- Mitglied seit
- 09. Mai 2014
- Beiträge
- 22
- Punkte für Reaktionen
- 0
- Punkte
- 0
Hallo alle zusammen,
nachdem ich mich hier durch tolle Beiträge und Hilfen gekämpft habe um meine Diskstation (DS241+ mit DSM 5.0 Update 2) ungefähr so zum Laufen zu bringen wie ich es mir auch vorstelle, denke ich ist es Zeit etwas beizutragen was meines erachtens auf eine Unsicherheit hinzuweisen scheint die mir soeben aufgefallen ist.
Ich habe meinen Mail Server am Laufen mit meinen eigenen Domains und korrekt eingerichtetem Reverse Mapping. Funktioniert so weit tadellos.
Für die Übergangszeit bis das Reverse Mapping eingerichtet war habe ich Google Relay verwendet, was auch funktionierte. Jetzt wurde es nicht mehr gebraucht, also habe ich es abgeschaltet.
Auf Grund einer anderen Geschichte habe ich angefangen bestimmte Dateien zu durchsuchen und einzusehen und dabei war auch die Datei "sasl_passwd.db" im Verzeichnis /volume1/@appstore/MailServer/etc.
Dabei viel mir auf, dass die Einträge für Google Relay im Klartext einzusehen waren - und zwar inklusive Benutzername und Passwort.
Falls also jemand sonst noch SMTP Relay verwendet, sollte er/sie dafür sorgen dass diese Datei auf keinen Fall in unautorisierte Hände fällt. Die Zugangsdaten zum Account liegen damit offen einsehbar für jedermann dr Zugriff auf die Diskstation bekommt.
Es wäre nett von Synology zu erfahren warum diese sensiblen Daten nicht ebenso unauslesbar gespeichert werden?
Wer diese Funktion mal in Gebrauch hatte und jetzt nicht mehr verwendet (so wie bei mir), sollte dringend den Bereich in der Konfiguration für den Mail Server unter der Einstellung für SMTP Relay mit unsinnigen Daten überschreiben, damit diese nicht weiter ausgelesen werden können.
Falls dies bei Linux gängige Praxis ist, dann denke ich sollten die kundigen Programmierer sich diese Sache mal näher ansehen. Ansonsten werden auch alle anderen kritischen Zugangsdaten "fast" unauslesbar abgespeichert, da sollte man hier nicht halt machen.
kitatu
nachdem ich mich hier durch tolle Beiträge und Hilfen gekämpft habe um meine Diskstation (DS241+ mit DSM 5.0 Update 2) ungefähr so zum Laufen zu bringen wie ich es mir auch vorstelle, denke ich ist es Zeit etwas beizutragen was meines erachtens auf eine Unsicherheit hinzuweisen scheint die mir soeben aufgefallen ist.
Ich habe meinen Mail Server am Laufen mit meinen eigenen Domains und korrekt eingerichtetem Reverse Mapping. Funktioniert so weit tadellos.
Für die Übergangszeit bis das Reverse Mapping eingerichtet war habe ich Google Relay verwendet, was auch funktionierte. Jetzt wurde es nicht mehr gebraucht, also habe ich es abgeschaltet.
Auf Grund einer anderen Geschichte habe ich angefangen bestimmte Dateien zu durchsuchen und einzusehen und dabei war auch die Datei "sasl_passwd.db" im Verzeichnis /volume1/@appstore/MailServer/etc.
Dabei viel mir auf, dass die Einträge für Google Relay im Klartext einzusehen waren - und zwar inklusive Benutzername und Passwort.
Falls also jemand sonst noch SMTP Relay verwendet, sollte er/sie dafür sorgen dass diese Datei auf keinen Fall in unautorisierte Hände fällt. Die Zugangsdaten zum Account liegen damit offen einsehbar für jedermann dr Zugriff auf die Diskstation bekommt.
Es wäre nett von Synology zu erfahren warum diese sensiblen Daten nicht ebenso unauslesbar gespeichert werden?
Wer diese Funktion mal in Gebrauch hatte und jetzt nicht mehr verwendet (so wie bei mir), sollte dringend den Bereich in der Konfiguration für den Mail Server unter der Einstellung für SMTP Relay mit unsinnigen Daten überschreiben, damit diese nicht weiter ausgelesen werden können.
Falls dies bei Linux gängige Praxis ist, dann denke ich sollten die kundigen Programmierer sich diese Sache mal näher ansehen. Ansonsten werden auch alle anderen kritischen Zugangsdaten "fast" unauslesbar abgespeichert, da sollte man hier nicht halt machen.
kitatu
