blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
info service-mail-server-cve

Schwachstellen in Mailservern (Postfix, Exim, Dovecot, Sendmail)

Mailserver verarbeiten bei jeder Verbindung angreifer-gelieferte Daten. Bugs darin enden oft in Pre-Auth-Code-Execution oder vollständiger Mailbox-Offenlegung. Die Kategorie hinter der Exim-Welle 2019.

Warum Mailserver-Befunde Aufmerksamkeit verdienen

Drei Gründe machen Mailserver attraktiv:

  1. Sie sprechen mit jedem im Netz. Jeder Host mit offenem Port 25 nimmt Verbindungen an. Das Mail-Zustellprotokoll hat keinen Auth-Gate vor dem Protokoll-Parser.
  2. Sie verarbeiten komplexe Eingaben. Header, MIME-Strukturen, Continuation-Lines, encoded Words: Jahrzehnte angesammelter Protokoll-Komplexität. Parsing-Bugs werden zu CVEs.
  3. Sie laufen mit weiten Rechten. Mail-Spool-Verzeichnisse brauchen Lese- und Schreibrechte auf viele Dateien. Code-Execution im Mailserver bedeutet häufig vollen Lese-Zugriff auf jedes Postfach des Systems.

Die Kategorie enthält die historisch übelsten Vorfälle: die Exim-RCE-Welle 2019 (CVE-2019-10149, “Return of the WIZard”), das 2020er “21Nails”-Bündel in Exim, die Sendmail-Bugs der frühen 2000er. Sobald hier eine echte RCE landet, beginnt automatisierte Massen-Ausnutzung meist innerhalb von 24 Stunden.

Was der Scan typischerweise zeigt

Der blueredix-Scanner erkennt Mailserver-Software an SMTP-Bannern, HELO-Antworten und IMAP/POP3-Capability-Strings. Befunde zeigen die laufende Version und die anwendbaren CVEs nach derselben Filterung wie für jeden Dienst (siehe Wie man eine CVE liest).

Die wichtigsten Familien:

  • Postfix. Der häufigste Mailserver im deutschen Hosting-Markt. Sehr gute Sicherheitsbilanz; CVEs sind selten und meist konfigurationsspezifische Sonderfälle. Patches kommen meist am selben Tag.
  • Exim. Größte Install-Basis im offenen Netz (jahrelang Default bei Debian) und historisch Quelle der schlimmsten MTA-CVEs. Wer Exim betreibt, sollte jede neue CVE per Default als hoch priorisieren.
  • Dovecot (IMAP/POP3): verantwortet Authentifizierung und Mailbox-Zugriff. Auth-Bypass- und Memory-Bugs in Dovecot lassen Angreifer jede User-Mail lesen.
  • Microsoft Exchange Server. Ein eigenes Tier. Die ProxyLogon-, ProxyShell- und ProxyNotShell-Kampagnen 2021–2023 hatten Zehntausende Organisationen innerhalb von Tagen nach Patch-Release kompromittiert. Wer On-Premise Exchange betreibt, muss den Sicherheits-Tracker täglich lesen, keine Diskussion.
  • Sendmail. Auf Legacy-Systemen noch zu sehen. Moderne Systeme sollten nach Postfix migriert haben; wenn nicht, ist die Migration selbst überfällig.

Triage bei einer Mailserver-CVE

  1. Pre-Authentication-RCE in einem internet-sichtbaren Mailserver. Same-Day-Patch. Exim 2019 und Exchange 2021 sind die warnenden Beispiele.
  2. Authentifizierte Code-Execution / Privilege-Escalation. Diese Woche. Der Angreifer braucht einen Account, aber Mailserver-Accounts sind nicht schwer zu bekommen; viele KMU betreiben Mail mit schwachen Passwörtern pro Konto.
  3. Mailbox-Offenlegung / IMAP-seitige Bugs. Diese Woche. Leck der Mail-Inhalte ist ein ernstes Datenschutz-Ereignis nach DSGVO.
  4. Reine DoS- oder Config-Bugs. Nächstes Wartungsfenster, sofern EPSS keine Dringlichkeit nahelegt.

Distro-managte Builds (Debian, Ubuntu, RHEL) bekommen die “distribution-managed”-Notiz und denselben Hinweis wie bei OpenSSH: der Distro-Sicherheits-Tracker ist Ihre maßgebliche Quelle, nicht das versionsbasierte Matching.

Härtung unabhängig von CVEs

  • Mailserver, den Sie nicht brauchen, nicht laufen lassen. Viele KMU haben einen Mailserver aus dem Hosting-Setup geerbt und nutzen ihn nicht. Port 25 auf internet-sichtbaren Hosts ohne Mailfunktion abschalten.
  • In derselben Woche patchen. Mailserver-Upstreams liefern Sicherheits-Releases zügig; was Sie exponiert, ist die Deployment-Lücke, nicht die Patch-Verfügbarkeit.
  • Relay strikt einschränken. Ein Server, der für jeden relayt, ist ein Open Relay: schnell überall blacklisted und ein Vehikel, um Spam aus Ihrer IP zu versenden.
  • TLS für ein- und ausgehende Mail. Siehe unseren MTA-STS-Artikel für eingehende Mail; für ausgehende DANE konfigurieren, wenn DNSSEC vorhanden ist, sonst zumindest opportunistisches TLS aktivieren.
  • Mailserver vom Application-Server trennen. Ein Breach von mail.example.com darf nicht die Anwendungs-Datenbank erreichen. Mail auf eigenem Host (oder Container), mit eigenen Credentials, im eigenen Netzsegment.

Wie blueredix Mailserver-Befunde meldet

Pro erkanntem Mailserver: Version, erkannte Distribution (sofern erkannt) und nach Anwendbarkeits-Filter verbleibende CVEs. Befunde verlinken auf Wie man eine CVE liest für das Triage-Framework.

Der Scanner versucht keine Protokoll-Angriffe gegen Ihren Mailserver (kein Auth-Probing, keine Relay-Tests); dafür ist ein autorisierter manueller Penetrationstest der richtige Schritt.

Mehr dazu