Discussion:
Сервер с "250-AUTH NTLM" и exim как клиент к нему
(слишком старое сообщение для ответа)
Victor Sudakov
2016-08-05 13:07:32 UTC
Permalink
Dear All,

Не дадите ли пример, как использовать exim в качестве SMTP клиента,
при том что SMTP сервер требует "250-AUTH NTLM".

Про hosts_require_auth и hosts_try_auth я в курсе, мне бы именно как
клиентскую сторону NTLM аутентификатора сконфигурировать.

exim 4.87, собран с AUTH_SPA и AUTH_SASL, а sasl собран с NTLM.

Теперь как бы увязать это всё. Заранее спасибо.

Как сделать серверную часть NTLM, на exim wiki есть, а клиентскую что-то
нагуглить не могу.


Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Alex Korchmar
2016-08-05 12:17:01 UTC
Permalink
Victor Sudakov <***@f49.n5005.z2.fidonet.org> wrote:

VS> Hе дадите ли пример, как использовать exim в качестве SMTP клиента,
VS> при том что SMTP сервер требует "250-AUTH NTLM".
очень надеюсь, что штатными средствами никак.
Поскольку это означает хранение где-то cleartext паролей.
Alex
Eugene Grosbein
2016-08-05 19:49:36 UTC
Permalink
05 авг 2016, пятница, в 13:17 NOVT, Alex Korchmar написал(а):

VS>> Hе дадите ли пример, как использовать exim в качестве SMTP клиента,
VS>> при том что SMTP сервер требует "250-AUTH NTLM".
AK> очень надеюсь, что штатными средствами никак.
AK> Поскольку это означает хранение где-то cleartext паролей.

Какая проблема администратору персонального exim-сервера хранить
свой собственный пароль cleartext с соответствующими пермишнами -
возможно, в слегка обсфуцированном виде?

http://dadv.livejournal.com/65770.html

Eugene
--
Прекрасны тонко отшлифованная драгоценность; победитель, раненный в бою;
слон во время течки; река, высыхающая зимой; луна на исходе; юная женщина,
изнуренная наслаждением, и даятель, отдавший все нищим. (Дхарма)
Victor Sudakov
2016-08-06 09:03:56 UTC
Permalink
Dear Eugene,

05 Aug 16 22:49, you wrote to Alex Korchmar:

VS>>> Hе дадите ли пример, как использовать exim в качестве SMTP
VS>>> клиента, при том что SMTP сервер требует "250-AUTH NTLM".
AK>> очень надеюсь, что штатными средствами никак.
AK>> Поскольку это означает хранение где-то cleartext паролей.

EG> Какая проблема администратору персонального exim-сервера хранить
EG> свой собственный пароль cleartext с соответствующими пермишнами -
EG> возможно, в слегка обсфуцированном виде?

EG> http://dadv.livejournal.com/65770.html

Затаив дыхание прошёл по ссылке, а там sendmail и метод PLAIN.
Эх, обломал так обломал.

Меня бы даже устроил sendmail+NTLM, я бы часть почты с exim отдал тогда
sendmail-у, а тот уж на Exchange.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Alex Korchmar
2016-08-06 14:13:48 UTC
Permalink
Eugene Grosbein <***@f1.n5006.z2.fidonet.org> wrote:

EG> Какая проблема администратору персонального exim-сервера хранить
EG> свой собственный пароль cleartext с соответствующими пермишнами -
EG> возможно, в слегка обсфуцированном виде?
вероятно, в том что лопатой по горбу - больно?
Это не твой собственный пароль. Это пароль чужого сервера, очень навряд ли
предназначенный для хранения где-то, кроме твоей головы.
Замечу, что юзвери, лепящие пароли на монитор, в этом плане являются меньшими
$удаками - удаленно спереть такое практически невозможно, а круг имеющих
возможность срисовать ограничен физической секьюритью (если кто-то может
безнаказанно шариться в кабинете бухгалтера - у твоей организации проблема
посерьезнее сраного пароля).
Юзвери сохраняющие пароли кнопкой "запомнить пароль" - тоже, там
уже практически везде достаточно серьезное шифрование, а не "слегка
обфусцированное" (кстати, кто знает как добыть обратно пароль из IE? Как из
мазилы я знаю, а для ie вообще нет вариантов?)

опенсукси, как всегда, позади всей планеты.
Alex
Alexey Slukin
2016-08-07 05:49:10 UTC
Permalink
Здpавствуй, Alex!

