Postfix: ignorovani SASL autorizace

[Walkeer]

Zdravim,

na brane mame forwarding portu 22 na nas smtp server postfix pro kontrolu a filtrovani spamu, takze vsichni uzivatele pouzivaji nas smtp. Napada nekoho jak nastavit potfix tak, aby prijimal postu od klientu s vypnutou ale i zapnutou libovolnou autentikaci (SASL)? Proste aby fungoval jako public a zaroven aby akceptoval postu i od klienta, co se pokousi prihlasit pres SASL s pomoci libovolneho loginu? diky za napady

[reset]

neni to nahodou port tcp 25 (smtp) ?
tcp 22 je pro ssh

[Walkeer]

neni to nahodou port tcp 25 (smtp) ?
tcp 22 je pro ssh

nahodou je

[LaCosta]

Skus upresnit preco to tak potrebujes, to mozes zrovna nastavit open relay ... pripadne dat sasl na zaciatok a za tym cokolvek mimo sasl ...

[Walkeer]

Skus upresnit preco to tak potrebujes, to mozes zrovna nastavit open relay ... pripadne dat sasl na zaciatok a za tym cokolvek mimo sasl ...

Potrebuji SMTP relay/server, ktery akceptuje klienty bez SASL autentizace i s ni a to s libovolnym loginem.

[LaCosta]

z hlavy ...

smtpd_recipient_restrictions =
permit_sasl_authenticated
permit

problem je, ze mi u toho unika logika a overenie cez akekolvek heslo je otazka aplikacie ktora sa stara o overenie ...

[Walkeer]

z hlavy ...

smtpd_recipient_restrictions =
permit_sasl_authenticated
permit

problem je, ze mi u toho unika logika a overenie cez akekolvek heslo je otazka aplikacie ktora sa stara o overenie ...

Logika je ta, ze proste hijackuju vsechny spojeni na port 25 (tedy smtp) mych klientu a prohanim je mojim postfixem pro kontrolu spamu a potrebuju, aby to fungovalo pro vsechny klienty at maj nastaveno v SMTP cokoli, tedy bez autentikace tak i s libovolnym loginem...to je to tak nestandardni?

tvuj hint asi nebude fungovat, protoze nebudou sasl authenitaced, protoze login bude spatnej

[reset]

resime to uplne stejne.
Pred timhle nasazenim jsme resili ip na blacklistu a podobny srandy se zavirovanyma/spamovacima pc.

[LaCosta]

Uz vam asi rozumiem Ved ale preco ta potom trapi SASL ? Pocitas s tym, ze ak by vyuzival niekto overenie (akekolvek meno - heslo) tak nebudes aplikovat filtrovanie ? Ak to chapem dobre tak je to jedno, dnesny malware uz skusa hesla zo slovniku, pripadne podla nazvu mailu. Takze aj overeny clovek moze posielat spam.

Ak presmerujete port 25 nasilu, tak niektore servere z dovodu SPF mail odmietnu a zakaznik bude mat radost. Ak ide o riesenie aby ste neskoncili v RBL tak bud to rieste formou firewallu na routeri. Uz to tu bolo publikovane alebo vyuzite napr. policyd ako filtru (throttling).

Verte tomu, ze je lepsie poslat zakaznika do .... ak bude mat vir a je blokovany, ako mu vysvetlovat preco mu nepresiel normalny mail

Este taka otazka ako ich filtrujes ? Dropujes im priamo mail ked sa jedna asi o spam, pripadne zahadzujes spojenie ... ?

Ak by si to robil content filtrom tak to musi zabit server, amavis, assp a pod su v perli a pri poriadnom navale su nevhodne. To uz radsej sagator v pythone, ale to uz je OT.

[Majklik]

Bohužel tahle technika provedená tupě, že násilím přesměruji mail na svůj SMTP, profiltruje a odešlu tupě dál na cílovou email adresu, dosti naprd. Hodně toho pak zmizí v menší/větší tichosti na antispamech dál.

Krom toho, že kdo používá SPF nebo podpisování domén, tak samozřejmě ten mail neodejde k příjemci skrz email servery uvedený v SPF a pak záleží na tvrdosti SPF pravidla (~all nebo -all), zda to má označkovat jako spam a předat nebo rovnou v tichosti smazat. Podobně u podpisu domén to neprojde přes server, co podpisuje a tak pokud to příjemce kontroluje, tak to osolí na spam/smaže. Tyhle dva případy jsou trošku míň blbé a záleží na tom, zda odesílatelova doména používá domainsign nebo SPF a zda příjemce to kontroluje. Pokud odpověď je 2x ano, tak se značnou pravděpodobností email zmizí.
Mnohem horší případ je to, kdy takto k sobě stáhnu email který je posílán ve stylu odesílatel boss@firma.cz, příjemnce pucflek@firma.cz a logicky typicky z notebooku míří přímo na smtp.firma.cz a je podepřena autorizací odesílatele. V tomto případě, kdy to tahle ISPík stáhne na sebe a pak pošle dál, tak už to jde bez autorizace a v takovéto situaci snad vždy to je v tichosti likvidováno na politice, že když je odesílatel uváděn @firma.cz, tak to musí dojít se SMTP autorizací. Z tohodle nastávají dosti nepříjemné záležitosti.
Proto je snad už lepší a pro ISP bezpečnější varianta, že pokud nechce nechat SMTP otevřené, tak raději SMTP port 25 (a pro snahu posledních virů/červů i 465) natvrdo zaříznut a lidi jsou nuceni si ručně nastavit ispíkův smtp ať natvrdo vědí, že se něco s jejich poštou děje. Protože míám pocit z pozorování, že většina normálních koncáků spíše už prchla k nějakému webmailu. Klasické poštovní klienti pomalu mizí a často zůstávají jen notebooky s firemní poštou. Pokud jsou to MS Outlook kontra Exchange server, tak v pohodě, toho se tupé SMTP netýká (pokud IT oddělení dané firmy nejsou imbecilové). Pokud žijí na něčem na bázi SMTP+POP/IMAP, tak na problém je zaděláno.

