* У меня Open Relay ?

Сегодня обнаружил в в \LOG\SMTP\YYYYMMdelivery.txt следующее:

2011-02-08 09:20:04;114.44.100.170;news@belagro.by;135;2716;z2007tw@yahoo.com.tw;gk49fawn@yahoo.com.tw;ExDelivery:Outbound;400;<zh--d0-v-678o53e7@5wo1h2c>;

и соответственно в \LOG\SMTP\YYYY-MM-DD-log.txt следующее:

2011-02-08 09:19:45;114.44.100.170;news@belagro.by;135;2716;OUT;220 Eserv v4.27.4794 ESMTP. Tue, 08 Feb 2011 09:19:45 +0200 (news) 2011-02-08 09:19:45;114.44.100.170;news@belagro.by;135;2716;IN;HELO 93.125.0.163 2011-02-08 09:19:45;114.44.100.170;news@belagro.by;135;2716;OUT;250 leased-line-93-125-0-163.telecom.by Hello [114.44.100.170] 2011-02-08 09:19:45;114.44.100.170;news@belagro.by;135;2716;IN;MAIL FROM: <z2007tw@yahoo.com.tw> 2011-02-08 09:20:01;114.44.100.170;news@belagro.by;135;2716;OUT;250 z2007tw@yahoo.com.tw OK 2011-02-08 09:20:01;114.44.100.170;news@belagro.by;135;2716;IN;RCPT TO: <gk49fawn@yahoo.com.tw> 2011-02-08 09:20:02;114.44.100.170;news@belagro.by;135;2716;OUT;250 gk49fawn@yahoo.com.tw OK (auth=news@belagro.by) 2011-02-08 09:20:02;114.44.100.170;news@belagro.by;135;2716;IN;DATA 2011-02-08 09:20:02;114.44.100.170;news@belagro.by;135;2716;SPOOL;..\DATA\mail\spool\z2007tw@yahoo.com.tw!135!504617984!1.eml 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;OUT;354 send the mail data, end with . 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;400 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;300000 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;-1 2011-02-08 09:20:03;114.44.100.170;news@belagro.by;135;2716;WL;0 2011-02-08 09:20:04;114.44.100.170;news@belagro.by;135;2716;OUT;250 OK message accepted for delivery (ExDelivery:Outbound) 2011-02-08 09:20:04;114.44.100.170;news@belagro.by;135;2716;DELIVERY;gk49fawn@yahoo.com.tw;ExDelivery:Outbound 2011-02-08 09:20:04;114.44.100.170;news@belagro.by;135;2716;IN;QUIT 2011-02-08 09:20:04;114.44.100.170;news@belagro.by;135;2716;OUT;221 Goodbye.

Я так понимаю товарищ с 114.44.100.170 безнаказанно и бесконтрольно пересылает через меня почту (видно пробует, письмо было пустое). Нигде в авторизации этого товарища с 114.44.100.170 не нашел, в правах доступа стоит запрет на использование всех ресурсов неавторизованным по IP. Я конечно фаерволом SMTP снаружи перекрыл, но хотелось бы узнать как такого и подобного избегать штатными средствами Е4. Пока стоял Е2 и вопросов таких не возникало, а тут проспал

Где-то в форуме раньше встречал обсуждение на эту тему, но чего-то как понадобилось поиском не нашел, так что сильно не пинайте если это повтор пройденного

Автор

Дата

Текст

tags

08.02.2011 17:58

matveeva пишет: Может, пароль подобрали?

В сессии нет команд авторизации. Там IP-авторизация.

Moor пишет: как такого и подобного избегать штатными средствами Е4.

Найдите эту учетную запись news@belagro.by и очистите поле привязки к IP.

wikipost

Moor

08.02.2011 18:02
ред: 08.02.2011 18:10

Блииин, точно. Учетная запись News у меня с Е2 осталась, и в ней не стоит ни IP ни МАС авторизация! А как же запрет использования любых ресурсов неавторизованным по IP? Это я где-то на форуме срисовал: Ресурс * Правило UID @ 0= Полномочия 0. Или почты это не касается?

wikipost

Moor

08.02.2011 18:06

ac пишет: Найдите эту учетную запись news@belagro.by и очистите поле привязки к IP

Так там и есть пусто!

wikipost

08.02.2011 18:44

Тогда давайте заглянем в SMTP-фильтры на стадии "connect".