Суббота 06 Августа 2016 17:13, ты писал(а) Eugene Grosbein, в сообщении по
ссылке area://ru.unix.bsd?msgid=<***@ddt.demos.su>+6e1606a3:
AK> обфусцированное" (кстати, кто знает как добыть обратно пароль из IE?
AK> Как из мазилы я знаю, а для ie вообще нет вариантов?)
kain & abel

С уважением - Alexey
Victor Sudakov
2016-08-07 16:21:32 UTC
Permalink
Dear Alex,

06 Aug 16 17:13, you wrote to Eugene Grosbein:
AK> обфусцированное" (кстати, кто знает как добыть обратно пароль из IE?
AK> Как из мазилы я знаю, а для ie вообще нет вариантов?)

Я раньше пользовался вот этой штукой:
http://www.nirsoft.net/utils/web_browser_password.html
вдруг еще работает, проверь.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Alex Korchmar
2016-08-07 16:19:35 UTC
Permalink
Victor Sudakov <***@f49.n5005.z2.fidonet.org> wrote:

AK>> обфусцированное" (кстати, кто знает как добыть обратно пароль из IE?
AK>> Как из мазилы я знаю, а для ie вообще нет вариантов?)
VS> Я раньше пользовался вот этой штукой:
VS> http://www.nirsoft.net/utils/web_browser_password.html
VS> вдруг еще работает, проверь.
написано, что вроде да, 11й поддерживает. Завтра посмотрим, кого оно там
поддерживает.
Alex
Alex Korchmar
2016-09-05 19:45:40 UTC
Permalink
Alex Korchmar <***@linux.e-moe.ru> wrote:

AK>>> обфусцированное" (кстати, кто знает как добыть обратно пароль из IE?
VS>> Я раньше пользовался вот этой штукой:
VS>> http://www.nirsoft.net/utils/web_browser_password.html
VS>> вдруг еще работает, проверь.
кстати, да, спасибо - сработала.
Hажатие кнопки "запомнить пароль" нифига не помогает запомнить пароль.
Alex
Eugene Grosbein
2016-08-09 15:13:15 UTC
Permalink
06 авг 2016, суббота, в 15:13 NOVT, Alex Korchmar написал(а):

EG>> Какая проблема администратору персонального exim-сервера хранить
EG>> свой собственный пароль cleartext с соответствующими пермишнами -
EG>> возможно, в слегка обсфуцированном виде?
AK> вероятно, в том что лопатой по горбу - больно?
AK> Это не твой собственный пароль. Это пароль чужого сервера,

Это пароль моего собственного аккаунта на чужом сервере.
Используется только для отправки почты абонентам этого же сервера,
потому как отправка абонентам других серверов идёт мимо него,
как и входящая почта.

AK> очень навряд ли предназначенный для хранения где-то, кроме твоей головы.

Это нигде не прописано.

AK> Замечу, что юзвери, лепящие пароли на монитор, в этом плане являются
AK> меньшими
AK> $удаками - удаленно спереть такое практически невозможно,

Разве что попадёт на селфи соседки и потом в её аккаунт вконтактике,
но ведь так не бывает, верно?

AK> Юзвери сохраняющие пароли кнопкой "запомнить пароль" - тоже, там
AK> уже практически везде достаточно серьезное шифрование, а не "слегка
AK> обфусцированное" (кстати, кто знает как добыть обратно пароль из IE? Как
AK> из
AK> мазилы я знаю, а для ie вообще нет вариантов?)

Сделать запрос по нешифрованному протоколу и проснифать трафик, к примеру.

Eugene
Alex Korchmar
2016-08-09 20:50:05 UTC
Permalink
Eugene Grosbein <***@f1.n5006.z2.fidonet.org> wrote:

AK>> вероятно, в том что лопатой по горбу - больно?
AK>> Это не твой собственный пароль. Это пароль чужого сервера,
EG> Это пароль моего собственного аккаунта на чужом сервере.
именно. Обращаться как с банковской картой - "property of Bank Name".
Hи карта, ни счет твоей собственностью не являются и при неправильном поведении
мгновенно превращаются в тыкву, возможно небесплатно для тебя. То что лежит
на счету - может быть и "собственное". А может и не быть.

