<div dir="ltr"><div>@Tulp - the attacker has to 0wn your server first. In which case they will have found a password to SSH in - regardless of dovecot being there or not.<br></div><div>You will be dealing with a bigger problem than dovecot.</div><div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 11, 2022 at 5:39 PM John Tulp <<a href="mailto:johntulp@tulpholdings.com">johntulp@tulpholdings.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I find this conversation "interesting".<br>
<br>
Serveria, i think some can't see the attack scenario where the<br>
attacker's goal is simply to get email passwords, and nothing else.  it<br>
would make sense for their strategy to do nothing else "bad" on the<br>
server to attract attention to their intrusion.  In that case, all  they<br>
would do is send back the treasure trove of passwords to their home<br>
server(s), and sit there, remaining possibly for years, hiding,<br>
exploiting the fact that dovecot, with no code modification, will allow<br>
them to grab email passwords.  If a dovecot server has thousands of<br>
email accounts, that represents thousands of other devices they could<br>
target, which is worth much more to the attacker than a single dovecot<br>
server.<br>
<br>
Oh well, food for thought.<br>
<br>
<br>
On Tue, 2022-10-11 at 15:11 +0300, Serveria Support wrote:<br>
> Yes, I realize that. But I can't think of a reason this password is <br>
> necessary in the logs. It's kind of a backdoor and has to be removed <br>
> from code. Why make intruder's life easier?<br>
> <br>
> On 2022-10-11 13:39, Arjen de Korte wrote:<br>
> > Citeren Serveria Support <<a href="mailto:support@serveria.com" target="_blank">support@serveria.com</a>>:<br>
> > <br>
> >> Yes, there is a tiny problem letting the attacker change this value  <br>
> >> back to yes and instantly get access to users' passwords in plain  <br>
> >> text. Apart from that - no problems at all. :)<br>
> > <br>
> > If an attacker is able to modify your Dovecot configuration, you have<br>
> > bigger problems than leaking your users' password. Much bigger...<br>
<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div dir="ltr"><div>Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254 7 3200 0004/+254 7 2274 3223<br>"<span style="font-size:12.8px">Oh, the cruft.</span><span style="font-size:12.8px">", </span><span style="font-size:12.8px">egrep -v '^$|^.*#' </span><span style="background-color:rgb(34,34,34);color:rgb(238,238,238);font-family:"Lucida Console",Consolas,"Courier New",monospace;font-size:13.6px">¯\_(ツ)_/¯</span><span style="font-size:12.8px"> :-)</span></div></div></div></div></div>