Moor пишет: Это я где-то на форуме срисовал: Ресурс * Правило UID @ 0= Полномочия 0. Или почты это не касается?

В данном случае UID не нулевой, т.к. пользователь авторизован (как news@). Если не по IP, то еще каким-то способом. Очередной подозреваемый — фильтры.

Для SMTP не нужны усложнения с ресурсами, там и без этих правил запрещено отправлять почту наружу с внешних IP, т.е. релей закрыт по умолчанию.

wikipost

Moor

09.02.2011 11:13
ред: 09.02.2011 11:35

Да всё оказаось проще. Права была Matveeva, к news@ подобрали пароль, а т.к. IP-авторизация на нем была выключена, то всё дальше пошло как надо (злоумышленникам). Спасибо всем за помощь. Впредь буду осмотрительнее и осторожнее, а то расслабился с Е2, там всё куда проще было. Ну а после того как фаером закрыл 25 порт (ну и 2009 до кучи, хотя туда пока никто не стучится), в нем сразу вылезли все попытки достучаться, прямо вал идет, и с разных адресов причем.

ac пишет: там и без этих правил запрещено отправлять почту наружу с внешних IP

Так ведь в моем примере и ушла с 114.44.100.170, или это в логе только адрес с которым он авторизовался?
И еще с Вашего позволения вопрос. Ясно что не в тему, но чтобы еще новую тему не начинать — может ответите. Чего-то накосячил где-то по неопытности, теперь при попытке получить обновления имею следующее:

22:00:29 pop3 (1212): Connecting code.eserv.ru:110...
22:00:30 pop3 (1212): +OK <2356.1896060328@klg-t1-rt1.etype.net> POP3 Eserv/4.27 server ready ()
22:00:30 pop3 (1212): USER

22:00:30 pop3 (1212): +OK username accepted
22:00:30 pop3 (1212): PASS

22:00:30 pop3 (1212): -ERR invalid user:Pass
22:00:30 ERROR (1212): 4294962293

Где я user:Pass потерял, не подскажете?

wikipost

matveeva

09.02.2011 13:13

Moor пишет: имею следующее:

А что это за журнал? Не нашла что-то у себя...

wikipost

Moor

09.02.2011 14:22

matveeva пишет: А что это за журнал?

DATA\LOG\Pop2smtp\{MMDD}debug.txt

wikipost

matveeva

09.02.2011 15:00

Хм...Странно. А как у Вас прописано задание планировщика на получение обновления? Должно быть "Тип HttpPull" А у Вас там что-то другое стоит?

wikipost

Moor

09.02.2011 15:08
ред: 09.02.2011 15:10

matveeva пишет: А у Вас там что-то другое стоит?

Ну конечно. Видно мышом зацепил когда PopMail настраивал и не заметил. Поправил, спасибо за участие! Даже мысли небыло подумать чего оно в Pop лезет — по основной работе голова кругом, цейтнот полный, а тут еще на Eserv отрываться приходится. И выходит ни вашим ни нашим

wikipost

Moor

09.02.2011 15:20
ред: 09.02.2011 15:24

Модераторам. Удалите, пожалуйста эту ветку — ничего интересного, один мой личный тупизм, прям стыдно, никому это не интересно.

wikipost

10.02.2011 00:58

Moor пишет: ac пишет: там и без этих правил запрещено отправлять почту наружу с внешних IP

Так ведь в моем примере и ушла с 114.44.100.170, или это в логе только адрес с которым он авторизовался?

При использовании авторизации можно с любого IP, конечно.

Moor пишет: к news@ подобрали пароль

Хм. А по цитированному логу получается, что этот спамер был авторизован уже в момент подключения, до ввода логина — уже в начальном приветствии SMTP-протокола сервер знает, что имеет дело с 'news', т.е. либо IP/MAC-авторизация, либо фильтр, либо где-то у нас хитрый баг, либо я тут что-то недопонял еще... После того как вы сменили пароль у news, больше авторизованных внешних сессий не было?

wikipost

10.02.2011 01:07

Moor пишет: никому это не интересно

Мне интересно, т.к. пока не ясна причина авторизации.

wikipost

Moor

17.02.2011 12:19

ac пишет: После того как вы сменили пароль у news, больше авторизованных внешних сессий не было?

