiamo parlando.

[filippoc]

dato che non mi pare assolutamente carino ma sopratutto sicuro che si legga lo username dell'utente, qualcuno sa come ovviare ?

In caso di abuso, se rimuovi lo username, non riesci a risalire all'account violato.
Stai cercando "security through obscurity", che non è una buona sicurezza.

qpsmtpd viene aggiornato abbastanza regolarmente. Su Sme verrà probabilmente aggiornato in concomitanza del rilascio della 0.83.