A hitelesített felhasználó és a spam

Adott egy Postfix levelezőszerver, ahol a postafiók tulajdonosai képesek nem csak levelet fogadni, hanem küldeni is. A hitelesítést a saslauthd végzi, a kommunikáció természetesen titkosítottan zajlik az 587-es porton keresztül. Elvileg minden adott ahhoz, hogy a levelezőszerver ne továbbítson kéretlen reklámlevelet. Vagy mégsem?

Sajnos van a rendszernek egy gyenge pontja.

A felhasználó, aki gyenge jelszót állít be magának.

Ha ez a jelszó ismertté válik, akkor gyakorlatilag semmi akadálya nincs annak, hogy a spammer hitelesített felhasználóként küldjön kéretlen leveleket. Mit lehet ilyenkor tenni? Rá kell venni a felhasználót, hogy adjon meg egy másik jelszót. Azonban a jelszó cseréje után még van egy nagyon fontos teendő, ha nem akarjuk azt, hogy a spammer a régi jelszó ismeretében vidáman dolgozzon tovább. A saslauthd ugyanis gyorsítótárazza a hitelesítési információkat, alapértelmezés szerint 8 óra időtartamra.

Tehát nem elég rávenni a felhasználót a jelszócserére: újra is kell indítani a saslauthd szolgáltatást.