EG> Используется только для отправки почты абонентам этого же сервера,
это тобой он так используется. А при его продолбе может быть использован,
внезапно, совсем не туда.
К примеру, ldap обычно позволяет поисковые запросы для Authenticated.
И много еще для чего, о чем хрен догадаешься. Победить это практически
невозможно, примерно из той же серии как предоставить доступ к ssh без
возможности изображать непредусмотренный маршрутизатор.

EG> Это нигде не прописано.
лопата вот зато рядом лежит.

AK>> Замечу, что юзвери, лепящие пароли на монитор, в этом плане являются
AK>> меньшими
AK>> $удаками - удаленно спереть такое практически невозможно,
EG> Разве что попадёт на селфи соседки и потом в её аккаунт вконтактике,
и при этом еще и надо чтобы оттуда можно было извлечь информацию от чего это
пароль - что далеко не для каждого акаунта верно.

EG> но ведь так не бывает, верно?
ну в целом - тоже должно оплачиваться лопатой по горбу - за селфи на рабочем
месте, за вконтактик там же, и в последнюю очередь за бумажку с паролем под
экраном - потому что на экране мог быть открыт документ, ведущий к гораздо
более серьезным проблемам.

EG> Сделать запрос по нешифрованному протоколу и проснифать трафик, к примеру.
где ж я его тебе возьму, если "сохранить пароль" нажато на конкретном урле,
и только для него и будет автоматически подставлен?
Поднимать свой хост с левым dns, разьве что...
Alex
Eugene Grosbein
2016-08-10 10:54:08 UTC
Permalink
09 авг 2016, вторник, в 21:50 NOVT, Alex Korchmar написал(а):

AK>>> вероятно, в том что лопатой по горбу - больно?
AK>>> Это не твой собственный пароль. Это пароль чужого сервера,
EG>> Это пароль моего собственного аккаунта на чужом сервере.
AK> именно. Обращаться как с банковской картой - "property of Bank Name".

Hиоткуда не следует.

EG>> Используется только для отправки почты абонентам этого же сервера,
AK> это тобой он так используется. А при его продолбе может быть использован,
AK> внезапно, совсем не туда.
AK> К примеру, ldap обычно позволяет поисковые запросы для Authenticated.

Опять обобщаешь свой частный опыт на весь мир. Какой ещё ldap на конторском
postfix.

AK>>> Замечу, что юзвери, лепящие пароли на монитор, в этом плане являются
AK>>> меньшими
AK>>> $удаками - удаленно спереть такое практически невозможно,
EG>> Разве что попадёт на селфи соседки и потом в её аккаунт вконтактике,
AK> и при этом еще и надо чтобы оттуда можно было извлечь информацию от чего
AK> это
AK> пароль - что далеко не для каждого акаунта верно.
EG>> но ведь так не бывает, верно?
AK> ну в целом - тоже должно оплачиваться лопатой по горбу - за селфи на
AK> рабочем
AK> месте,

Указано в каком-то внутреннем документе "под роспись"?

AK> за вконтактик там же,

А вконтактик дома, фотачка из серии "я и моя сраная работа".

AK> и в последнюю очередь за бумажку с паролем под
AK> экраном - потому что на экране мог быть открыт документ, ведущий к гораздо
AK> более серьезным проблемам.

В последнюю очередь, говоришь? :-)
А снимать могли ещё и для корпоративного календаря, ну или вообще в телеэфир
пустить сюжетец, как это было в ставшем уже классическим эпизоде про банк.

EG>> Сделать запрос по нешифрованному протоколу и проснифать трафик, к
EG>> примеру.
AK> где ж я его тебе возьму, если "сохранить пароль" нажато на конкретном
AK> урле,
AK> и только для него и будет автоматически подставлен?
AK> Поднимать свой хост с левым dns, разьве что...

Прокси.

Eugene
--
Поэты - страшные люди. У них все святое.
Alex Korchmar
2016-08-10 06:49:54 UTC
Permalink
Eugene Grosbein <***@f1.n5006.z2.fidonet.org> wrote:

AK>> именно. Обращаться как с банковской картой - "property of Bank Name".
EG> Hиоткуда не следует.
вот ровно из того что сервер не твой личный и следует. Банковские карты - они
для тупых, там принято это писать крупными буквами.

AK>> К примеру, ldap обычно позволяет поисковые запросы для Authenticated.
EG> Опять обобщаешь свой частный опыт на весь мир. Какой ещё ldap на конторском
EG> postfix.
какой еще ntlm auth на конторский поцфикс? Вот если этот поцфикс на самом деле
фронтенд к эксченджу, чтоб нормальным людям денег не платить - то там и ldap
где-то рядышком и именно с этими credentials.

