Pokaż wyniki 1 do 10 z 10

Temat: Autoryzacja SMTP - kilka faktów i wątpliwości

  1. #1
    Zarejestrowany
    Sep 2008
    Postów
    3

    Domyślnie Autoryzacja SMTP - kilka faktów i wątpliwości

    Witam,
    Wiadomym jest że większość serwerów SMTP wymaga autoryzacji, ale jest jedno ale serwery te nie autoryzują poczty wysyłanej do lokalnego serwera.

    Np. home.pl wymaga tylko autoryzacji SMTP jeśli poczta wychodzi poza serwery home.pl a wiadomym jest, że na ich serwerach pocztę posiada pewnie milion ludzi albo więcej.

    Zrobiłem proste testy i potwierdza się to, wystarczy wiedzieć, że klient ma pocztę ma w home.pl i znać jego adres np. [email protected]
    ustawiam sobie jakikolwiek program pocztowy wpisuje w smtp: firma-xyz.pl
    jako użytkownik wpisuje maila i mogę wysłać do dowolnego klienta który ma konto w home.pl bez jakiejkolwiek autoryzacji.

    Czy uważacie że tak powinno być, że jest taka specyfikacja SMTP czy też home.pl ma jakieś za słabe zabezpieczenia ?

    Pozdrawiam
    mzagro

  2. #2
    Zarejestrowany
    Jun 2008
    Postów
    42

    Domyślnie

    Zabawne ,faktycznie działa.Myślę,że tak być nie powinno.
    Myślę,że mogłeś to najpierw do home.pl zgłosić.

  3. #3
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    hmmm.... no i co?
    sprobuj wyslac kilka tysiecy maili, zapewne cie zbanuje po 5...

  4. #4
    Zarejestrowany
    Sep 2008
    Postów
    3

    Domyślnie

    Cytat Napisał wbart Zobacz post
    Zabawne ,faktycznie działa.Myślę,że tak być nie powinno.
    Myślę,że mogłeś to najpierw do home.pl zgłosić.
    Zgłaszłem do home.pl i dostałem taką odpowiedź:
    ---
    Mechanizm autoryzacji SMTP nie gwarantuje autentycznosci ani adresu nadawcy w sesji SMTP ani tez naglowka 'From' w tresci listu (zgodnie z definicja w RFC 2822). Rowniez naglowki wiadomosci pozwola skutecznie namierzyc zrodlo wysylki.
    Zgodnie ze specyfikacja protokolu SMTP jestesmy zobowiazani do przyjecia poczty kierowanej do lokalnego odbiorcy bez dokonywania autoryzacji SMTP.
    Dokladnie tak samo zachowuja sie serwery innych providerow - w innym przypadku wszystkie serwery pocztowe na swiecie musialyby posiadac u nas konto pocztowe aby dokonywac autoryzacji podczas przesylania do Panstwa poczty.
    ---
    Dlatego pytam na forum czy mają rację

    Pozdrawiam
    mzagro

  5. #5
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    też kiedyś uważałem że tak nie powinno być; jednak okazało się że tak musi być i wynika to z właściwości smtp; jesli serwer smtp 123.pl zapuka do serwera 456.pl i ma maila dla faktycznego usera [email protected] to smtp z 456 musi dostarczyć poczte do usera z własnej domeny. potem za pomocą mechanizmów antyspam/antywirus podejmujesz działania czy mail de facto dojdzie do mailboxa/maildira czy nie,
    jeden serwer smtp do drugiego nie musi sie zalogować by dostarczyc poczte do fizycznego konta, więc ty klientem czy telentem dzialasz jako smtp i mozesz dostarczyc poczte do konta, w swiat wiadomo nie mozna bez zalogowania bo zaraz będziesz na listach w różnych kolorach i po ptakach...


    edit: mają.
    ***********
    * markossx *
    ***********

  6. #6
    Zarejestrowany
    Jun 2008
    Postów
    42

    Domyślnie

    Ciekawe po ilu mailach zbanuje.Może i protokół tak działa ale moim zdaniem powinni to chociaż trochę utrudnić,nie trzeba wysyłać wielu maili.Po prostu moim zdaniem stwarza to pole do nadużyć.