Нет. Я эту учетку (news@) просто выключил, она мне не нужна, перешла по наследству из Е2. И IP/MAC авторизация на ней изначально была выключена. Был ли там пароль вообще — не помню, это был как-раз момент когда я только-только запустил Е4 вместо Е2 и всё было в стадии настройки. Предположение о подборе пароля к ней я сделал из того, что после обращения сюда увидел в "Учетные записи"/"Попытки авторизации" массу попыток перебора логина/пароля, правда не с этого адреса (114.44.100.170), а с 202.109.143.93. После того как я закрыл фаером 25 порт на вход попытки авторизации по SMTP прекратились, иногда появляются только по POP (с 87.106.23.164), и по логам фаера пытаются достучаться к acWEB на 80-й.

ac пишет: Тогда давайте заглянем в SMTP-фильтры на стадии "connect".

ac пишет: т.е. либо IP/MAC-авторизация, либо фильтр

Своих фильтров по SMTP у меня пока никаких нет

ac пишет: Мне интересно, т.к. пока не ясна причина авторизации

Так может еще каких кусков логов Вам нарезать для выяснения, у меня небольшая форточка во времени появилась наконец? (хотя вылезла другая беда, вопрос задал в теме

http://forum.eserv.ru/E4/Proxy/Медленная работа через Е4#56).

wikipost

17.02.2011 12:25

Moor пишет: Был ли там пароль вообще — не помню

С пустыми паролями Eserv не авторизует.

Если не сложно, то весь DATA\log\smtp\2011-02-08-log.txt за тот день в виде архива на email support@eserv.ru.

Moor пишет: Своих фильтров по SMTP у меня пока никаких нет

А в CONF\lists\smtp\ какие-нибудь списки заполнены?

wikipost

Moor

17.02.2011 12:45
ред: 17.02.2011 13:00

ac пишет: Если не сложно, то весь DATA\log\smtp\2011-02-08-log.txt за тот день в виде архива на email support@eserv.ru

Ушло

ac пишет: А в CONF\lists\smtp\ какие-нибудь списки заполнены?

В списках рассылки тоже пусто

wikipost

17.02.2011 13:06

Не, не перепутал. Не обратил внимание, что у вас E2, а они при импорте из E3 могут появиться. Если нет, то и не нужны

wikipost

17.02.2011 13:14

Moor пишет: Ушло

У вас там все до одной SMTP-сессии авторизованные, под разными пользователями. Вы каким способом это реализовали, если не вышеупомянутыми?

wikipost

Moor

17.02.2011 13:23

ac пишет: Вы каким способом это реализовали, если не вышеупомянутыми?

Туплю, поясните если можно

wikipost

17.02.2011 13:32

Нет, это я туплю

Не могу понять, почему у вас SMTP-сессии все авторизованы (как если бы явно использовали логины:пароли, но на деле они с самой первой команды уже авторизованы, судя по логу), если вы ни IP-авторизацию, ни фильтры не используете.

wikipost

Moor

17.02.2011 14:04

ac пишет: если вы ни IP-авторизацию, ни фильтры не используете

Не совсем так. IP-авторизацию я использую везде, постоянно, для всех учеток, еще со времен Е2. Это news@ оказалась как-то временно без IP, пока все запускал — IP-авторизация при импорте из E2 не переносится. А фильтров пока нет — не наработал еще.

wikipost

Комментарии к версии 1 (08.02.2011 17:18) [~Moor] e1982446

Комментарии к версии 2 (08.02.2011 17:22) [~Moor] 3522e3fc

Комментарии к версии 3 (08.02.2011 17:24) [~Moor] 8eab1d36

Комментарии к этой версии (08.02.2011 17:28) [~Moor] f92bc193

Автор	Дата	Текст	tags
pig	08.02.2011 17:34 ред: 08.02.2011 17:35	Судя по логу, у вас этот IP авторизовался как news@belagro.by, причём пользователь назначен именно по IP (или по IP+MAC) — с самого начала сессии идёт.	wikipost
matveeva	08.02.2011 17:36	Moor пишет: news@belagro.by А такая уч.запись заведена у вас? Может, пароль подобрали?	wikipost

