Регистрация...

Eserv Forum / E4 / Mail / У меня Open Relay ?

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Сегодня обнаружил в в \LOG\SMTP\YYYYMMdelivery.txt следующее:
2011-02-08 09:20:04;114.44.100.170;news@belagro.by;135;2716;z2007tw@yahoo.com.tw;gk49fawn@yahoo.com.tw;ExDelivery:Outbound;400;<zh--d0-v-678o53e7@5wo1h2c>;


и соответственно в \LOG\SMTP\YYYY-MM-DD-log.txt следующее:
2011-02-08 09:19:45;114.44.100.170;news@belagro.by;135;2716;OUT;220 Eserv v4.27.4794 ESMTP. Tue, 08 Feb 2011 09:19:45 +0200 (news) 2011-02-08 09:19:45;114.44.100.170;news@belagro.by;135;2716;IN;HELO 93.125.0.163 2011-02-08 09:19:45;114.44.100.170;news@belagro.by;135;2716;OUT;250 leased-line-93-125-0-163.telecom.by Hello [114.44.100.170] 2011-02-08 09:19:45;114.44.100.170;news@belagro.by;135;2716;IN;MAIL FROM: <z2007tw@yahoo.com.tw> 2011-02-08 09:20:01;114.44.100.170;news@belagro.by;135;2716;OUT;250 z2007tw@yahoo.com.tw OK 2011-02-08 09:20:01;114.44.100.170;news@belagro.by;135;2716;IN;RCPT TO: <gk49fawn@yahoo.com.tw> 2011-02-08 09:20:02;114.44.100.170;news@belagro.by;135;2716;OUT;250 gk49fawn@yahoo.com.tw OK (auth=news@belagro.by) 2011-02-08 09:20:02;114.44.100.170;news@belagro.by;135;2716;IN;DATA 2011-02-08 09:20:02;114.44.100.170;news@belagro.by;135;2716;SPOOL;..\DATA\mail\spool\z2007tw@yahoo.com.tw!135!504617984!1.eml 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;OUT;354 send the mail data, end with . 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;400 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;300000 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;0 2011-02-08 09:20:04;114.44.100.170;news@belagro.by;135;2716;OUT;250 OK message accepted for delivery (ExDelivery:Outbound) 2011-02-08 09:20:04;114.44.100.170;news@belagro.by;135;2716;DELIVERY;gk49fawn@yahoo.com.tw;ExDelivery:Outbound 2011-02-08 09:20:04;114.44.100.170;news@belagro.by;135;2716;IN;QUIT 2011-02-08 09:20:04;114.44.100.170;news@belagro.by;135;2716;OUT;221 Goodbye.


Для пояснения: 93.125.0.163 это "наружный" адрес сетевой, которая смотрит в инет (leased-line-93-125-0-163.telecom.by), внутренний домен на другой сетевой соответственно 192.168.0.*.
Я так понимаю товарищ с 114.44.100.170 безнаказанно и бесконтрольно пересылает через меня почту (видно пробует, письмо было пустое). Нигде в авторизации этого товарища с 114.44.100.170 не нашел, в правах доступа стоит запрет на использование всех ресурсов неавторизованным по IP. Я конечно фаерволом SMTP снаружи перекрыл, но хотелось бы узнать как такого и подобного избегать штатными средствами Е4. А то у меня и acWEB'ом снаружи порулить пытаются, да фаер не дает. Пока стоял Е2 и вопросов таких не возникало, а тут проспал Где-то в форуме раньше встречал обсуждение на эту тему, но чего-то как понадобилось поиском не нашел, так что сильно не пинайте если это повтор пройденного
 
Комментарии к версии 1 (08.02.2011 17:18) [~Moor] e1982446
Комментарии к версии 2 (08.02.2011 17:22) [~Moor] 3522e3fc
Комментарии к версии 3 (08.02.2011 17:24) [~Moor] 8eab1d36
Комментарии к версии 4 (08.02.2011 17:28) [~Moor] f92bc193
АвторДатаТекстtags
pig08.02.2011 17:34
ред: 08.02.2011 17:35
Судя по логу, у вас этот IP авторизовался как news@belagro.by, причём пользователь назначен именно по IP (или по IP+MAC) — с самого начала сессии идёт.
wikipost
matveeva08.02.2011 17:36
Moor пишет: news@belagro.by
А такая уч.запись заведена у вас? Может, пароль подобрали?
wikipost
Комментарии к версии 5 (08.02.2011 17:35) [~Moor] fe0790ff
Комментарии к этой версии (08.02.2011 17:41) [~Moor] 814254f9
Комментарии к версии 7 (08.02.2011 17:42) [~Moor] 19eb418b
АвторДатаТекстtags
ac08.02.2011 17:58
matveeva пишет: Может, пароль подобрали?

