การตอบสนองของ EHLO จากเซิร์ฟเวอร์อีเมลสำหรับการเริ่มต้นโปรโตคอล TLS ที่เข้ารหัสเมื่อเชื่อมต่อกับ SMTP เพื่อส่งจดหมายจะปรากฏขึ้นจาก STARTTLS ไปยัง AUTH PLAIN เมื่อทำการส่งผ่าน tor แทนที่จะเป็น TCP ธรรมดา
ดังนั้นข้อมูลประจำตัวของบัญชีอีเมลสามารถส่งเป็นข้อความธรรมดาที่สามารถดักจับได้ง่ายเมื่อใช้ tor
ปัญหาพื้นฐาน: ทันใดนั้นธันเดอร์เบิร์ด (ประมาณ 08.2015) ไม่สามารถเชื่อมต่อกับ postfix / smtp ได้โดย STARTTLS อีกต่อไปผ่านทาง Tor โดยบ่นว่า STARTTLS จะไม่ถูกโฆษณา
MUA อื่นสามารถเชื่อมต่อกับ postfix / smtp ได้โดย STARTTLS ใน TCP ธรรมดาโดยไม่ต้องมีปัญหา
postfix ได้รับการกำหนดค่าให้โฆษณา STARTTLS
ดังนั้นฉันจึงโทรหา postfix / smtp สองครั้ง
- โดยตรงจาก localhost หรือจาก ip อื่นระยะไกล
- ผ่าน tor โดย proxychains
telnet โดยตรงจาก localhost หรือจาก ip ระยะไกล:
> telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 x.y.com ESMTP
EHLO a.b.com
250-x.y.com
250-PIPELINING
250-SIZE 10485760
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
QUIT
221 2.0.0 Bye
Connection closed by foreign host.
ใน TCP แบบธรรมดา STARTTLS จะโฆษณาตกลงทั้งการเชื่อมต่อจาก localhost และจากระยะไกล
ผลที่ตามมา: MUA (เอเจนต์ผู้ใช้เมล) เริ่มต้นเซสชัน TLS เพื่อส่งข้อมูลประจำตัวและอีเมลที่เข้ารหัสไปยังเซิร์ฟเวอร์คนที่อยู่ตรงกลาง (โหนด rsp. tor exit) เห็นสตรีมที่เข้ารหัสเท่านั้น
telnet ผ่าน tor โดย proxychains:
> proxychains telnet x.y.com 25
ProxyChains-3.1 (http://proxychains.sf.net)
|DNS-response|:
....
|S-chain|-<>-127.0.0.1:9050-<><>-X.X.X.X.-<><>-OK
|DNS-response| x.y.com is XX.XX.XX.XX
Trying XX.XX.XX.XX....
|S-chain|-<>-127.0.0.1:9050-<><>-XX.XX.XX.XX:25-<><>-OK
Connected to x.y.com.
Escape character is '^]'.
EHLO a.b.com
220 csds.local ESMTP
250-csds.local
250-8BITMIME
250-AUTH PLAIN LOGIN
250-XCLIENT NAME HELO
250-XFORWARD NAME ADDR PROTO HELO
250-ENHANCEDSTATUSCODES
250
quit
221 Bye
Connection closed by foreign host.
ฉันได้รับคำตอบที่แตกต่างจาก tor และโฆษณา STARTTLS หายไป แทนที่จะเข้าสู่ระบบธรรมดา 250- AUTH จะปรากฏขึ้น
ผลที่ตามมา: MUA บ่นว่า TLS เป็นไปไม่ได้และทำให้ผู้ใช้ถอยกลับไปที่ข้อมูลประจำตัวของข้อความธรรมดาหรือกลับไปใช้การพิสูจน์ตัวตนและการส่งข้อความธรรมดาโดยอัตโนมัติในกรณีหลังในที่สุดโดยไม่แจ้งให้ผู้ใช้ทราบ
ในทั้งสองกรณีเนื้อหาอีเมลและผู้ใช้ USER CREDENTIALS จะถูกเปิดเผยในแบบธรรมดาให้กับผู้ชายที่อยู่ตรงกลาง (โหนด rsp. tor exit node)
ฉันลองสิ่งนี้ด้วยตัวตนของทอร์ที่แตกต่างกัน
หากต้องการทราบว่าพฤติกรรมนี้เป็นหน้าที่ของเครือข่าย tor หรือไม่จำเป็นต้องแยกแหล่งข้อมูลอื่นออก เหล่านี้ส่วนใหญ่เป็น postfix, proxychains และซอฟต์แวร์ใด ๆ ที่ทำงานบนเซิร์ฟเวอร์ของฉัน
หากเป็น Tor ผู้ร้ายน่าจะเป็นเซิร์ฟเวอร์ทางออก ดังนั้นเซิร์ฟเวอร์ tor exit ที่ใช้โดย proxychains จะเปลี่ยนไปเมื่อมีการเปลี่ยนข้อมูลประจำตัวของ tor หรือไม่?
แต่ฉันสงสัยว่ามีพฤติกรรมที่ไม่เหมาะสมของ postfix ตั้งแต่แรก
ฉันจะทราบได้อย่างไรว่าพฤติกรรมนี้ขึ้นอยู่กับการกำหนดค่า postfix หรือฟังก์ชั่น Tor การกรอง STARTTLS
หรืออย่างอื่น?
หากเป็น postfix ฉันจะแก้ไขได้อย่างไร