Не полный лог, нет IP
> "EHLO -?+microsof-9dlveu SMTP" 250 294 > "MAIL -?+FROM:<test@yahoo.com> SMTP" 250 39 > "RCPT -?+TO:<user2@989888.com> SMTP" 250 29 > Для справки, домен у меня совсем не 989888.com
После этого SMTP устанавливает исходящий коннект с сервером 989888.com?
А может microsof-9dlveu - это комп твоего домена, просто кто-то посылает письмо не со своим обратным адресом а с адресом test@yahoo.com.
Вот:
2003-02-11 05:08:26 192.168.75.62 f12user EHLO - +f12user 250 0 329 13 -
2003-02-11 05:08:26 192.168.75.62 f12user MAIL - +FROM:+<user1@mail.ru> 250 0 54 42 -
2003-02-11 05:08:26 192.168.75.62 f12user RCPT - +TO:+<User2@mail.ru> 250 0 31 29 -
f12user - комп в моей сети и у пользователя на нём адрес USER@MyDomain.ru, но посылает он письмо от имени user1@mai.ru
а если ты хочешь заставить своих пользователей отправлять письма только со своими E-Mail - то это отдельный разговор
Какие-то непонятки с сабжем. Торчит в инет виртуальный сервер Exhchange2K. На сколько я представляю, SMTP настроен корректно: Anonymous access разрешён, включена Basic authentication, relay разрешён только аутентифицированным пользователям. Telnet на 25 порт с последующей попыткой ручного релея вполне адекватно посылает куда подальше. Отправка почты через него работает только по логину-паролю. На первый взгляд, красота. И самое интересное что всё работало достаточно долго без нареканий. Но не так давно в логе стало появляться следующее:
"EHLO -?+microsof-9dlveu SMTP" 250 294
"MAIL -?+FROM:<test@yahoo.com> SMTP" 250 39
"RCPT -?+TO:<user2@989888.com> SMTP" 250 29
Для справки, домен у меня совсем не 989888.com
При этом есть и такое:
"HELO -?+dreamwiz.com SMTP" 250 43
"MAIL -?+from+:+<dldbsrudgjwn@dreamwiz.com> SMTP" 250 50
"RCPT -?+to+:+<dnpqelffj@hanmail.net> SMTP" 550 53
Иными словами, подозреваю что есть какой-то путь несанкционированного релея. Отключаю анонимный аксцесс - вроде бы как пропадают такие записи. Хотя не уверен - ибо крайне редко пока что пользуются.
Не подскажет ли многоувожаемый all, как бы это порешать? Отключать анонимуса не предлагать - почту-то принимать надо.
Заранее спасибо.
1) В том, что Вы перебдели (в хорошем смысле слова "бдеть")...18.04.04 21:23 Автор: void <Grebnev Valery> Статус: Elderman
1) В том, что Вы перебдели (в хорошем смысле слова "бдеть") - нет ничего плохо.
Сам я это делаю регулярно ;))))
2) Вам ответил Woonder. Он прав на все сто. Отправьте из локалки telnet-ом сами себе письмо с произвольным обратным адресом. У Вас получится. И это не говорит о том, что релей открыт.
> Отключать анонимуса не предлагать - почту-то принимать > надо.
Разумеется, анонимуса отключать не надо.
Уточни18.04.04 11:44 Автор: Woonder <Бученков Андрей> Статус: Member
Не полный лог, нет IP
> "EHLO -?+microsof-9dlveu SMTP" 250 294 > "MAIL -?+FROM:<test@yahoo.com> SMTP" 250 39 > "RCPT -?+TO:<user2@989888.com> SMTP" 250 29 > Для справки, домен у меня совсем не 989888.com
После этого SMTP устанавливает исходящий коннект с сервером 989888.com?
А может microsof-9dlveu - это комп твоего домена, просто кто-то посылает письмо не со своим обратным адресом а с адресом test@yahoo.com.
Вот:
2003-02-11 05:08:26 192.168.75.62 f12user EHLO - +f12user 250 0 329 13 -
2003-02-11 05:08:26 192.168.75.62 f12user MAIL - +FROM:+<user1@mail.ru> 250 0 54 42 -
2003-02-11 05:08:26 192.168.75.62 f12user RCPT - +TO:+<User2@mail.ru> 250 0 31 29 -
f12user - комп в моей сети и у пользователя на нём адрес USER@MyDomain.ru, но посылает он письмо от имени user1@mai.ru
а если ты хочешь заставить своих пользователей отправлять письма только со своими E-Mail - то это отдельный разговор
так... мысли вслух...11.02.04 16:12 Автор: nemo Статус: Незарегистрированный пользователь
1) Для начала нужно убедиться: что то, что ты подозреваешь в анонимном релее это не авторизованный релей. Представь, что кто-то из твоих пользователей свой логин пароль засветил или скажем у тебя guest на серваке с пустым паролем зенейблин и не переименован...
2) Для того, чтобы убедится в надёжности системы ты можешь подписать её на проверку на открытый анонимный релей: например на spamcop.net или ordb.org.
Дело за малым.. Ктоб сказал как IIS заставить в лог писать,...11.02.04 17:02 Автор: cryman Статус: Незарегистрированный пользователь
> 1) Для начала нужно убедиться: что то, что ты подозреваешь > в анонимном релее это не авторизованный релей. Представь, > что кто-то из твоих пользователей свой логин пароль > засветил или скажем у тебя guest на серваке с пустым > паролем зенейблин и не переименован...
Дело за малым.. Ктоб сказал как IIS заставить в лог писать, анонимный доступ, или авторизация была.. конечно можно включить секурити лог, но я умру их парсить...
> 2) Для того, чтобы убедится в надёжности системы ты можешь > подписать её на проверку на открытый анонимный релей: > например на spamcop.net или ordb.org.
Спасибо за совет, обязательно проверю. Однако уже пробовал в принципе http://www.abuse.net. Как и положено, в районе седьмого теста ругнулся что релей открыт. Некрософт утверждает что так и должно быть.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