Комментарии к версии 5 (08.02.2011 17:35) [~Moor] fe0790ff

Комментарии к версии 6 (08.02.2011 17:41) [~Moor] 814254f9

Комментарии к версии 7 (08.02.2011 17:42) [~Moor] 19eb418b

Автор	Дата	Текст	tags
ac	08.02.2011 17:58	matveeva пишет: Может, пароль подобрали? В сессии нет команд авторизации. Там IP-авторизация. Moor пишет: как такого и подобного избегать штатными средствами Е4. Найдите эту учетную запись news@belagro.by и очистите поле привязки к IP.	wikipost
Moor	08.02.2011 18:02 ред: 08.02.2011 18:10	Блииин, точно. Учетная запись News у меня с Е2 осталась, и в ней не стоит ни IP ни МАС авторизация! А как же запрет использования любых ресурсов неавторизованным по IP? Это я где-то на форуме срисовал: Ресурс * Правило UID @ 0= Полномочия 0. Или почты это не касается?	wikipost
Moor	08.02.2011 18:06	ac пишет: Найдите эту учетную запись news@belagro.by и очистите поле привязки к IP Так там и есть пусто!	wikipost
ac	08.02.2011 18:44	Тогда давайте заглянем в SMTP-фильтры на стадии "connect". Moor пишет: Это я где-то на форуме срисовал: Ресурс * Правило UID @ 0= Полномочия 0. Или почты это не касается? В данном случае UID не нулевой, т.к. пользователь авторизован (как news@). Если не по IP, то еще каким-то способом. Очередной подозреваемый — фильтры. Для SMTP не нужны усложнения с ресурсами, там и без этих правил запрещено отправлять почту наружу с внешних IP, т.е. релей закрыт по умолчанию.	wikipost
Moor	09.02.2011 11:13 ред: 09.02.2011 11:35	Да всё оказаось проще. Права была Matveeva, к news@ подобрали пароль, а т.к. IP-авторизация на нем была выключена, то всё дальше пошло как надо (злоумышленникам). Спасибо всем за помощь. Впредь буду осмотрительнее и осторожнее, а то расслабился с Е2, там всё куда проще было. Ну а после того как фаером закрыл 25 порт (ну и 2009 до кучи, хотя туда пока никто не стучится), в нем сразу вылезли все попытки достучаться, прямо вал идет, и с разных адресов причем. ac пишет: там и без этих правил запрещено отправлять почту наружу с внешних IP Так ведь в моем примере и ушла с 114.44.100.170, или это в логе только адрес с которым он авторизовался? И еще с Вашего позволения вопрос. Ясно что не в тему, но чтобы еще новую тему не начинать — может ответите. Чего-то накосячил где-то по неопытности, теперь при попытке получить обновления имею следующее: 22:00:29 pop3 (1212): Connecting code.eserv.ru:110... 22:00:30 pop3 (1212): +OK <2356.1896060328@klg-t1-rt1.etype.net> POP3 Eserv/4.27 server ready () 22:00:30 pop3 (1212): USER 22:00:30 pop3 (1212): +OK username accepted 22:00:30 pop3 (1212): PASS 22:00:30 pop3 (1212): -ERR invalid user:Pass 22:00:30 ERROR (1212): 4294962293 Где я user:Pass потерял, не подскажете?	wikipost
matveeva	09.02.2011 13:13	Moor пишет: имею следующее: А что это за журнал? Не нашла что-то у себя...	wikipost
Moor	09.02.2011 14:22	matveeva пишет: А что это за журнал? DATA\LOG\Pop2smtp\{MMDD}debug.txt	wikipost
matveeva	09.02.2011 15:00	Хм...Странно. А как у Вас прописано задание планировщика на получение обновления? Должно быть "Тип HttpPull" А у Вас там что-то другое стоит?	wikipost
Moor	09.02.2011 15:08 ред: 09.02.2011 15:10	matveeva пишет: А у Вас там что-то другое стоит? Ну конечно. Видно мышом зацепил когда PopMail настраивал и не заметил. Поправил, спасибо за участие! Даже мысли небыло подумать чего оно в Pop лезет — по основной работе голова кругом, цейтнот полный, а тут еще на Eserv отрываться приходится. И выходит ни вашим ни нашим	wikipost
Moor	09.02.2011 15:20 ред: 09.02.2011 15:24	Модераторам. Удалите, пожалуйста эту ветку — ничего интересного, один мой личный тупизм, прям стыдно, никому это не интересно.	wikipost
