Т.е мы приняли к отправке письмецо. Так вот, это опять Билли прокосячил (M$ Exchange), или это норма? Я стал проверять. Пишу («не из домена»):
telnet x.y.w.z 25
220 mail.mfgi.magadan.ru Microsoft ESMTP MAIL Service,
…
MAIL FROM:<vg_123@mail.ru>
250 2.1.0 vg_123@mail.ru....Sender OK
RCPT TO:<vg_123@mail.ru>
Получаю правильное « до свидания »… Тогда пишу, как писал vinni:
RCPT TO:<”vg_123@mail.ru”>
250 2.1.5 "vg_123@mail.ru"@mfgi.magadan.ru
DATA
354 Start mail input; end with <CRLF>.<CRLF>
Xa-Xa.
.
250 2.6.0 <MAILiJXjJb78C3uIxRH00000001@mail.mfgi.magadan.ru> Queued mail for delivery
Т.е. пытаемся отправить почту некому "vg_123@mail.ru"@mfgi.magadan.ru, где “vg_123@mail.ru” акаунт в почтовом домене mfgi.magadan.ru. И пытаемся успешно.
VG_123@MAIL.RU – это мой же адрес. Заглядываю на MAIL.RU и вижу, что письмецо доехало, но только в виде уведомления от postmaster моего домена, что оно не может быть доставлено пользователю vg_123@mail.ru. Письмо есеественно – вот оно - на «блюдечке», приатаченное во всей красе !!! Написали, что не можем доставить, а доставили ;))
Факт остаётся фактом. У меня релей закрыт, но таким кривым способом письма едут другим пользователям. Кто виноват? Билли? Или это норма для почтовых сервисов?
ПС. Как вы считаете, есть ли в этом опасность?
Вот что хочу от Билли17.01.04 03:14 Автор: void <Grebnev Valery> Статус: Elderman
1) Ессесно, чтобы почта работала.
2) Чтобы мой сервер не принимал почту от "левых" юзверей.
Т.е. хочу, чтобы smtp смотрел вначале поле конверта HELO/EHLO и сверял подлинность указанного почтового домена по адресу, указанному в поле MAIL FROM.
Т.е. если человек пишет, HELO fbi.whitehouse.ru + MAIL FROM:<pupkin@kgb.whitehouse.com>, то, чтоб такая почта дропилась.
3) Чтобы smtp проверял подлинность почтового домена - отправителя, и дропил почту в случае fail.
4) Чтобы smtp сервер был доступен только аутинтифицированным пользователям внутри моего домена (акаунт и пароль необходим), но, чтобы он принимал почту от юзверей с анонимным логоном извне.
Я помню, что такие "галочки", где-то были. Перерыл всё в оснастке иксчанги. Не могу найти. Не могу в настройках найти даже, как сношаться с HELO/EHLO. Помню было это.
По вопросам ниже есть два комментария.
16.01.04 17:40 Автор: ch_ Статус: Незарегистрированный пользователь
> Вчера вечером вначале посканили (на здоровье им), а затем в > smtp-логах я увидел, следующее
[skip]
> Т.е. пытаемся отправить почту некому > "vg_123@mail.ru"@mfgi.magadan.ru, где “vg_123@mail.ru” > акаунт в почтовом домене mfgi.magadan.ru. И пытаемся > успешно.
Первый комментарий: non-delivery report отправляется по адресу, который указан в команде MAIL FROM, а совсем даже не на подстроку из команды RCPT TO.
> Факт остаётся фактом. У меня релей закрыт, но таким кривым > способом письма едут другим пользователям. Кто виноват? > Билли? Или это норма для почтовых сервисов?
Второй комментарий: доставка non delivery report по адресу отправителя - это базовый функционал любого МТА. А вот уровень возможной "настраиваемости" этой функции бывает разный.
> ПС. Как вы считаете, есть ли в этом опасность?
Про этот фокус я читал в какой-то секурной рассылке еще год-полтора назад. Подобный метод в массах не прижился, судя по всему - все таки неудобно спам в аттачментах NDR рассылать :)))
В Exchange 5.5 в свойствах Connections\IMS есть закладка Internet Mail и кнопка Notifications.
Интерфейс Exchange 2000 не знаю :)))
По вопросам ниже есть два комментария & два моих.17.01.04 01:34 Автор: void <Grebnev Valery> Статус: Elderman
> Первый комментарий: non-delivery report отправляется по > адресу, который указан в команде MAIL FROM, а совсем даже > не на подстроку из команды RCPT TO.
Это понятно. Я об этом пропостил чуть ниже.