AK>> ну в целом - тоже должно оплачиваться лопатой по горбу - за селфи на
AK>> рабочем
AK>> месте,
EG> Указано в каком-то внутреннем документе "под роспись"?
ни в каком документе под роспись не указано, что нельзя срать на стол
генитальному директору. Hу, ты попробуй.

AK>> за вконтактик там же,
EG> А вконтактик дома, фотачка из серии "я и моя сраная работа".
это очень сложно для офисных хрюшек - донести фотачку до дома, когда ее
можно сразу запостить, как зачесалось.
Hо в нормально поставленной системе безопасности лайкорефлекс хрюшкам
отшибают на раз.

AK>> и в последнюю очередь за бумажку с паролем под
AK>> экраном - потому что на экране мог быть открыт документ, ведущий к гораздо
AK>> более серьезным проблемам.
EG> В последнюю очередь, говоришь? :-)
да.
EG> А снимать могли ещё и для корпоративного календаря, ну или вообще в
EG> телеэфир пустить сюжетец, как это было в ставшем уже классическим
EG> эпизоде про банк.
эпизоды про банк, у которого просто на столе лежало что-то лишнее, на бумаге
- не попадают в желтую прессу, потому что это слишком очевидно и малоинтересно,
но случаются гораздо чаще. Потому что пароль еще куда-то применить надо, а тут
в готовом виде. Еще можно просто кошелек со стола стыздить (всегда так делаю).

И да, в нормальных конторах где мне доводилось работать - перед визитом сраных
телевизионщиков проходил глобальный шухер (и их не пускали дальше заранее
отмеренного рубежа, где все зачищено и крошки из клавиатуры вытряхнуты).
Мою бумажку с паролем, кстати, ни разу не заметили. А вот любимую картину
как-то попросили снять. Якобы во избежание наездов копирастов (поверил, ага).

AK>> Поднимать свой хост с левым dns, разьве что...
EG> Прокси.
уже есть, не оверрайдится
Alex
Eugene Grosbein
2016-08-10 18:08:48 UTC
Permalink
10 авг 2016, среда, в 07:49 NOVT, Alex Korchmar написал(а):

AK>>> именно. Обращаться как с банковской картой - "property of Bank Name".
EG>> Hиоткуда не следует.
AK> вот ровно из того что сервер не твой личный и следует. Банковские карты -
AK> они
AK> для тупых, там принято это писать крупными буквами.

Hе вижу логической связки между "сервер не твой личный"
и "нельзя хранить пароль к учетке открытым текстом".

AK>>> за вконтактик там же,
EG>> А вконтактик дома, фотачка из серии "я и моя сраная работа".
AK> это очень сложно для офисных хрюшек - донести фотачку до дома, когда ее
AK> можно сразу запостить, как зачесалось.

Вообще и до дома тащить не надо, смартфончик сам запостит через приложение
и GSM-сеть.

EG>> А снимать могли ещё и для корпоративного календаря, ну или вообще в
EG>> телеэфир пустить сюжетец, как это было в ставшем уже классическим
EG>> эпизоде про банк.
AK> эпизоды про банк, у которого просто на столе лежало что-то лишнее, на
AK> бумаге
AK> - не попадают в желтую прессу

Hе лежало на столе - на стенке было приклеено за плечами снимаемого.

AK>>> Поднимать свой хост с левым dns, разьве что...
EG>> Прокси.
AK> уже есть, не оверрайдится

Hа нём и смотреть. Или трафик до него снифать.

Eugene
--
Поэты - страшные люди. У них все святое.
Victor Sudakov
2016-08-06 08:59:30 UTC
Permalink
Dear Alex,

05 Aug 16 15:17, you wrote to me:

VS>> Hе дадите ли пример, как использовать exim в качестве SMTP
VS>> клиента, при том что SMTP сервер требует "250-AUTH NTLM".
AK> очень надеюсь, что штатными средствами никак.
AK> Поскольку это означает хранение где-то cleartext паролей.

Почему "паролей", когда "пароля"? На стороне клиента (где exim) будет лежать
один cleartext пароль в конфиге, и пусть лежит. Кроме как для отправки почты
через данный Exchange, его ни для чего плохого применить нельзя.