[Walkeer]

Mnohem horší případ je to, kdy takto k sobě stáhnu email který je posílán ve stylu odesílatel boss@firma.cz, příjemnce pucflek@firma.cz a logicky typicky z notebooku míří přímo na smtp.firma.cz a je podepřena autorizací odesílatele. V tomto případě, kdy to tahle ISPík stáhne na sebe a pak pošle dál, tak už to jde bez autorizace a v takovéto situaci snad vždy to je v tichosti likvidováno na politice, že když je odesílatel uváděn @firma.cz, tak to musí dojít se SMTP autorizací. Z tohodle nastávají dosti nepříjemné záležitosti.
Proto je snad už lepší a pro ISP bezpečnější varianta, že pokud nechce nechat SMTP otevřené, tak raději SMTP port 25 (a pro snahu posledních virů/červů i 465) natvrdo zaříznut a lidi jsou nuceni si ručně nastavit ispíkův smtp ať natvrdo vědí, že se něco s jejich poštou děje. Protože míám pocit z pozorování, že většina normálních koncáků spíše už prchla k nějakému webmailu. Klasické poštovní klienti pomalu mizí a často zůstávají jen notebooky s firemní poštou. Pokud jsou to MS Outlook kontra Exchange server, tak v pohodě, toho se tupé SMTP netýká (pokud IT oddělení dané firmy nejsou imbecilové). Pokud žijí na něčem na bázi SMTP+POP/IMAP, tak na problém je zaděláno.

Prvni odstavec nechapu, vysvetlis mi ho prosim? odstavec dva je samozrejme reseni, dost o tom uvazuji.

[sub_zero]

odstavec dva praktikujeme od zacatku, co jsme rozbehli vlastni SMTP. Jasny, par lidi rvat bude, ze si musi prenastavit Outlook nebo Thunderbird, ale ve vysledku je tohle reseni nejcistejsi volba.

[reset]

tohle jsme taky zkouseli, ale po tom, co to lidi asi nejak nepochopili a nechteli si nic prenastavovat , bylo vynucene presmerovani jako jedina moznost .

Nebo chteli to odesilat naprimo, jenze vysvetuj kdejakymu chytrymu lojzovi, ze kdyz se mu zaviruje pc, coz je vice mene samozrejmost u widli, ze je pak z nej spammer . On na to stale zacne tvrdit, ze od spammer neni, ze nic moc nikam neposila a ze si potrebuje poslat ted jednoho maila. Jenze jakmile je ip blacklistu, ma smulu. A takhle stale dokolecka dokola.

[Walkeer]

tohle jsme taky zkouseli, ale po tom, co to lidi asi nejak nepochopili a nechteli si nic prenastavovat , bylo vynucene presmerovani jako jedina moznost .

Nebo chteli to odesilat naprimo, jenze vysvetuj kdejakymu chytrymu lojzovi, ze kdyz se mu zaviruje pc, coz je vice mene samozrejmost u widli, ze je pak z nej spammer . On na to stale zacne tvrdit, ze od spammer neni, ze nic moc nikam neposila a ze si potrebuje poslat ted jednoho maila. Jenze jakmile je ip blacklistu, ma smulu. A takhle stale dokolecka dokola.

presne..jenomze prave neumim vyresit situaci, kdyz tam ma klient nastavenou SASL autentikaci

[LaCosta]

tohle jsme taky zkouseli, ale po tom, co to lidi asi nejak nepochopili a nechteli si nic prenastavovat , bylo vynucene presmerovani jako jedina moznost .

Nebo chteli to odesilat naprimo, jenze vysvetuj kdejakymu chytrymu lojzovi, ze kdyz se mu zaviruje pc, coz je vice mene samozrejmost u widli, ze je pak z nej spammer . On na to stale zacne tvrdit, ze od spammer neni, ze nic moc nikam neposila a ze si potrebuje poslat ted jednoho maila. Jenze jakmile je ip blacklistu, ma smulu. A takhle stale dokolecka dokola.

Ak zakaznik neveri, ze posiela spam presmerujem to k sebe a potom mu z postfixu vyparsujem jeho IP a obucham mu to o hlavu. Za dobrotu na zebrotu. Mozno je to dokola, ale viete, ze problem nie je u vas a dany clovek sa konecne dokope aby si dal PC do poriadku. Ak sa to budete snazit riesit cestou najmensej bolesti tak to na to zasadne doplatite ...