Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | |
Ок. 19.01.04 00:45 Число просмотров: 1287
Автор: void <Grebnev Valery> Статус: Elderman
|
> Чтобы не высаживаться попусту посмотри на
> http://openrbl.org/
Да, спасибо за линк.
|
|
<sysadmin>
|
Сквозь закрытый релей 16.01.04 09:56
Автор: void <Grebnev Valery> Статус: Elderman
|
Что можно сказать по вопросам ниже ?…
Вчера вечером вначале посканили (на здоровье им), а затем в smtp-логах я увидел, следующее
195.131.4.180, vinni.wplus.net, …,250, HELO, -, +vinni.wplus.net,
195.131.4.180, vinni.wplus.net, …,250, MAIL, -, +FROM:<orbserr@orbs.wplus.net>,
195.131.4.180, vinni.wplus.net, …,550, RCPT, -, +TO:<orbs@orbs.wplus.net>,
195.131.4.180, vinni.wplus.net, …, 240, QUIT, -, vinni.wplus.net,
Понятно. Фиг вам релей. Но смотрите дальше …
195.131.4.180, vinni.wplus.net, …,250, MAIL, -, +FROM:<orbserr@orbs.wplus.net>,
195.131.4.180, vinni.wplus.net, …,250, RCPT, -, +TO: <"orbs@orbs.wplus.net">,
195.131.4.180, vinni.wplus.net, …, 250, 0, DATA, -, +<1074168028-2@vinni.wplus.net>,
195.131.4.180, vinni.wplus.net, …, 240, QUIT, -, vinni.wplus.net,
Т.е мы приняли к отправке письмецо. Так вот, это опять Билли прокосячил (M$ Exchange), или это норма? Я стал проверять. Пишу («не из домена»):
telnet x.y.w.z 25
220 mail.mfgi.magadan.ru Microsoft ESMTP MAIL Service,
…
MAIL FROM:<vg_123@mail.ru>
250 2.1.0 vg_123@mail.ru....Sender OK
RCPT TO:<vg_123@mail.ru>
Получаю правильное « до свидания »… Тогда пишу, как писал vinni:
RCPT TO:<”vg_123@mail.ru”>
250 2.1.5 "vg_123@mail.ru"@mfgi.magadan.ru
DATA
354 Start mail input; end with <CRLF>.<CRLF>
Xa-Xa.
.
250 2.6.0 <MAILiJXjJb78C3uIxRH00000001@mail.mfgi.magadan.ru> Queued mail for delivery
Т.е. пытаемся отправить почту некому "vg_123@mail.ru"@mfgi.magadan.ru, где “vg_123@mail.ru” акаунт в почтовом домене mfgi.magadan.ru. И пытаемся успешно.
VG_123@MAIL.RU – это мой же адрес. Заглядываю на MAIL.RU и вижу, что письмецо доехало, но только в виде уведомления от postmaster моего домена, что оно не может быть доставлено пользователю vg_123@mail.ru. Письмо есеественно – вот оно - на «блюдечке», приатаченное во всей красе !!! Написали, что не можем доставить, а доставили ;))
Факт остаётся фактом. У меня релей закрыт, но таким кривым способом письма едут другим пользователям. Кто виноват? Билли? Или это норма для почтовых сервисов?
ПС. Как вы считаете, есть ли в этом опасность?
|
|
Вот что хочу от Билли 17.01.04 03:14
Автор: void <Grebnev Valery> Статус: Elderman
|
1) Ессесно, чтобы почта работала.
2) Чтобы мой сервер не принимал почту от "левых" юзверей.
Т.е. хочу, чтобы smtp смотрел вначале поле конверта HELO/EHLO и сверял подлинность указанного почтового домена по адресу, указанному в поле MAIL FROM.
Т.е. если человек пишет, HELO fbi.whitehouse.ru + MAIL FROM:<pupkin@kgb.whitehouse.com>, то, чтоб такая почта дропилась.
3) Чтобы smtp проверял подлинность почтового домена - отправителя, и дропил почту в случае fail.
4) Чтобы smtp сервер был доступен только аутинтифицированным пользователям внутри моего домена (акаунт и пароль необходим), но, чтобы он принимал почту от юзверей с анонимным логоном извне.
