Xpoint
   [напомнить пароль]

SMTP без авторизации

Метки: [без меток]
[удл]
2005-02-07 01:27:06 [обр] Чернов Михаил[досье]
Арендую виртуальный выделенный сервер.
Компанию у которой арендую умышленно не называю.
На VPS хостится около 50 сайтов
Итак, указав в качестве smtp сервера в любой почтовой программе любой из хостящихся сайтов (sitename.ru)
и существующего или несуществующего пользователя можно слать сообщения на любой из хостящихся сайтов.
т.е. любой клиент может получить письмо от моего имени со всеми правильными заголовками от любого желающего.
Суппорты уверяют что это нормально.
Но мне это кажется нелогичным.
На другие сайты почта не идет.
Хочется узнать дыра это или технологическое отверстие.
Или действительно суппорт прав?
спустя 8 часов [обр] SatanaClause+(0/12)[досье]

Суппорт вас дурит, так как нехочет ковыряться в конфигах и правильно настраивать! При правильной (с моей точни зрения) настройки SMTP сервера не должно быть возможности отправлять сообщения куда бы то нибыло без авторизации, говоря проще:

  1. от других серверов на сервер без авторизации, но тока для пользователей, пересылка запрещена.
  2. от своего сервера все с авторизацией.

у меня такое реслизавано на postfix'e, раньше даже стоял, для экономии трафика, reject на несуществующии адреса, тоесть если идет письмо для адреса которого нет в списках бд то после приема письмо просто сбрасывалось с кодом об ошибке...

Мой вам совет, возмите какойнить маилбомбер и отправте hostmaster'y 5000-6000 писем от него самого, тогда он исправит этот недостаток.

спустя 1 час 37 минут [обр] Виталий Ульченков(22/116)[досье]
М Последний совет считаем шуткой. Автору совета рекомендация больше думать.
спустя 1 час 51 минуту [обр] SatanaClause+(0/12)[досье]
А как еще заставить ленивого админа работать? В свое время так и сделал, то о чем просил месец было сделано за пол часа...
спустя 3 часа 36 минут [обр] Виталий Ульченков(22/116)[досье]

! Написать претензию руководству, например. Или просто сменить хостера.

Я не большой знаток законов, но, считаю, что Вы призываете к противоправным действиям. Дальнейшее отстаивание Вашей точки зрения будет наказываться в соответствии с правилами этого сервера.

спустя 4 часа 26 минут [обр] Чернов Михаил[досье]
Виталий Ульченков[досье]Пожалуйста не будьте столь строги.
Просто наболело у человека.
SatanaClause[досье]Спасибо, совет про майлбомбер я разценил как ваше отношение к нерадивому админу, а не как руководство к действию, разумеется ;)
спустя 19 часов [обр] SatanaClause+(0/12)[досье]

Ну вот, ща еще и второй плюс поставят :( Само сабой это крайняя мера, к которой я не призываю, каждый вправи сам выберать метод решение своих проблем, дело в том что по закону за такую шутку светит хороший штраф или даже условный срок. Просто напишите моим способом одно письмо с предложением подумать об уровне безапасности своих клиентов, уверен, это заставит админа задуматься. Так как результаты действительно могут быть плачевными если по мимо этого в настройки есть еще часто встречаемые недочеты.

П.С. Если вы платите за эото сервер то рекомендую сменить его на более надежный. Если незнаете к кому лучше уйти то стукнити в ICQ#163822317 посоветю...

спустя 9 часов [обр] Владимир Палант(49/4445)[досье]

SatanaClause[досье]
Ну сказано ведь: "На другие сайты почта не идет." Всё там правильно настроено, без авторизации почта доставляется только на сам хост.

Чернов Михаил[досье]
Это технологическое отверстие. Доставка почты в интернете организована так, что, для доставки почты на какой-то домен, сервер-отправитель связывается с SMTP-сервером, который отвечает за этот домен (записан в DNS), и передаёт ему письмо. Никакой авторизации в этом сценарии не предусмотрено. Поэтому послать письмо на домен таким образом может не только легальный MTA, но и спаммерская программа (что они иногда и делают). Однако, заголовки при этом не совсем правильные — в них остаётся IP-адрес компьютера, от которого SMTP-сервер принял письмо. К сожалению, всё остальное действительно можно подделать. Есть несколько подходов, которые решают эту проблему, но ни один из них пока что не получил широкого распространения.

