主題: 請問一個收信的安全問題

[Acoju]

我的FedoraPC架設mail伺服器，進入某一使用者的Gnome視窗系統下，這個使用者能收（root 跟一些 不能登入的mail帳號）的email，現在我開着Evolution收信，每隔一段時間會自動收信一次，我想請問這樣是不是有被監測到，因而泄漏自己帳號密碼的遺慮？

[netman]

不管你用 pop/iamp/webmail 哪種方式，只要未加密都會被攔截到密碼的風險就是了...

[jou]

意思說請啟用 pop3s/imaps 的通訊協定


POP3S要加密連線 Port=995
IMAPS Port=993

SMTPS要加密連線 Port=465
所以在 iptables 規則要打開
-A INPUT -d 59.125.46.239/32 -i eth1 -p tcp -m multiport --dports 25,80,53,109,110,143,220,465,993,995 -j ACCEPT

加密測試
when testing SSL/TLS connections they all works i.e.

# for pop:
openssl s_client -connect localhost:995

# for imap:
openssl s_client -connect localhost:993

openssl s_client -connect localhost:143 -starttls imap

查看 dovecot 設定參數
dovecot -n


驗證 IMAP 登入
telnet localhost 143
Trying ::1...
Connected to localhost.
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE STARTTLS AUTH=PLAIN] Dovecot ready.

a login 帳號 密碼

a OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS] Logged in

a logout

* BYE Logging out
a OK Logout completed.
Connection closed by foreign host.

驗證 pop3 登入
telnet localhost 110
Trying ::1...
Connected to localhost.
Escape character is '^]'.
+OK Dovecot ready. <7a5.1.4eb3849d.2IRIYALYD32GHo8hJ7CPJw==@ms2.xxxxxx.com.tw>
user jou
+OK
pass my_passwd
+OK Logged in.
quit
+OK Logging out.
Connection closed by foreign host.

[Acoju]

謝謝你們的回答
我在網路看了一些資料，想要監聽別人的資料，
一種是不是要有像警察那種監聽設備，才可以隨意監聽，
另一種是寄個有木馬的MAIL，給想要監聽對象的內部人員，只要有機會，就能達到監聽側錄的目地。
那還有其它像我們使用一般軟體一樣，在自己PC前面，打開軟體不用種木馬，就可已開始監聽對方的恐怖軟體嗎？

[rainday]

數據資料這種東西,監聽就是進行抄錄一份
有可能被抄錄的點就是來源端,目錄端,及傳送的路徑上
只要是任何一點切入,你說的都會成立
監聽本機的動作很容易
監聽遠端的,就必需要有入口點,或是成為路徑之中
基本上就是這樣的模式...

[Acoju]

...我在網路看到一篇文章
（借用自http://www.wisegeek.org/what-is-a-packet-sniffer.htm）
開頭講一般來說發email，A到B，而D是沒辦法得知A有發送email出去給B的，....
但是在傳送的過程會經過很多節點，想要攔截A所發送的email，就必須在任何一個節點上
hack動手，在之前臺灣所發生的Email駭客案就是如此，（借用自 http://www.icst.org.tw/），
是說駭客先用SMB弱點，找出該A公司內，遠方的固定連線的B公司的IP，因爲有固定的連線，
所以比較好用一些sniffer工具，這裏說的是包函了ARP欺騙工具，也就是說要用來放在節點上的
駭客工具，而在這個詐財案上，是說駭客是以try用戶名的的方式，然後以email給這個A公司的員工的方式，
來把這個蟲種到A公司去，然後監聽A公司的email的訊息。
所以我有問題？
一. 一些SMB的服務，在封包傳送時，會被看到使用者的名稱跟密碼嗎？
不過我沒在Linux上裝SAMB就是了。
二.現在的駭客工具有辦法在，不種病毒的情況下監聽對方嗎？

[twu2]

1. sniffer 工具只有在 LAN 上頭有作用 (目前單純的 hub 很少見了, 多是是用 switch, 要 sniffer 別台機器的封包還要動點手腳才可以).... 重點是, 為什麼使用者有權限可以做這些事?
2. 帳號密碼不應該用明碼的方式在網路 (LAN 也一樣) 傳送.... samba 的認證也可以選擇用加密的方式來傳送 (應該說沒這樣做的管理員都有問題吧).


截封包去解資料 (不管是加密或非加密) 都太麻煩了.... 直接弄個 keylogger 在 client 端當木馬比較快一些 (這類的 "病毒" 應該不算少...)

[dark]

這帳號應該取得 root 權限了吧

這時在 mail server 上開起來 , 只要 cat 其他帳號的 mailbox >> 過來就行了

你該仔細找看看這帳號裡哪隻程式做怪取得 root
因為 .. 除非能 vnc 進入 , 不然放個圖形介面才能動作的程式很不方便

[Acoju]

上頭說的Email網路駭客詐騙案，是不久前發生的事件，經駭客以很長時間的監聽，臺灣跟美國很多公司都因此淪陷，所以讓人有很多想像空間，想要讓自己的伺服器安全一點，當然要了解駭客駭一個站的過程。
像我現在只是小網站，所以一臺常常更新的Fedora19架伺服器，防火牆也只開埠80跟25，使用者也只有3個，沒有Linux的使用者需要做網路登入的動作，也就是把一般網路查到的保護自己伺服器的方法，會做的就盡力去做，最好讓購物買家能不需要註冊，以php網頁contactus的方式就能買到商品，因爲是我自己亂拼出來的，php網頁插入用了mail()給發一封給購買者（後來改寫去掉了，因爲倒底安不安全也不得而知），同時mail()也發一封給本機上的一個專門收信的使用者，而這個使用者是一直登入在Gnome視窗的，要做繪圖的工作，也可以順便收系統或網頁mail()送來的email，所以才會問，
沒被駭客種病毒在自己的機子上，那駭客還可以監聽到我的這位使用者，一直在收信，信的內容駭客知道嗎？
要是被email詐騙，我猜大概也只有收信者自己警覺一點，這個辦法了吧！

[日京三子]

回頭想想：

現在我開着Evolution收信，每隔一段時間會自動收信一次

這樣的意義到底在哪裡？

[jackmr]

如果您不是用無線網路

不管有沒有加密 也不用太擔心吧

至於鍵盤側錄的什麼較難防.. 不過如果你有用 gmail的話 是可以設定只有本機免第二階段驗證碼
其它裝置都得輸入手機app 產生的驗證碼，很安全