Email

MailStore non autentica l’utente nonostante la password sia corretta?

06 Giugno 2014

Di recente ci siamo imbattuti in un paio di casi nei quali MailStore era stato configurato per usare servizi di directory allo scopo di sincronizzare l'elenco degli utenti con una fonte esterna.
Uno dei casi riguardava un mail server MDaemon, l'altro una macchina dotata di Kerio Connect.

In entrambi i casi, nonostante i dati dell'account utente IMAP fossero corretti, il controllo della password restituiva un errore che suggeriva un'autenticazione non andata a buon fine.
Dopo alcune analisi ci siamo accorti che un elemento che accomunava i server era che, prima ancora di aver installato MailStore, essi si sincronizzavano già con un server Active Directory esterno.
 
Genesi di un problema
 
Il problema scaturiva dal fatto che entrambi i mail server supportavano l'autenticazione protetta via CRAM-MD5: questo metodo di autenticazione sicura veniva proposto a MailStore come opzione valida per autenticare un utente IMAP.
 
Purtroppo, dal momento che i dati degli account utente non risiedono fisicamente all'interno né di MDaemon né di Kerio, quando MailStore tentava di passare al server l'hash MD5 della password per il controllo non c'era alcuna password locale da poter usare per creare un hash MD5 di confronto, e questo portava alla mancata autenticazione.
 
La comunicazione assumeva questo aspetto
  1. L'utente inserisce username e password all'interno del client MailStore.
  2. Il client MailStore trasferisce username e password al server MailStore.
  3. Il server MailStore apre una sessione IMAP con il mail server (MDaemon o Kerio) per verificare che la password sia corretta.
  4. Il mail server risponde all'interno della sessione IMAP affermando di supportare CRAM-MD5 oltre alle password in chiaro.
  5. Il server MailStore sceglie l'opzione sicura CRAM-MD5 anziché le password in chiaro e genera quindi l'hash della password inviandolo al mail server.
  6. Per verificare che la password sia corretta, il mail server deve a sua volta generare un hash simile a partire da una password memorizzata al proprio interno. Tuttavia, poiché nel mail server non risiede alcuna password utilizzabile, non è possibile calcolare l'hash e pertanto viene restituito un errore.
In entrambi i casi il mail server controllava le password collegandosi a un server Active Directory.
Per far questo il mail server deve conoscere la versione non criptata della password da inviare, e poiché invece ne possiede solamente l'hash, l'intera procedura fallisce.
Non potendo autenticare le sessioni IMAP, il server le fa cadere.
Il problema non riguarda esclusivamente le sessioni MailStore, dato che qualsiasi tentativo di stabilire un'autenticazione criptata mediante CRAM-MD5 fallirebbe in maniera simile qualora il controllo di una password Active Directory venisse effettuato dal mail server in questo modo.
 
La soluzione
 
Perché l'autenticazione possa funzionare, il mail server deve disattivare il supporto dell'autenticazione CRAM-MD5; in questo modo MailStore utilizzerà le password in chiaro funzionando come previsto.
In alternativa, MailStore o il mail server devono usare account e password locali anziché cercarli su database utente esterni come Active Directory.

(Tratto da ZenSoftware)

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.