Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
И снова про relay в MS Exchange 2000 11.02.04 11:08
Автор: cryman Статус: Незарегистрированный пользователь
|
Доброго времени суток!
Какие-то непонятки с сабжем. Торчит в инет виртуальный сервер Exhchange2K. На сколько я представляю, SMTP настроен корректно: Anonymous access разрешён, включена Basic authentication, relay разрешён только аутентифицированным пользователям. Telnet на 25 порт с последующей попыткой ручного релея вполне адекватно посылает куда подальше. Отправка почты через него работает только по логину-паролю. На первый взгляд, красота. И самое интересное что всё работало достаточно долго без нареканий. Но не так давно в логе стало появляться следующее:
"EHLO -?+microsof-9dlveu SMTP" 250 294
"MAIL -?+FROM:<test@yahoo.com> SMTP" 250 39
"RCPT -?+TO:<user2@989888.com> SMTP" 250 29
Для справки, домен у меня совсем не 989888.com
При этом есть и такое:
"HELO -?+dreamwiz.com SMTP" 250 43
"MAIL -?+from+:+<dldbsrudgjwn@dreamwiz.com> SMTP" 250 50
"RCPT -?+to+:+<dnpqelffj@hanmail.net> SMTP" 550 53
Иными словами, подозреваю что есть какой-то путь несанкционированного релея. Отключаю анонимный аксцесс - вроде бы как пропадают такие записи. Хотя не уверен - ибо крайне редко пока что пользуются.
Не подскажет ли многоувожаемый all, как бы это порешать? Отключать анонимуса не предлагать - почту-то принимать надо.
Заранее спасибо.
|
|
1) В том, что Вы перебдели (в хорошем смысле слова "бдеть")... 18.04.04 21:23
Автор: void <Grebnev Valery> Статус: Elderman
|
1) В том, что Вы перебдели (в хорошем смысле слова "бдеть") - нет ничего плохо.
Сам я это делаю регулярно ;))))
2) Вам ответил Woonder. Он прав на все сто. Отправьте из локалки telnet-ом сами себе письмо с произвольным обратным адресом. У Вас получится. И это не говорит о том, что релей открыт.
> Отключать анонимуса не предлагать - почту-то принимать
> надо.
Разумеется, анонимуса отключать не надо.
|
|
Уточни 18.04.04 11:44
Автор: Woonder <Бученков Андрей> Статус: Member
|
Не полный лог, нет IP
> "EHLO -?+microsof-9dlveu SMTP" 250 294
> "MAIL -?+FROM:<test@yahoo.com> SMTP" 250 39
> "RCPT -?+TO:<user2@989888.com> SMTP" 250 29
> Для справки, домен у меня совсем не 989888.com
После этого SMTP устанавливает исходящий коннект с сервером 989888.com?
А может microsof-9dlveu - это комп твоего домена, просто кто-то посылает письмо не со своим обратным адресом а с адресом test@yahoo.com.
Вот:
2003-02-11 05:08:26 192.168.75.62 f12user EHLO - +f12user 250 0 329 13 -
2003-02-11 05:08:26 192.168.75.62 f12user MAIL - +FROM:+<user1@mail.ru> 250 0 54 42 -
2003-02-11 05:08:26 192.168.75.62 f12user RCPT - +TO:+<User2@mail.ru> 250 0 31 29 -
f12user - комп в моей сети и у пользователя на нём адрес USER@MyDomain.ru, но посылает он письмо от имени user1@mai.ru
а если ты хочешь заставить своих пользователей отправлять письма только со своими E-Mail - то это отдельный разговор
|
|
так... мысли вслух... 11.02.04 16:12
Автор: nemo Статус: Незарегистрированный пользователь
|
1) Для начала нужно убедиться: что то, что ты подозреваешь в анонимном релее это не авторизованный релей. Представь, что кто-то из твоих пользователей свой логин пароль засветил или скажем у тебя guest на серваке с пустым паролем зенейблин и не переименован...
2) Для того, чтобы убедится в надёжности системы ты можешь подписать её на проверку на открытый анонимный релей: например на spamcop.net или ordb.org.
|
| |
Дело за малым.. Ктоб сказал как IIS заставить в лог писать,... 11.02.04 17:02
Автор: cryman Статус: Незарегистрированный пользователь
|
> 1) Для начала нужно убедиться: что то, что ты подозреваешь
> в анонимном релее это не авторизованный релей. Представь,
> что кто-то из твоих пользователей свой логин пароль
> засветил или скажем у тебя guest на серваке с пустым
> паролем зенейблин и не переименован...
Дело за малым.. Ктоб сказал как IIS заставить в лог писать, анонимный доступ, или авторизация была.. конечно можно включить секурити лог, но я умру их парсить...
> 2) Для того, чтобы убедится в надёжности системы ты можешь
> подписать её на проверку на открытый анонимный релей:
> например на spamcop.net или ordb.org.
Спасибо за совет, обязательно проверю. Однако уже пробовал в принципе http://www.abuse.net. Как и положено, в районе седьмого теста ругнулся что релей открыт. Некрософт утверждает что так и должно быть.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