Я помню, что такие "галочки", где-то были. Перерыл всё в оснастке иксчанги. Не могу найти. Не могу в настройках найти даже, как сношаться с HELO/EHLO. Помню было это.
|
|
По вопросам ниже есть два комментария.
16.01.04 17:40
Автор: ch_ Статус: Незарегистрированный пользователь
|
> Что можно сказать по вопросам ниже ?…
По вопросам ниже есть два комментария.
> Вчера вечером вначале посканили (на здоровье им), а затем в
> smtp-логах я увидел, следующее
[skip]
> Т.е. пытаемся отправить почту некому
> "vg_123@mail.ru"@mfgi.magadan.ru, где “vg_123@mail.ru”
> акаунт в почтовом домене mfgi.magadan.ru. И пытаемся
> успешно.
Первый комментарий: non-delivery report отправляется по адресу, который указан в команде MAIL FROM, а совсем даже не на подстроку из команды RCPT TO.
> Факт остаётся фактом. У меня релей закрыт, но таким кривым
> способом письма едут другим пользователям. Кто виноват?
> Билли? Или это норма для почтовых сервисов?
Второй комментарий: доставка non delivery report по адресу отправителя - это базовый функционал любого МТА. А вот уровень возможной "настраиваемости" этой функции бывает разный.
> ПС. Как вы считаете, есть ли в этом опасность?
Про этот фокус я читал в какой-то секурной рассылке еще год-полтора назад. Подобный метод в массах не прижился, судя по всему - все таки неудобно спам в аттачментах NDR рассылать :)))
В Exchange 5.5 в свойствах Connections\IMS есть закладка Internet Mail и кнопка Notifications.
Интерфейс Exchange 2000 не знаю :)))
|
| |
По вопросам ниже есть два комментария & два моих. 17.01.04 01:34
Автор: void <Grebnev Valery> Статус: Elderman
|
Спасибо за мнение.
> Первый комментарий: non-delivery report отправляется по
> адресу, который указан в команде MAIL FROM, а совсем даже
> не на подстроку из команды RCPT TO.
Это понятно. Я об этом пропостил чуть ниже.
> Про этот фокус я читал в какой-то секурной рассылке еще
> год-полтора назад. Подобный метод в массах не прижился,
> судя по всему - все таки неудобно спам в аттачментах NDR
> рассылать :)))
И слава Богу.
> В Exchange 5.5 в свойствах Connections\IMS есть закладка
> Internet Mail и кнопка Notifications.
> Интерфейс Exchange 2000 не знаю :)))
А какая разница по-существу? Разумеется можно в настройках для сайта сказать, что не надо слать NDR. Но это было бы неудобно для многих моих юзверей, наиболее "продвинутые" из которых зачастую в строке аутлука "кому" набирают номер телефона. ;))
|
|
ага 16.01.04 12:34
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Вроде как wplus.net содержат какой-то DNSBL или ORBL. Это они тебя, скорее всего, тестируют. Возможно на админскую запись домена скоро придёт письмо с уведомлением, что ты попал в BL.
Там есть человек вменяемый, попробуй потом с ним списаться, может чего подскажет.
|
| |
могыть быть могыть быть 17.01.04 02:51
Автор: void <Grebnev Valery> Статус: Elderman
|
Есть кое о чём ещё подумать....
(это связано с некоторыми неродиво-невменяемыми у нашего провайдера. там с одним кексом я сильно ругался давно)
|
| |
ага - ну нифига ;(( А за что? 17.01.04 01:48
Автор: void <Grebnev Valery> Статус: Elderman
|
> Вроде как wplus.net содержат какой-то DNSBL или ORBL. Это
> они тебя, скорее всего, тестируют. Возможно на админскую
> запись домена скоро придёт письмо с уведомлением, что ты
> попал в BL.
> Там есть человек вменяемый, попробуй потом с ним списаться,
> может чего подскажет.
Дык за какие такие грехи нашинские - нас в BL? Релей закрыт. От нас ничего не едит плохого? Кроме того, зачем они сканили нас. Причём совершенно дубово и не профессионально, если хотели что-то выкопать?
Зачем то, что я постил исследовали несколько раз?
Причём заметь - то был не их "клиент" (диалапщик, и т.д.). То была честная машинка в их сетке.
|
| | |
Это всё риторика 17.01.04 12:25
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> Дык за какие такие грехи нашинские - нас в BL? Релей
> закрыт. От нас ничего не едит плохого?
