多邮件服务器 EXPN/VRFY 信息泄露

medium Nessus 插件 ID 10249

语言:

简介

可以枚举远程主机上有效用户的名称。

描述

远程 SMTP 服务器应答 EXPN 和/或 VRFY 命令。

EXPN 命令可用于查找邮件别名的投递地址,甚至可找出收件人的全名,VRFY 命令则可以用于检查帐户的有效性。

您的邮件程序不应允许远程用户使用这两条命令,因为它们会给与用户过多信息。

解决方案

如果您使用 Sendmail,请添加以下选项:

O PrivacyOptions=goaway

in /etc/sendmail.cf.

插件详情

严重性: Medium

ID: 10249

文件名: sendmail_expn.nasl

版本: 1.59

类型: remote

发布时间: 1999/6/22

最近更新时间: 2018/8/13

风险信息

CVSS v2

风险因素: Medium

基本分数: 5

矢量: AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

可利用: true

易利用性: Exploits are available

漏洞发布日期: 1982/8/1

可利用的方式

Metasploit (SMTP User Enumeration Utility)