> Про этот фокус я читал в какой-то секурной рассылке еще > год-полтора назад. Подобный метод в массах не прижился, > судя по всему - все таки неудобно спам в аттачментах NDR > рассылать :)))
И слава Богу.
> В Exchange 5.5 в свойствах Connections\IMS есть закладка > Internet Mail и кнопка Notifications. > Интерфейс Exchange 2000 не знаю :)))
А какая разница по-существу? Разумеется можно в настройках для сайта сказать, что не надо слать NDR. Но это было бы неудобно для многих моих юзверей, наиболее "продвинутые" из которых зачастую в строке аутлука "кому" набирают номер телефона. ;))
Вроде как wplus.net содержат какой-то DNSBL или ORBL. Это они тебя, скорее всего, тестируют. Возможно на админскую запись домена скоро придёт письмо с уведомлением, что ты попал в BL.
Там есть человек вменяемый, попробуй потом с ним списаться, может чего подскажет.
> Вроде как wplus.net содержат какой-то DNSBL или ORBL. Это > они тебя, скорее всего, тестируют. Возможно на админскую > запись домена скоро придёт письмо с уведомлением, что ты > попал в BL. > Там есть человек вменяемый, попробуй потом с ним списаться, > может чего подскажет.
Дык за какие такие грехи нашинские - нас в BL? Релей закрыт. От нас ничего не едит плохого? Кроме того, зачем они сканили нас. Причём совершенно дубово и не профессионально, если хотели что-то выкопать?
Зачем то, что я постил исследовали несколько раз?
Причём заметь - то был не их "клиент" (диалапщик, и т.д.). То была честная машинка в их сетке.
Это всё риторика17.01.04 12:25 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
> Дык за какие такие грехи нашинские - нас в BL? Релей > закрыт. От нас ничего не едит плохого? Сканилка у них автоматическая, скорее всего. Увидела, что письмо принято к отправке - значит опен релей. Не стала разбираться, дошло оно или нет. Ну, кстати ещё не факт что ты попал в BL, правда?
> Кроме того, зачем > они сканили нас. Для создания BL.
>Причём совершенно дубово и не
> профессионально, если хотели что-то выкопать? Они тебя сканили для создания своего BL.
В каком смысле. Если б за тупой скан наказывали, то можно б было предъявить.18.01.04 02:45 Автор: void <Grebnev Valery> Статус: Elderman
> Сканилка у них автоматическая, скорее всего. Увидела, что > письмо принято к отправке - значит опен релей.
1) Релей у нас закрыт. Это видно из моих предыдущих постингов (там логи есть).
2) Никакая сканилка не в состоянии определить - принято письмо к отправке, или нет. (если Вы, конечно, имели ввиду под сканированием SYN or SIN FIN or ACK и т.д. - сканирования на предмет обнаружения "открытых" сетевых сервисов, вернее доступных служб с серверным сокетом в состоянии listener)
> Ну, кстати ещё не факт что > ты попал в BL, правда?
Согласен. То была моя эмоциональная реакция на то, как Вы меня "обрадовали" ;))
> > Кроме того, зачем > > они сканили нас. > Для создания BL.
Это я не могу понять. BL создают для потенциально опасных хостов.
Услышь меня. У нас релей закрыт. От нас не едет почтовая вирусня.
> >Причём совершенно дубово и не > > профессионально, если хотели что-то выкопать? > Они тебя сканили для создания своего BL.
Сегодня опять также нагло и не профессионально сканировали.
Опять было с почтой то же, что и в первом моём постинге.
Там действительно автоматическая сканилка. Что примечательно -
они исследуют, главным образом, порты за пределами well-known и
при этом не наблюдается сколь нибудь существенного попадания в общеизвестные троянские порты. За редким исключением.
ПС. Самое прикольное в этой истории - реакция моего начальства на предложение дополнительно (+ к тем мерам, которые работают) поместить их сетку в наш местный BL.
Знаешь, что сказали? "Ты... эта... не спеши... Вообще ты не тем занимаешься... Надо технику таскать в другую комнату".
Вот так-то! ;)))
Не возражаю, что он у вас закрыт.
18.01.04 12:22 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
> 1) Релей у нас закрыт. Это видно из моих предыдущих > постингов (там логи есть). Не возражаю, что он у вас закрыт.
> 2) Никакая сканилка не в состоянии определить - принято > письмо к отправке, или нет. (если Вы, конечно, имели ввиду > под сканированием SYN or SIN FIN or ACK и т.д. - > сканирования на предмет обнаружения "открытых" сетевых > сервисов, вернее доступных служб с серверным сокетом в > состоянии listener) Я имел ввиду именно сканирование на предмет возможности использовать открытый релей. Т.е. соединение и попытку отправить письмо с различными ухищрениями.