Сканилка у них автоматическая, скорее всего. Увидела, что письмо принято к отправке - значит опен релей. Не стала разбираться, дошло оно или нет. Ну, кстати ещё не факт что ты попал в BL, правда?
> Кроме того, зачем
> они сканили нас.
Для создания BL.
>Причём совершенно дубово и не
> профессионально, если хотели что-то выкопать?
Они тебя сканили для создания своего BL.
|
| | | |
В каком смысле. Если б за тупой скан наказывали, то можно б было предъявить. 18.01.04 02:45
Автор: void <Grebnev Valery> Статус: Elderman
|
> Сканилка у них автоматическая, скорее всего. Увидела, что
> письмо принято к отправке - значит опен релей.
1) Релей у нас закрыт. Это видно из моих предыдущих постингов (там логи есть).
2) Никакая сканилка не в состоянии определить - принято письмо к отправке, или нет. (если Вы, конечно, имели ввиду под сканированием SYN or SIN FIN or ACK и т.д. - сканирования на предмет обнаружения "открытых" сетевых сервисов, вернее доступных служб с серверным сокетом в состоянии listener)
> Ну, кстати ещё не факт что
> ты попал в BL, правда?
Согласен. То была моя эмоциональная реакция на то, как Вы меня "обрадовали" ;))
> > Кроме того, зачем
> > они сканили нас.
> Для создания BL.
Это я не могу понять. BL создают для потенциально опасных хостов.
Услышь меня. У нас релей закрыт. От нас не едет почтовая вирусня.
> >Причём совершенно дубово и не
> > профессионально, если хотели что-то выкопать?
> Они тебя сканили для создания своего BL.
Сегодня опять также нагло и не профессионально сканировали.
Опять было с почтой то же, что и в первом моём постинге.
Там действительно автоматическая сканилка. Что примечательно -
они исследуют, главным образом, порты за пределами well-known и
при этом не наблюдается сколь нибудь существенного попадания в общеизвестные троянские порты. За редким исключением.
ПС. Самое прикольное в этой истории - реакция моего начальства на предложение дополнительно (+ к тем мерам, которые работают) поместить их сетку в наш местный BL.
Знаешь, что сказали? "Ты... эта... не спеши... Вообще ты не тем занимаешься... Надо технику таскать в другую комнату".
Вот так-то! ;)))
|
| | | | |
Не возражаю, что он у вас закрыт.
18.01.04 12:22
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> 1) Релей у нас закрыт. Это видно из моих предыдущих
> постингов (там логи есть).
Не возражаю, что он у вас закрыт.
> 2) Никакая сканилка не в состоянии определить - принято
> письмо к отправке, или нет. (если Вы, конечно, имели ввиду
> под сканированием SYN or SIN FIN or ACK и т.д. -
> сканирования на предмет обнаружения "открытых" сетевых
> сервисов, вернее доступных служб с серверным сокетом в
> состоянии listener)
Я имел ввиду именно сканирование на предмет возможности использовать открытый релей. Т.е. соединение и попытку отправить письмо с различными ухищрениями.
> Согласен. То была моя эмоциональная реакция на то, как Вы
> меня "обрадовали" ;))
Чтобы не высаживаться попусту посмотри на http://openrbl.org/
> Услышь меня. У нас релей закрыт. От нас не едет почтовая
> вирусня.
Не возражаю. Опять таки повторяю, что сканилка автоматическая и не проверяет, доходит ли письмо через опен релей. А просто видит, что сервер принимает к отправке.
> ПС. Самое прикольное в этой истории - реакция моего
> начальства на предложение дополнительно (+ к тем мерам,
> которые работают) поместить их сетку в наш местный BL.
> Знаешь, что сказали? "Ты... эта... не спеши... Вообще ты не
> тем занимаешься... Надо технику таскать в другую комнату".
> Вот так-то! ;)))
Зачем в твой BL добавлять их - непонятно. Это довольно крупный провайдер. Т.е. к тебе перестанут доходить некоторые письма. Тебе это надо?
