Gần đây, một cuộc tấn công SMTP Smuggling trên Postfix đã được công bố, như đã đề cập bởi dự án Postfix:

Vài ngày trước kỳ nghỉ dài hơn 10 ngày, SEC Consult đã công bố một cuộc tấn công giả mạo email liên quan đến việc chiếm quyền dịch vụ email sử dụng sự khác biệt cụ thể trong cách xử lý kết thúc dòng sử dụng cú pháp khác với <CR><LF>.

Thật không may, thông tin quan trọng do nhà nghiên cứu cung cấp không được chuyển đến đơn vị quản lý dự án Postfix trước khi cuộc tấn công được công bố, nếu không chúng tôi chắc chắn đã thuyết phục SEC Consult hoãn việc công bố cho đến sau khi mọi người có cơ hội cập nhật Postfix hoặc các hệ thống bị ảnh hưởng khác.

Kết quả cuối cùng: một cuộc tấn công không được dự tính có thể khai thác lỗ hổng đã được công bố vì một số người không nhận thức được phạm vi của cuộc tấn công.

Hiện tại, điều này có nghĩa là cần có một bản vá từ phía Postfix để khắc phục hoàn toàn vấn đề bảo mật.

Zimbra sẽ tạo một bản vá với các tệp cấu hình cập nhật và một phiên bản Postfix cập nhật càng sớm càng tốt, trong khi đó chúng tôi khuyến nghị thêm dòng sau:

smtpd_discard_ehlo_keywords = chunking

vào cuối các file sau:

/opt/zimbra/common/conf/main.cf
/opt/zimbra/common/conf/main.cf.default
/opt/zimbra/common/conf/main.cf.proto

Bạn cần nhớ xoá dòng “smtpd_discard_ehlo_keywords =” đã có sẵn trong file /opt/zimbra/common/conf/main.cf.default

Với quyền zimbra, khởi động lại dịch vụ mta

zmmtactl restart

Bạn cũng cần kiểm tra để chắc chắn rằng dòng sau đã có sẵn trong file main.cf (mặc định):

smtpd_data_restrictions = reject_unauth_pipelining