Descripción: El servicio SMTP, al permitir el envío de contraseñas en texto plano, genera un riesgo debido a que un atacante con la capacidad de escuchar en la red de la organización pueda capturar las contraseñas de los usuarios y de esta forma suplantarlos.
CVE: N/A
Factor de Riesgo: Bajo
Valor CVSS Base: 2.6
Solución: La solución para esta vulnerabilidad se basa en configurar el servidor de correo, para que las contraseñas queden cifradas.
SERVIDORES WINDOWS: Para deshabilitar la autenticación básica
- En el Administrador del sistema de Exchange, expanda Servidores , expanda <su servidor de Exchange entrante>, expanda Protocolos y, a continuación, expanda SMTP .
- Haga clic en el servidor virtual SMTP entrante y, a continuación, haga clic en Propiedades .
- Haga clic en el Acceso y a continuación, haga clic en Autenticación .cuadro de diálogo de autenticación
- En Autenticación , desactive la autenticación básica casilla de verificación.
SERVIDORES LINUX: Para realizar el ajuste se debe seguir los siguientes pasos:
POTFIX:
archivo a editar /etc/postfix/main.cf
Validar en el archivo de configuración:
# […]
# TLS parameters
# smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
# smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
# […]
Restaurar el servicio
/etc/init.d/postfix restart