Между прочим, cleartext пароль понадобится хранить на стороне клиента и для
многих других безопасных методов SMTP аутентификации, чудес не бывает.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Alex Korchmar
2016-08-06 14:07:17 UTC
Permalink
Victor Sudakov <***@f49.n5005.z2.fidonet.org> wrote:

VS> один cleartext пароль в конфиге, и пусть лежит. Кроме как для
VS> отправки почты через данный Exchange, его ни для чего плохого
VS> применить нельзя.
админ данного эксченджа точно это подтвердил, а не наивно полагает что
паролем пользуется нормальный пользователь с нормальным клиентом?
Я вот плохой виндовсадмин, я не знаю как завести такой акаунт (учитывая
виндовые странные особенности с юзером everyone и аналогичными, и феерический
склад грабель, если пытаться это изменить глобально).

VS> Между прочим, cleartext пароль понадобится хранить на стороне клиента и для
VS> многих других безопасных методов SMTP аутентификации, чудес не бывает.
большинство "безопасных методов smtp аутентификации", безусловно, полное
фуфло.
Hо некоторые из них хотя бы не пытаются аутентифицировать сервер
юзерским акаунтом, как в твоем случае.
Alex
Victor Sudakov
2016-08-06 21:49:32 UTC
Permalink
Dear Alex,

06 Aug 16 17:07, you wrote to me:

VS>> один cleartext пароль в конфиге, и пусть лежит. Кроме как для
VS>> отправки почты через данный Exchange, его ни для чего плохого
VS>> применить нельзя.
AK> админ данного эксченджа точно это подтвердил, а не наивно полагает что
AK> паролем пользуется нормальный пользователь с нормальным клиентом? Я
AK> вот плохой виндовсадмин, я не знаю как завести такой акаунт (учитывая

А ХЗ, этот пароль в разных сканерах и МФУ прописан, чтобы на почту сканы слать
могли. Думаю уже пофиг.

Я кстати вроде как нашел, как делать клиентский spa, должно быть то же самое,
что NTLM, и видно как идет NTLM-обмен но блин в конце "535 5.7.3 Authentication
unsuccessful."

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Alex Korchmar
2016-08-06 20:55:01 UTC
Permalink
Victor Sudakov <***@f49.n5005.z2.fidonet.org> wrote:

VS> А ХЗ, этот пароль в разных сканерах и МФУ прописан
его оттуда извлечь - гораздо сложнее, чем из универсального фрюникса.
Так что и такое использование - более безопасное.

Кстати, а просто договориться с админом чтобы для тебя сделали другой
коннектор (или как там оно нынче у них называется) не проще ли?
Alex
Victor Sudakov
2016-08-07 08:46:10 UTC
Permalink
Dear Alex,

06 Aug 16 23:55, you wrote to me:

VS>> А ХЗ, этот пароль в разных сканерах и МФУ прописан
AK> его оттуда извлечь - гораздо сложнее, чем из универсального фрюникса.
AK> Так что и такое использование - более безопасное.

А не факт. Базовую систему и порты я обновляю регулярно и лишние сервисы наружу
не смотрят, а в МФУ окаменевшие линуксы, не удивлюсь если с кучей дыр с remote
root. Потому что кто бы их обновлял и кто бы отключал лишнее, а по умолчанию
там и lpd, и самба, и FTP, и HTTP, и бонжур какой-то и еще дофига всего.

AK> Кстати, а просто договориться с админом чтобы для тебя сделали другой
AK> коннектор (или как там оно нынче у них называется) не проще ли?

Так и сделаем, если сабж не заработает, но это будет означать привязку к IP
адресу клиента, чего не хотелось бы.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Victor Sudakov
2016-08-11 13:48:48 UTC
Permalink
Dear All,

05 Aug 16 16:07, I wrote to you:

VS> Не дадите ли пример, как использовать exim в качестве SMTP клиента,
VS> при том что SMTP сервер требует "250-AUTH NTLM".

Вот так работает, как показано ниже. kontora.example - это домен с хитрым
Exchange сервером, на котором нужно авторизоваться для отправки.

begin routers

kontora:
domains = kontora.example
driver = manualroute
transport = remote_smtp
route_list = * relay.kontora.example

begin transports

remote_smtp:
driver = smtp
hosts_require_auth = relay.kontora.example


begin authenticators

NTLM:
driver = spa
public_name = NTLM
client_username = mfu
client_password = YYYYYYYYYYYYY
client_domain = kontora.example


Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Loading...