Bonjour, J'ai une infrastructure OBM 2.3 en production et je viens de rencontrer un souci et de le diagnostiquer. Mon probleme semble regle, mais j'ai quelques petites questions :
Nous avons depoye OBM comme etant le serveur qui gere les emails de notre domaine. Son port SMTP (25) est donc accessible depuis l'internet. Comme nous avons des collaborateurs qui voyagent beaucoup, l'idee a ete de mettre en place une authentification sur le SMTP pour qu'ils puissent utiliser le serveur OBM comme serveur sortant, peu importe ou ils se trouvent, sans pour autant que le serveur OBM ne puisse servir de relais ouvert. Donc apres avoir fait l'installation classique d'OBM, nous avons ajuste la config de postfix pour qu'il demande une authentification aux clients essayant de passer par lui pour envoyer des mails a des domaines autres que le domaine qu'il gere lui meme. Tout se passait bien, et cela semblait fonctionner correctement. Jusqu'a ce qu'aujourd'hui, on realise que barracuda networks ont mis notre IP dans leur blacklist. Et de fait, en regardant d'un peu plus pres, notre serveur avait bel et bien ete utilise pour relayer du spam. J'ai refait les tests open-relay, et rien a signaler. Donc j'en ai conclus que l'attaquant arrivait en fait bien a s'authentifier. J'ai d'abord cru qu'un de nos utilisateurs avait eu ses identifiants compromis, mais apres avoir fouille dans les logs, c'est bien plus vicieux que cela : L'attaquant a utilise comme login : cyrus et comme mot de passe : cyrus En fouillant dans les fichiers d'OBM, on voit que le fichier SQL qui sert a initialiser la DB cree un certain nombre de sysusers, dont celui ci, avec des mots de passe standards. Le probleme, c'est que /etc/saslauthd.conf contient cette ligne : ldap_filter: (|(&(mailBox=%U@%d)(objectClass=obmUser)(mailAccess=PERMIT))(&(uid=%U)(cn=Administrator Cyrus)(objectClass=posixAccount))) Donc en gros, on autorise les utilisateurs OBM pour lesquels l'acces mail a ete autorise, *ET* l'utilisateur "cyrus" qui, en pratique, se trouve dans les sysusers et a pour mot de passe....... "cyrus" Resultat, j'ai modifie le filtre pour que SASL ne permette qu'aux utilisateurs "OBM" de s'authentifier. Mais du coup, je me demande vraiment pourquoi avoir aussi filtre de telle sorte que cet utilisateur "cyrus" soit autorise ? Il y a peut-etre une raison technique derriere cela, et du coup ma modif pourrait peut-etre avoir des effets indesirables ? Quelqu'un pourrait-il clarifier cela ? Merci Cordialement _______________________________________________ Obm mailing list [email protected] http://list.obm.org/mailman/listinfo/obm