ac	10.02.2011 00:58	Moor пишет: ac пишет: там и без этих правил запрещено отправлять почту наружу с внешних IP Так ведь в моем примере и ушла с 114.44.100.170, или это в логе только адрес с которым он авторизовался? При использовании авторизации можно с любого IP, конечно. Moor пишет: к news@ подобрали пароль Хм. А по цитированному логу получается, что этот спамер был авторизован уже в момент подключения, до ввода логина — уже в начальном приветствии SMTP-протокола сервер знает, что имеет дело с 'news', т.е. либо IP/MAC-авторизация, либо фильтр, либо где-то у нас хитрый баг, либо я тут что-то недопонял еще... После того как вы сменили пароль у news, больше авторизованных внешних сессий не было?	wikipost
ac	10.02.2011 01:07	Moor пишет: никому это не интересно Мне интересно, т.к. пока не ясна причина авторизации.	wikipost
Moor	17.02.2011 12:19	ac пишет: После того как вы сменили пароль у news, больше авторизованных внешних сессий не было? Нет. Я эту учетку (news@) просто выключил, она мне не нужна, перешла по наследству из Е2. И IP/MAC авторизация на ней изначально была выключена. Был ли там пароль вообще — не помню, это был как-раз момент когда я только-только запустил Е4 вместо Е2 и всё было в стадии настройки. Предположение о подборе пароля к ней я сделал из того, что после обращения сюда увидел в "Учетные записи"/"Попытки авторизации" массу попыток перебора логина/пароля, правда не с этого адреса (114.44.100.170), а с 202.109.143.93. После того как я закрыл фаером 25 порт на вход попытки авторизации по SMTP прекратились, иногда появляются только по POP (с 87.106.23.164), и по логам фаера пытаются достучаться к acWEB на 80-й. ac пишет: Тогда давайте заглянем в SMTP-фильтры на стадии "connect". ac пишет: т.е. либо IP/MAC-авторизация, либо фильтр Своих фильтров по SMTP у меня пока никаких нет ac пишет: Мне интересно, т.к. пока не ясна причина авторизации Так может еще каких кусков логов Вам нарезать для выяснения, у меня небольшая форточка во времени появилась наконец? (хотя вылезла другая беда, вопрос задал в теме http://forum.eserv.ru/E4/Proxy/Медленная работа через Е4#56).	wikipost
ac	17.02.2011 12:25	Moor пишет: Был ли там пароль вообще — не помню С пустыми паролями Eserv не авторизует. Если не сложно, то весь DATA\log\smtp\2011-02-08-log.txt за тот день в виде архива на email support@eserv.ru. Moor пишет: Своих фильтров по SMTP у меня пока никаких нет А в CONF\lists\smtp\ какие-нибудь списки заполнены?	wikipost
Moor	17.02.2011 12:45 ред: 17.02.2011 13:00	ac пишет: Если не сложно, то весь DATA\log\smtp\2011-02-08-log.txt за тот день в виде архива на email support@eserv.ru Ушло ac пишет: А в CONF\lists\smtp\ какие-нибудь списки заполнены? В списках рассылки тоже пусто	wikipost
ac	17.02.2011 13:06	Не, не перепутал. Не обратил внимание, что у вас E2, а они при импорте из E3 могут появиться. Если нет, то и не нужны	wikipost
ac	17.02.2011 13:14	Moor пишет: Ушло У вас там все до одной SMTP-сессии авторизованные, под разными пользователями. Вы каким способом это реализовали, если не вышеупомянутыми?	wikipost
Moor	17.02.2011 13:23	ac пишет: Вы каким способом это реализовали, если не вышеупомянутыми? Туплю, поясните если можно	wikipost
ac	17.02.2011 13:32	Нет, это я туплю Не могу понять, почему у вас SMTP-сессии все авторизованы (как если бы явно использовали логины:пароли, но на деле они с самой первой команды уже авторизованы, судя по логу), если вы ни IP-авторизацию, ни фильтры не используете.	wikipost
Moor	17.02.2011 14:04	ac пишет: если вы ни IP-авторизацию, ни фильтры не используете Не совсем так. IP-авторизацию я использую везде, постоянно, для всех учеток, еще со времен Е2. Это news@ оказалась как-то временно без IP, пока все запускал — IP-авторизация при импорте из E2 не переносится. А фильтров пока нет — не наработал еще.	wikipost

Eserv Forum / E4 / Mail / У меня Open Relay ?