В сессии нет команд авторизации. Там IP-авторизация.

Moor пишет: как такого и подобного избегать штатными средствами Е4.

Найдите эту учетную запись news@belagro.by и очистите поле привязки к IP.
wikipost
Moor08.02.2011 18:02
ред: 08.02.2011 18:10
Блииин, точно. Учетная запись News у меня с Е2 осталась, и в ней не стоит ни IP ни МАС авторизация! А как же запрет использования любых ресурсов неавторизованным по IP? Это я где-то на форуме срисовал: Ресурс * Правило UID @ 0= Полномочия 0. Или почты это не касается?
wikipost
Moor08.02.2011 18:06
ac пишет: Найдите эту учетную запись news@belagro.by и очистите поле привязки к IP

Так там и есть пусто!
wikipost
ac08.02.2011 18:44
Тогда давайте заглянем в SMTP-фильтры на стадии "connect".

Moor пишет: Это я где-то на форуме срисовал: Ресурс * Правило UID @ 0= Полномочия 0. Или почты это не касается?

В данном случае UID не нулевой, т.к. пользователь авторизован (как news@). Если не по IP, то еще каким-то способом. Очередной подозреваемый — фильтры.

Для SMTP не нужны усложнения с ресурсами, там и без этих правил запрещено отправлять почту наружу с внешних IP, т.е. релей закрыт по умолчанию.
wikipost
Moor09.02.2011 11:13
ред: 09.02.2011 11:35
Да всё оказаось проще. Права была Matveeva, к news@ подобрали пароль, а т.к. IP-авторизация на нем была выключена, то всё дальше пошло как надо (злоумышленникам). Спасибо всем за помощь. Впредь буду осмотрительнее и осторожнее, а то расслабился с Е2, там всё куда проще было. Ну а после того как фаером закрыл 25 порт (ну и 2009 до кучи, хотя туда пока никто не стучится), в нем сразу вылезли все попытки достучаться, прямо вал идет, и с разных адресов причем.
ac пишет: там и без этих правил запрещено отправлять почту наружу с внешних IP
Так ведь в моем примере и ушла с 114.44.100.170, или это в логе только адрес с которым он авторизовался?
И еще с Вашего позволения вопрос. Ясно что не в тему, но чтобы еще новую тему не начинать — может ответите. Чего-то накосячил где-то по неопытности, теперь при попытке получить обновления имею следующее:
22:00:29 pop3 (1212): Connecting code.eserv.ru:110...
22:00:30 pop3 (1212): +OK <2356.1896060328@klg-t1-rt1.etype.net> POP3 Eserv/4.27 server ready ()
22:00:30 pop3 (1212): USER

22:00:30 pop3 (1212): +OK username accepted
22:00:30 pop3 (1212): PASS

22:00:30 pop3 (1212): -ERR invalid user:Pass
22:00:30 ERROR (1212): 4294962293

Где я user:Pass потерял, не подскажете?
wikipost
matveeva09.02.2011 13:13
Moor пишет: имею следующее:
А что это за журнал? Не нашла что-то у себя...
wikipost
Moor09.02.2011 14:22
matveeva пишет: А что это за журнал?
DATA\LOG\Pop2smtp\{MMDD}debug.txt
wikipost
matveeva09.02.2011 15:00
Хм...Странно. А как у Вас прописано задание планировщика на получение обновления? Должно быть "Тип HttpPull" А у Вас там что-то другое стоит?
wikipost
Moor09.02.2011 15:08
ред: 09.02.2011 15:10
matveeva пишет: А у Вас там что-то другое стоит?
Ну конечно. Видно мышом зацепил когда PopMail настраивал и не заметил. Поправил, спасибо за участие! Даже мысли небыло подумать чего оно в Pop лезет — по основной работе голова кругом, цейтнот полный, а тут еще на Eserv отрываться приходится. И выходит ни вашим ни нашим
wikipost
Moor09.02.2011 15:20
ред: 09.02.2011 15:24
Модераторам. Удалите, пожалуйста эту ветку — ничего интересного, один мой личный тупизм, прям стыдно, никому это не интересно.
wikipost
ac10.02.2011 00:58
Moor пишет: ac пишет: там и без этих правил запрещено отправлять почту наружу с внешних IP

Так ведь в моем примере и ушла с 114.44.100.170, или это в логе только адрес с которым он авторизовался?

