plain text authentication

[PetervdH]

Zojuist even mijn de mailserver aan een aantal security testjes onderworpen op http://www.emailsecuritygrader.com/. Geen slechte van 90% echter ik krijg bij het onderdeel

SMTP Plain Text Authentication Test

een dikke onvoldoende.

TEST FAILED
Your MX(s) supports plain text AUTH


Iemand enig idee wat ik hier aan kan doen? Zie ik een bepaalde instelling in de syno over het hoofd?

Mijn dank is bij voorbaat groot.

[Briolet]

Geen idee, ik krijg vrijwel hetzelfde. Die test geeft bij mij 88%. Maar dat is omdat hij POP niet kan testen. (Gebruik ik niet, poorten staan dus dicht en is dus per definitie veilig  )

[PetervdH]

Hier ook POP op slot. Ik ben wel benieuwd waarom hij faalt voor dat gedeelte in de test.

The server will receive the lowest score if PLAIN or AUTH LOGIN are supported on port 25. The highest score is awarded if SMTP SSL is enabled, and the PLAIN and AUTH LOGIN mechanisms are not available on port 25. Note that if AUTH is not supported, your MX passes the test as plain text passwords cannot be sniffed.


Even via een telnet sessie in de command prompt met telnet mail.<SERVERNAAM>.nl 25 gedaan.

Daarna

EHLO <WILLEKEURIG>.nl

Dit kwam er als resultaat uit:

250-<SERVERNAAM>.nl
250-PIPELINING
250-SIZE 10485760
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Inderdaad staat 250-AUTH PLAIN LOGIN en 250-AUTH=PLAIN LOGIN open. Raar dat je dit niet kan uitzetten op je syno tot dusver.

[Tim__]

Idem hier hoor. Bij mij staat SSL-beveiliging voor smtp op aan, staat imap ssl ook op aan een zijn alle benodigde poorten geforward naar de Synology.

[Briolet]

Inderdaad staat 250-AUTH PLAIN LOGIN en 250-AUTH=PLAIN LOGIN open. Raar dat je dit niet kan uitzetten op je syno tot dusver.

Toch heb ik aangevinkt dat SMTP verificatie vereist is, ook vanaf de LAN. Het zou kunnen dat deze verificatie later getoetst wordt. Dus dat die plain login optie er wel lijkt te zijn, maar verderop in de aanmelding geblokkeerd wordt. Deze test probeert niet daadwerkelijk te zenden via smtp.

[Briolet]

Wat die test ook niet kan bepalen is of SPF verificatie goed werkt. Mailserver gebruikt tegenwoordig wel SPF verificatie. Op het moment weet ik ook niet of mail met een hard-fail bounced zoals de test wil hebben. Ik zou eigenlijk ook geen bounce willen hebben bij een hard fail.

Ik heb ook een externe mail provider en die laat de mail ook niet bouncen op een hard-fail maar zet die dan in de spambox en daar ben ik blij mee. Als je nml mail forward dan zal de SPF test nml altijd falen, ook op legitieme mail. Die wil je dus wel krijgen.

Ik heb ook even in het log gekeken of er plain inlogs waren. De mailing die ziggo gister stuurde ging wel beveiligd. Alleen wordt er niet gelogd via welke poort dit liep. Maar dat moet poort 25 geweest zijn, want ik had al eens getest dat Ziggo niets aflevert als poort 25 dicht zit.:

May  1 20:11:50 GedeeldeData postfix/smtpd[10164]: connect from dmta7.brightbase.net[46.31.53.7]
May  1 20:11:50 GedeeldeData postfix/smtpd[10164]: Anonymous TLS connection established from dmta7.brightbase.net[46.31.53.7]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
May  1 20:11:51 GedeeldeData postfix/policy-spf[10169]: Policy action=PREPEND Received-SPF: pass (bounces.mailplus.nl: 46.31.53.7 is authorized to use 'ret-uid=710013_a=327071_s=4683384_d=8PVA7I@bounces.mailplus.nl' in 'mfrom' identity (mechanism 'ip4:46.31.48.0/21' matched)) receiver=GedeeldeData; identity=mailfrom; envelope-from="ret-uid=710013_a=327071_s=4683384_d=8PVA7I@bounces.mailplus.nl"; helo=dmta7.brightbase.net; client-ip=46.31.53.7
May  1 20:11:52 GedeeldeData postfix/smtpd[10164]: EED87F3EC: client=dmta7.brightbase.net[46.31.53.7]
May  1 20:11:52 GedeeldeData postfix/cleanup[10173]: EED87F3EC: hold: header Received: from dmta7.brightbase.net (dmta7.brightbase.net [46.31.53.7])??(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))??(No client certificate requested)??by mijndomein.n from dmta7.brightbase.net[46.31.53.7]; from=<ret-uid=710013_a=327071_s=4683384_d=8PVA7I@bounces.mailplus.nl> to=<briolet@mijndomein.nl> proto=ESMTP helo=<dmta7.brightbase.net>
May  1 20:11:52 GedeeldeData postfix/cleanup[10173]: EED87F3EC: message-id=<4528209.3934375.1430503909662.JavaMail.mailbot@ziggo.mailplus.nl>
May  1 20:11:52 GedeeldeData postfix/smtpd[10164]: disconnect from dmta7.brightbase.net[46.31.53.7]
May  1 20:11:54 GedeeldeData postfix/qmgr[7127]: DFC70FB8A: from=<ret-uid=710013_a=327071_s=4683384_d=8pva7i@bounces.mailplus.nl>, size=71309, nrcpt=1 (queue active)
May  1 20:11:55 GedeeldeData dovecot: lda(briolet): sieve: msgid=<4528209.3934375.1430503909662.JavaMail.mailbot@ziggo.mailplus.nl>: stored mail into mailbox 'Ziggo'
May  1 20:11:55 GedeeldeData postfix/local[10188]: DFC70FB8A: to=<briolet@mijndomein.nl>, orig_to=<briolet@mijndomein.nl>, relay=local, delay=5.4, delays=4.3/0.26/0/0.84, dsn=2.0.0, status=sent (delivered to command: /var/packages/MailServer/target/libexec/dovecot/dovecot-lda -f "$SENDER" -a "$RECIPIENT")
May  1 20:11:55 GedeeldeData postfix/qmgr[7127]: DFC70FB8A: removed

NB GedeeldeData is de naam van mijn nas. Andere persoonlijke data heb ik aangepast.

Wat me opvalt in het log is de volgende zin:

(No client certificate requested)??by mijndomein.n

De 'l' mist in nl. Foutje in het log?

[Erwin1]

Ik heb hier problemen mee: IMAP Connection and Authentication Test
Iemand enig idee wat daarmee wordt bedoelt?

[PetervdH]

Ik heb hier problemen mee: IMAP Connection and Authentication Test
Iemand enig idee wat daarmee wordt bedoelt?

IMAP inschakelen : uitvinken
IMAP SSL/TLS inschakelen : aanvinken