В общем, сходи на openrbl.org. Если ты туда не угодил, то и хрен с ними. Тебе же эти сканы не мешают? Если угодил, просто спишись с ними.
|
| | | | | |
Ок. 19.01.04 00:45
Автор: void <Grebnev Valery> Статус: Elderman
|
> Чтобы не высаживаться попусту посмотри на
> http://openrbl.org/
Да, спасибо за линк.
|
|
Наверно оффтоп 16.01.04 10:15
Автор: !mm <Ivan Ch.> Статус: Elderman
|
Но все же )))
Слышал, что в Штатах наши эмигранты пользуются примерно таким же методом отправки бумажной корреспонденции.
То есть, на отправку кидается письмо без марок, в разделе "Отправитель" пишется получатель, в разделе "Получатель" - отправитель.
Почтальон берет письмо - смотрет - марок нет. Шлепает штамп "Вернуть отправителю" - вуаля, письмо уехало к получателю =)
Здесь те же яйца, только в профиль
|
| |
Клёво ;)) 16.01.04 10:45
Автор: void <Grebnev Valery> Статус: Elderman
|
> Здесь те же яйца, только в профиль
1) Понял, что перебдел за безопасность ;))
2) Не понял, а зачем это надо тому хлопцу (vinni)? Тот парень достаточно долго пытался отправлять с различных акаунтов? Он что, больной?
Да, и я проверил то, что Вы сказали. Действительно, главное в поле from указать куда надо на самом деле отправить почту. ;))
Спасибо.
|
| |
P.S. А вообще, прискорбно. Патч, думаю, будет нескоро, да и не все обновятся, так что спамеры воспользуются этой дыркой по максимуму :(( 16.01.04 10:23
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
|
| | |
Дык я ж бил себя в грудь... 16.01.04 11:05
Автор: void <Grebnev Valery> Статус: Elderman
|
... на одном из форумов, что можно настроить Exchange так, чтобы он не отсылал почту на "левый" адрес, указанный в поле from ;-(
Вот я баран.
Самое интересное, что я не помню, как я это делал !!!
В сетке, которую я с нуля администрировал года три назад - так и было. Здесь (где я сейчас) немного по-другому сделано. Какую галочку поставить, чтобы избавиться от заразы - не помню. А идти в ту контору, чтобы посмотреть настройки - не могу.
Запутался я совсем с энтим Exchange - ием.
|
| | | |
Наверное, для этого достаточно отключить подтверждение о доставке письма 16.01.04 13:50
Автор: Cyril <sc> Статус: Member
|
|
|
| | | | |
Наверное, да. Но сами понимаете. Это не всегда удобно для... 17.01.04 01:52
Автор: void <Grebnev Valery> Статус: Elderman
|
|
Наверное, да. Но сами понимаете. Это не всегда удобно для юзверей.
|
| | | |
Re: Дык я ж бил себя в грудь... 16.01.04 11:26
Автор: Den <Denis> Статус: The Elderman
|
На сколько мне помниться, там должна быть настройка, позволяющая принимать письма для отправки в инет только с определенных адресов, например с адресов локальной сети.
З.Ы. Последний раз администрил Exchange около двух лет назад. Там полно настроек и если ими воспользоваться, то думаю можно достичь результата.
|
| | | | |
Пока не получилося 16.01.04 12:20
Автор: void <Grebnev Valery> Статус: Elderman
|
> На сколько мне помниться, там должна быть настройка,
> позволяющая принимать письма для отправки в инет только с
> определенных адресов, например с адресов локальной сети.
ДЕЛАЕМ:
SMTP->Properies->Access->Connections->Only the list below
пишем свой LAN (192.168.....).
РЕЗУЛЬТАТ:
Сами может отправлять почту. Но из инет почта не приезжает.
Видно, что smtp рвёт сессию с внешними серверами. На пакет с SYN, вначале отвечает по-доброму (SYN ACK),
а затем гнусным образом рвёт соединение (пакетом RST).
> З.Ы. Последний раз администрил Exchange около двух лет
> назад. Там полно настроек и если ими воспользоваться, то
> думаю можно достичь результата.
Во-во ;))
Я на год раньше это делал, так вообще забыл, как то было сделано ;))
|
| | | | | |
А, вспомнил... 16.01.04 13:03
Автор: Den <Denis> Статус: The Elderman
|
|
У нас был провайдер wplus и у него имелся SMTP хост на который приходила наша почта, откуда мы ее и забирали, и следовательно на этот хост мы ее и выкладывали для отправки на внешние адреса. Поэтому проблем с указанными тобой настройками у меня не было, просто к адресам локальной сети был добавлен адрес SMTP хоста.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
