Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-816

[Generic/SMTP] Mailserver und hohe Zahl aktiver Verbindungen
(2002-05-21 14:47:45.88903+00)


Am Freitag, dem 17. Mai 2002, waren zahlreiche Mailserver im BelWü nur eingeschränkt funktionsfähig. Ein Problem auf TCP-Ebene wurde durch ungünstige Mailserver-Konfiguration verstärkt.

Betroffene Systeme

Auswirkung
Bei bestimmten Problemen auf Transportebene und Denial of Service-Angriffen reagieren Mailserver in ungünstiger Konfiguration in einer Weise, die einen Eingriff des Administrators erfordert (eventuell einen Systemneustart).

Beschreibung
Am Freitag, dem 17. Mai 2002, kam es BelWü-weit zu Störungen der Mail-Zustellung. Die Störung war nicht, wie zunächst vermutet, ein gezielter Angriff, denn SMTP-Verbindungen froren lediglich während der Übertragung der Nachricht ein. (Häufig geschah dies an der Stelle nach dem DATA-Kommando, an dem die andere Seite den Empfang der Nachricht bestätigen sollte. Dadurch wurden möglicherweise Nachrichten mehrfach übertragen, da die ersten Versuche keine Erfolgsmeldung der Gegenstelle lieferten.) Diese Störung führte dazu, daß zentrale Mailserver eine ungewöhnlich hohe Zahl von Verbindungen gleichzeitig handhaben mußten und daß auf diesen Systemen in der Folge typischerweise viele Mail-Server-Prozesse parallel liefen. Es ist daher wichtig (auch als Schutz vor gezielten Angriffen), daß die Prozesszahl beschränkt wird.

In sendmail wird in üblichen Konfigurationen versucht, eine System-Überlastung rechtzeitig zu erkennen. Die Erfahrung zeigt, daß Beschränkungen, die über den load average arbeiten, häufig nicht rechtzeitig greifen, und daß dadurch zu viele Server-Prozesse gestartet werden. Bei vielen Systemen führt dies zu einem Speicherengpaß, den der Kernel dadurch behebt, daß irgendwelche Prozesse beendet werden (also nicht unbedingt einer der zahlreichen Mail-Server-Prozesse). Dies führt wiederum dazu, daß das System nach dem Wegfall der Störung u.U. nicht weiterarbeitet wie davor, da essentielle Prozesse (wie z.B. syslogd) fehlen.

Generell sind Denial of Service-Attacken und Mail ein heikles Thema, da SMTP-Server-Implementierungen durch das Protokoll verpflichtet sind, unter Einsatz nicht vernachlässigbarer Ressourcen (insbesondere Zeit, während der Verbindungen gebunden sind) die Zustellung einer Nachricht sicherzustellen.

Feststellen der Verwundbarkeit
Das RUS-CERT führt auf Wunsch Lasttests für Mailserver an der Universität Stuttgart durch. Bitte wenden Sie sich dazu an CERT@Uni-Stuttgart.DE.

Gegenmaßnahmen
Im folgenden wird davon ausgegangen, daß der Mail-Server nicht über inetd gestartet wird, was ab einem gewissen Nachrichtenvolumen grundsätzlich empfehlenswert ist.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=816