спустя 8 часов [обр] Эрнест(0/20)[досье]
Есть несколько подходов, которые решают эту проблему, но ни один из них пока что не получил широкого распространения.
Владимир Палант[досье]Не подскажете где почитать про подходы. Ведь проблема имеет место быть.
спустя 1 час 7 минут [обр] SatanaClause+(0/12)[досье]
Владимир Палант[досье] Но это всеравно неправильно, если письмо исходит с сервера то отправитель должен проавторизироваться, а куда оно идет это уже неважно. Я остаюсь при своем мнении и считаю это больше чем "технологическое отверстие". Правдо полностю закрыть эту дырку нельзя но можно ограничить до пределов своей сети. И вынести сервер в отдельную сеть.
спустя 22 минуты [обр] SatanaClause+(0/12)[досье]
В Postfix'е за это отвечает директива reject_sender_login_mismatch если авторизация проходит через сасл то все работает и неавторизированные пользователи отбрасываются, независимо от того куда они шлют письмо.
спустя 2 часа 57 минут [обр] Владимир Палант(49/4445)[досье]

Эрнест[досье]
К примеру Sender Policy Framework (SPF). Но проблему такими способами сейчас не решить, для этого они должны стать гораздо более распространёнными.

SatanaClause[досье]
По-моему, вы не поняли описание проблемы. Письмо не идёт с сервера, оно идёт на сервер. Авторизации тут быть не может, иначе перестанет работать доставка писем. Чернов Михаил[досье] — владелец сервера. Владельцы сайтов на этом сервере — другие люди. Проблема в том, что эти владельцы сайтов могут получить письмо якобы от Михаила Чернова[досье], с почти корректными заголовками. Но соединение с SMTP-сервером при этом не будет исходить от самого сервера, а откуда-то извне, с любого компьютера.

Чернов Михаил[досье]
Собственно, поэтому письма и подписывают. На данный момент это единственная реальная возможность защититься от подделок.

спустя 19 минут [обр] SatanaClause+(0/12)[досье]

Владимир Палант[досье] небуду я с вами спорить, просто скажу что возможно добиться того что я написал в своем первом посте

  1. от других серверов на свой сервер без авторизации, но тока для пользователей, пересылка запрещена.
  2. от своего сервера все с авторизацией. как на другие сервера так и на этот

и при этом почта нормально ходит.

спустя 29 минут [обр] Эрнест(0/20)[досье]
SatanaClause[досье]
Можно чуть подробней пути решения
спустя 51 минуту [обр] Владимир Палант(49/4445)[досье]
SatanaClause[досье]
Так ведь, судя по описанию проблемы, именно так всё и настроено!
спустя 1 час 7 минут [обр] SatanaClause+(0/12)[досье]

Владимир Палант[досье]

Итак, указав в качестве smtp сервера в любой почтовой программе любой из хостящихся сайтов (sitename.ru)
и существующего или несуществующего пользователя можно слать сообщения на любой из хостящихся сайтов.

 В каком месте это похоже на то что описал я?

Эрнест[досье] я эту тему уже поднимал, посмотрите в архиве. Ничего сложного нету, надо запретить все и разрешить все тока для авторизированных. Стукните в аську

спустя 51 минуту [обр] Владимир Палант(49/4445)[досье]
SatanaClause[досье]
В этом месте:
от других серверов на свой сервер без авторизации
спустя 56 минут [обр] Alexander[досье]
Владимир Палант[досье]Вы что тут главный флудер чтоли?
Ясно же выразился человек, по русски - от других серверов на свой сервер без авторизации, но тока для пользователей, пересылка запрещена.
спустя 1 час 30 минут [обр] Виталий Ульченков(22/116)[досье]
! Alexander[досье], повежливее, пожалуйста.
спустя 2 часа 20 минут [обр] Чернов Михаил[досье]
сообщение промодерировано
C posfix'ом разобрался, попробовал работает
SatanaClause[досье]совершенно правильно меня понял.
На эту тему на opennet.ru есть информация
Но на сервере стоит sendmail, а тут я пас.
Вбом случае ,Владимир Палант[досье], SatanaClause[досье], большое спасибо
спустя 10 часов [обр] SatanaClause+(0/12)[досье]
Чернов Михаил[досье] ну вот и ладушки ;)
Powered by POEM™ Engine Copyright © 2002-2005