[Obm] Cyrus SASL, cyrus sysuser et LDAP filter

Francois Goudal fg at satcom1.com
Fri Feb 8 16:23:04 CET 2013 

Bonjour,

J'ai une infrastructure OBM 2.3 en production et je viens de rencontrer 
un souci et de le diagnostiquer. Mon probleme semble regle, mais j'ai 
quelques petites questions :

Nous avons depoye OBM comme etant le serveur qui gere les emails de 
notre domaine. Son port SMTP (25) est donc accessible depuis l'internet.
Comme nous avons des collaborateurs qui voyagent beaucoup, l'idee a ete 
de mettre en place une authentification sur le SMTP pour qu'ils puissent 
utiliser le serveur OBM comme serveur sortant, peu importe ou ils se 
trouvent, sans pour autant que le serveur OBM ne puisse servir de relais 
ouvert.

Donc apres avoir fait l'installation classique d'OBM, nous avons ajuste 
la config de postfix pour qu'il demande une authentification aux clients 
essayant de passer par lui pour envoyer des mails a des domaines autres 
que le domaine qu'il gere lui meme.
Tout se passait bien, et cela semblait fonctionner correctement.

Jusqu'a ce qu'aujourd'hui, on realise que barracuda networks ont mis 
notre IP dans leur blacklist. Et de fait, en regardant d'un peu plus 
pres, notre serveur avait bel et bien ete utilise pour relayer du spam.
J'ai refait les tests open-relay, et rien a signaler. Donc j'en ai 
conclus que l'attaquant arrivait en fait bien a s'authentifier. J'ai 
d'abord cru qu'un de nos utilisateurs avait eu ses identifiants 
compromis, mais apres avoir fouille dans les logs, c'est bien plus 
vicieux que cela :

L'attaquant a utilise comme login : cyrus et comme mot de passe : cyrus

En fouillant dans les fichiers d'OBM, on voit que le fichier SQL qui 
sert a initialiser la DB cree un certain nombre de sysusers, dont celui 
ci, avec des mots de passe standards.

Le probleme, c'est que /etc/saslauthd.conf contient cette ligne :

ldap_filter: 
(|(&(mailBox=%U@%d)(objectClass=obmUser)(mailAccess=PERMIT))(&(uid=%U)(cn=Administrator 
Cyrus)(objectClass=posixAccount)))

Donc en gros, on autorise les utilisateurs OBM pour lesquels l'acces 
mail a ete autorise, *ET* l'utilisateur "cyrus" qui, en pratique, se 
trouve dans les sysusers et a pour mot de passe....... "cyrus"

Resultat, j'ai modifie le filtre pour que SASL ne permette qu'aux 
utilisateurs "OBM" de s'authentifier. Mais du coup, je me demande 
vraiment pourquoi avoir aussi filtre de telle sorte que cet utilisateur 
"cyrus" soit autorise ?
Il y a peut-etre une raison technique derriere cela, et du coup ma modif 
pourrait peut-etre avoir des effets indesirables ?

Quelqu'un pourrait-il clarifier cela ?

Merci
Cordialement

More information about the Obm mailing list