¿Por qué se escucha exim4 en el puerto 25?

8

¿Estoy malinterpretando los resultados netstat -anp --tcp --udp | grep LISTENincorrectos, o la salida significa que el proceso exim4 está escuchando el exterior en el puerto 25:

tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1960/exim4            
tcp6       0      0 ::1:25                  :::*                    LISTEN      1960/exim4    

¿Podría considerarse esto un riesgo de seguridad en una instalación predeterminada de Debian?

Morris
fuente
2
Usted está malinterpretando la salida de netstat. @enzotib es correcto. Exim se unió a la dirección de bucle invertido, y aunque ciertamente está dispuesto a aceptar intentos de conexión desde cualquier lugar, solo las conexiones que ingresen a través de la interfaz de bucle invertido lo alcanzarán para empezar.
Shadur

Respuestas:

9

Como puede ver, solo escucha en localhost (tanto IPv4 como IPv6), por lo que supongo que no es un riesgo de seguridad, pero es mejor esperar a que entre un gurú.

enzotib
fuente
1
Exim tiene un historial bastante bueno en cuanto a vulnerabilidades de seguridad. Si alguna vez tiene un problema, esta configuración permitiría a cualquier persona que inicie sesión en la máquina para explotarla. Por lo tanto, esto es solo un problema si no confía en alguien a quien le ha dado acceso de inicio de sesión.
Warren Young
En otras palabras, la salida significa que exim4solo está escuchando conexiones en la máquina local (127.0.0.1 es la dirección de host local IPv4 y :: 1 es la dirección de host local IPv6). Puede verificar eso con telnet mycomputer 25o nmap -p25 mycomputerdesde otra máquina.
Gilles 'SO- deja de ser malvado'
1

No es realmente un riesgo de seguridad, ya que solo es accesible a los procesos que ya se ejecutan en el servidor. Existen riesgos residuales que se aplican a todo el software de entrega de correo:

  • Es posible enviar suficiente correo electrónico a un usuario para usar su cuota. Esto supone que tiene las cuotas habilitadas, que no es el caso en la instalación predeterminada.
  • Posibilidad de ejecutar el código como resultado del envío del correo. Exim tiene un buen historial por ser un sistema de entrega de correo seguro.
  • Potencial para hacer que Exim aumente el promedio de carga para causar un rendimiento lento.

En una instalación predeterminada, hay formas mucho más simples de causar directamente los problemas que podrían crearse a través de Exim.

Algunas herramientas esperan enviar correos electrónicos a través de SMTP en lugar de utilizar la funcionalidad de envío de correo electrónico integrada en Exim. La desactivación de los puertos seguirá permitiendo que el correo electrónico se envíe utilizando el método sendmail, por lo que es poco probable que la desactivación de la escucha aumente la seguridad.

BillThor
fuente