> Согласен. То была моя эмоциональная реакция на то, как Вы > меня "обрадовали" ;)) Чтобы не высаживаться попусту посмотри на http://openrbl.org/
> Услышь меня. У нас релей закрыт. От нас не едет почтовая > вирусня. Не возражаю. Опять таки повторяю, что сканилка автоматическая и не проверяет, доходит ли письмо через опен релей. А просто видит, что сервер принимает к отправке.
> ПС. Самое прикольное в этой истории - реакция моего > начальства на предложение дополнительно (+ к тем мерам, > которые работают) поместить их сетку в наш местный BL. > Знаешь, что сказали? "Ты... эта... не спеши... Вообще ты не > тем занимаешься... Надо технику таскать в другую комнату". > Вот так-то! ;))) Зачем в твой BL добавлять их - непонятно. Это довольно крупный провайдер. Т.е. к тебе перестанут доходить некоторые письма. Тебе это надо?
В общем, сходи на openrbl.org. Если ты туда не угодил, то и хрен с ними. Тебе же эти сканы не мешают? Если угодил, просто спишись с ними.
Но все же )))
Слышал, что в Штатах наши эмигранты пользуются примерно таким же методом отправки бумажной корреспонденции.
То есть, на отправку кидается письмо без марок, в разделе "Отправитель" пишется получатель, в разделе "Получатель" - отправитель.
Почтальон берет письмо - смотрет - марок нет. Шлепает штамп "Вернуть отправителю" - вуаля, письмо уехало к получателю =)
Здесь те же яйца, только в профиль
1) Понял, что перебдел за безопасность ;))
2) Не понял, а зачем это надо тому хлопцу (vinni)? Тот парень достаточно долго пытался отправлять с различных акаунтов? Он что, больной?
Да, и я проверил то, что Вы сказали. Действительно, главное в поле from указать куда надо на самом деле отправить почту. ;))
Спасибо.
P.S. А вообще, прискорбно. Патч, думаю, будет нескоро, да и не все обновятся, так что спамеры воспользуются этой дыркой по максимуму :((16.01.04 10:23 Автор: !mm <Ivan Ch.> Статус: Elderman
... на одном из форумов, что можно настроить Exchange так, чтобы он не отсылал почту на "левый" адрес, указанный в поле from ;-(
Вот я баран.
Самое интересное, что я не помню, как я это делал !!!
В сетке, которую я с нуля администрировал года три назад - так и было. Здесь (где я сейчас) немного по-другому сделано. Какую галочку поставить, чтобы избавиться от заразы - не помню. А идти в ту контору, чтобы посмотреть настройки - не могу.
Запутался я совсем с энтим Exchange - ием.
Наверное, для этого достаточно отключить подтверждение о доставке письма16.01.04 13:50 Автор: Cyril <sc> Статус: Member
На сколько мне помниться, там должна быть настройка, позволяющая принимать письма для отправки в инет только с определенных адресов, например с адресов локальной сети.
З.Ы. Последний раз администрил Exchange около двух лет назад. Там полно настроек и если ими воспользоваться, то думаю можно достичь результата.
Пока не получилося16.01.04 12:20 Автор: void <Grebnev Valery> Статус: Elderman
> На сколько мне помниться, там должна быть настройка, > позволяющая принимать письма для отправки в инет только с > определенных адресов, например с адресов локальной сети.
ДЕЛАЕМ:
SMTP->Properies->Access->Connections->Only the list below
пишем свой LAN (192.168.....).
РЕЗУЛЬТАТ:
Сами может отправлять почту. Но из инет почта не приезжает.
Видно, что smtp рвёт сессию с внешними серверами. На пакет с SYN, вначале отвечает по-доброму (SYN ACK),
а затем гнусным образом рвёт соединение (пакетом RST).
> З.Ы. Последний раз администрил Exchange около двух лет > назад. Там полно настроек и если ими воспользоваться, то > думаю можно достичь результата.
Во-во ;))
Я на год раньше это делал, так вообще забыл, как то было сделано ;))
А, вспомнил...16.01.04 13:03 Автор: Den <Денис Т.> Статус: The Elderman
У нас был провайдер wplus и у него имелся SMTP хост на который приходила наша почта, откуда мы ее и забирали, и следовательно на этот хост мы ее и выкладывали для отправки на внешние адреса. Поэтому проблем с указанными тобой настройками у меня не было, просто к адресам локальной сети был добавлен адрес SMTP хоста.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