При использовании авторизации можно с любого IP, конечно.

Moor пишет: к news@ подобрали пароль

Хм. А по цитированному логу получается, что этот спамер был авторизован уже в момент подключения, до ввода логина — уже в начальном приветствии SMTP-протокола сервер знает, что имеет дело с 'news', т.е. либо IP/MAC-авторизация, либо фильтр, либо где-то у нас хитрый баг, либо я тут что-то недопонял еще... После того как вы сменили пароль у news, больше авторизованных внешних сессий не было?
wikipost
ac10.02.2011 01:07
Moor пишет: никому это не интересно

Мне интересно, т.к. пока не ясна причина авторизации.
wikipost
Moor17.02.2011 12:19
ac пишет: После того как вы сменили пароль у news, больше авторизованных внешних сессий не было?
Нет. Я эту учетку (news@) просто выключил, она мне не нужна, перешла по наследству из Е2. И IP/MAC авторизация на ней изначально была выключена. Был ли там пароль вообще — не помню, это был как-раз момент когда я только-только запустил Е4 вместо Е2 и всё было в стадии настройки. Предположение о подборе пароля к ней я сделал из того, что после обращения сюда увидел в "Учетные записи"/"Попытки авторизации" массу попыток перебора логина/пароля, правда не с этого адреса (114.44.100.170), а с 202.109.143.93. После того как я закрыл фаером 25 порт на вход попытки авторизации по SMTP прекратились, иногда появляются только по POP (с 87.106.23.164), и по логам фаера пытаются достучаться к acWEB на 80-й.

ac пишет: Тогда давайте заглянем в SMTP-фильтры на стадии "connect".
ac пишет: т.е. либо IP/MAC-авторизация, либо фильтр
Своих фильтров по SMTP у меня пока никаких нет

ac пишет: Мне интересно, т.к. пока не ясна причина авторизации
Так может еще каких кусков логов Вам нарезать для выяснения, у меня небольшая форточка во времени появилась наконец? (хотя вылезла другая беда, вопрос задал в теме http://forum.eserv.ru/E4/Proxy/Медленная работа через Е4#56).
wikipost
ac17.02.2011 12:25
Moor пишет: Был ли там пароль вообще — не помню

С пустыми паролями Eserv не авторизует.

Если не сложно, то весь DATA\log\smtp\2011-02-08-log.txt за тот день в виде архива на email support@eserv.ru.

Moor пишет: Своих фильтров по SMTP у меня пока никаких нет


А в CONF\lists\smtp\ какие-нибудь списки заполнены?
wikipost
Moor17.02.2011 12:45
ред: 17.02.2011 13:00
ac пишет: Если не сложно, то весь DATA\log\smtp\2011-02-08-log.txt за тот день в виде архива на email support@eserv.ru

Ушло
ac пишет: А в CONF\lists\smtp\ какие-нибудь списки заполнены?

В списках рассылки тоже пусто
wikipost
ac17.02.2011 13:06
Не, не перепутал. Не обратил внимание, что у вас E2, а они при импорте из E3 могут появиться. Если нет, то и не нужны
wikipost
ac17.02.2011 13:14
Moor пишет: Ушло

У вас там все до одной SMTP-сессии авторизованные, под разными пользователями. Вы каким способом это реализовали, если не вышеупомянутыми?
wikipost
Moor17.02.2011 13:23
ac пишет: Вы каким способом это реализовали, если не вышеупомянутыми?

Туплю, поясните если можно
wikipost
ac17.02.2011 13:32
Нет, это я туплю Не могу понять, почему у вас SMTP-сессии все авторизованы (как если бы явно использовали логины:пароли, но на деле они с самой первой команды уже авторизованы, судя по логу), если вы ни IP-авторизацию, ни фильтры не используете.
wikipost
Moor17.02.2011 14:04
ac пишет: если вы ни IP-авторизацию, ни фильтры не используете
Не совсем так. IP-авторизацию я использую везде, постоянно, для всех учеток, еще со времен Е2. Это news@ оказалась как-то временно без IP, пока все запускал — IP-авторизация при импорте из E2 не переносится. А фильтров пока нет — не наработал еще.
wikipost
Работает на Eserv/5.05567 (10.02.2020)