  7. #7
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    Ciekawe po ilu mailach zbanuje
    to jest kwestia indywidualnych ustawień na serwerze smtp
    i dodatkowych mechanizmów tam działających
    ***********
    * markossx *
    ***********

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Ok... to co mowisz mazgaro mozna zmienic ale wtedy jak masz serwer ktory wymaga autoryzacji dla polaczen przychodzacych - wszystkich - niezaleznie od tego kto wysyla wiadomosc to masz powazny problem... Twoj SMTP bedzie tylko wysylal poczte a nie bedzie nic odbieral.

    Jak user wysyla poczte musi sie autoryzowac... ale jak wyobrazasz sobie aby np ktos ze skrzynka na gmail'u wysyla ci maila... to jak niby gmail ma sie autoryzowac z Twoim serwerem SMTP? Jaki login i haslo uzyc?

    Dla serwera SMTP nie ma roznicy czy laczy sie z nim klient wysylajacy poczte czy inny serwer SMTP. Zachowanie jak to ktore opisales jest jedynym poprawnym jesli mowimy o SMTP.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Zarejestrowany
    Sep 2008
    Postów
    3

    Domyślnie

    Zainteresowałem tą sprawą Dziennik Internautów: można poczytać:

    http://di.com.pl/news/23612,1,0,Brak...o_problem.html

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Taaaa... jeden o widlach drugi o powidlach...

    Jest roznica miedzy poleceniami VRFY i ETRN a autoryzacja nadawcow. Czyzby specjalista z F-Secure o tym nie wiedzial? Specjalista wie, tylko nie powiedzial jasno... a DI moim zdaniem niefrasobiliwie przytacza wypowiedz budujac bledne opinie u czytajacych...

    Podstawowym zalozeniem protokolu SMTP jest przyjmowanie przesylki jesli odbiorca jest obslugiwany przez nasz system, przesylka powinna zostac natomiast odrzucona jesli odbiorca nie istnieje lub nie jest obslugiwany przez nasz system. Kwestia wysylania poprawnych DSN (lub nie wysylania w ogole) to inna historia - niektore systemy wysylaja DSN, inne nie.

    Artykul w DI jest moim zdaniem biciem piany. Zamiast pisac pierdoly ktos powinien siasc i zajrzec do specyfikacji protokolu SMTP lub chocby troche sie zastanowic!

    Prosty przyklad... wysylam maila z mojego konta na gmail.com do kogos kto ma skrzynke firmowa utrzymywana na serwerach home.pl - jak niby serwer google ma autoryzowac sie wzgledem serwera home.pl? Jakiego ma uzyc loginu i hasla aby potwierdzic, ze ja to ja?
    Z definicji, jesli konto adresata istnieje i jest obslugiwane na serwerze home.pl to serwer ma obowiazek przyjac przesylke a dopiero dodatkowe filtry moga to dalej maglowac.
    Pytanie 2: Jaka jest roznica miedzy przesylka dostarczana z serwera gmail.com do domena1.home.pl a przesylka z domena2.home.pl do domena1.home.pl? Nie ma zadnej - domena odbiorcy jest obslugiwana na serwerze ktory przyjal polaczenie, konto istnieje, przesylka powinna zostac przyjeta bez autoryzacji.

    Owszem, mozna na sile wprowadzic wymaganie autoryzacji jesli mamy 2 domeny obslugiwane na jednym serwerze i poczta z jednej jest wysylana do drugiej... ale to samo zalatwie poprawna konfiguracja rekordow SPF i wymuszenie autoryzacji klientow wysylajacych do domeny inna niz wlasna.

    Jedyne co mozna jeszcze zrobic to DKIM i jak sadze o tym mowi odpowiedz home.pl... ale co my mowimy o DKIM jak wiele firm nadal nie zna ani nie uzywa nawet SPF!
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Podobne wątki

  1. serwer smtp (tylko sprawdzone)
    By ironwall in forum Windows
    Odpowiedzi: 7
    Autor: 05-30-2008, 17:08
  2. Dsniff, podlsluch pop3/smtp -tcpdump
    By nejmix in forum Hacking
    Odpowiedzi: 10
    Autor: 05-06-2008, 20:10
  3. Odpowiedzi: 8
    Autor: 04-17-2008, 10:01
  4. Smtp
    By Michal_sh in forum Hacking
    Odpowiedzi: 5
    Autor: 10-18-2007, 12:54
  5. smtp 450 =/
    By 31337 in forum Hacking
    Odpowiedzi: 10
    Autor: 10-17-2007, 09:07

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52