Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

MDaemon Mail Server problem

[es] :: Linux/UNIX serveri i servisi :: MDaemon Mail Server problem

[ Pregleda: 3383 | Odgovora: 13 ] > FB > Twit

Postavi temu Odgovori

Autor
Pretraga teme: Traži
Markiranje Štampanje RSS

_webMasterYoda
Bane Grbic
Kula

Član broj: 93817
Poruke: 8
82.208.195.*

Sajt: www.kulawireless.net


Profil

icon MDaemon Mail Server problem15.11.2007. u 21:50 - pre 200 meseci
Dakle server na adresi kulawireless.net radi. Svi moji korisnici salju i primaju postu i sve je ok, ALI:

Kada koristim mailing listu preko web sajta hostovanog na istoj mashini ili pokusam da podesim skriptu na drugom ruteru koja bi periodicno slala email preko postojeceg MDaemon servera te poruke jednostavno ne prolaze.

A pazite ovo: korisnici mog sajta koji imaju lokalnu mail adresu (kulawireless.net) bez problema primaju obavestenja putem emaila kada se nesto desi na web sajtu, dok korisnici ciji mail nema veze sa kulawirelessom nema sanse da prodju.

evo primera:

Code:

Thu 2007-11-15 22:12:35: Session 1284; child 1; thread 1428
Thu 2007-11-15 22:12:35: Accepting SMTP connection from [127.0.0.1 : 3962]
Thu 2007-11-15 22:12:35: --> 220 kulawireless.net ESMTP MDaemon 8.1.3; Thu, 15 Nov 2007 22:12:35 +0100
Thu 2007-11-15 22:12:35: <-- HELO kulawireless
Thu 2007-11-15 22:12:35: --> 250 kulawireless.net Hello kulawireless, pleased to meet you
Thu 2007-11-15 22:12:35: <-- MAIL FROM:<Bane Grbić <[email protected]>>
Thu 2007-11-15 22:12:35: --> 250 <[email protected]>, Sender ok
Thu 2007-11-15 22:12:35: <-- RCPT TO:<[email protected]>
Thu 2007-11-15 22:12:35: Sender attempted to deliver message to unknown address
Thu 2007-11-15 22:12:35: --> 550 <[email protected]>, Recipient unknown
Thu 2007-11-15 22:12:35: <-- QUIT
Thu 2007-11-15 22:12:35: --> 221 See ya in cyberspace
Thu 2007-11-15 22:12:35: SMTP session terminated (Bytes in/out: 105/249)
Thu 2007-11-15 22:12:35: ----------


Thu 2007-11-15 22:18:29: Session 1290; child 1; thread 1068
Thu 2007-11-15 22:18:29: Accepting SMTP connection from [127.0.0.1 : 4109]
Thu 2007-11-15 22:18:29: --> 220 kulawireless.net ESMTP MDaemon 8.1.3; Thu, 15 Nov 2007 22:18:29 +0100
Thu 2007-11-15 22:18:29: <-- HELO kulawireless
Thu 2007-11-15 22:18:29: --> 250 kulawireless.net Hello kulawireless, pleased to meet you
Thu 2007-11-15 22:18:29: <-- MAIL FROM:<Bane Grbić <[email protected]>>
Thu 2007-11-15 22:18:29: --> 250 <[email protected]>, Sender ok
Thu 2007-11-15 22:18:29: <-- RCPT TO:<[email protected]>
Thu 2007-11-15 22:18:29: --> 250 <[email protected]>, Recipient ok
Thu 2007-11-15 22:18:29: <-- DATA
Thu 2007-11-15 22:18:29: Creating temp file (SMTP): c:\mdaemon\queues\temp\md50000000584.tmp
Thu 2007-11-15 22:18:29: --> 354 Enter mail, end with <CRLF>.<CRLF>
Thu 2007-11-15 22:18:29: Message size: 335 bytes
Thu 2007-11-15 22:18:29: Message creation successful: c:\mdaemon\queues\inbound\md50000075689.msg
Thu 2007-11-15 22:18:29: --> 250 Ok, message saved <Message-ID: >
Thu 2007-11-15 22:18:29: <-- QUIT
Thu 2007-11-15 22:18:29: --> 221 See ya in cyberspace
Thu 2007-11-15 22:18:29: SMTP session successful (Bytes in/out: 456/329)
Thu 2007-11-15 22:18:29: ----------


dakle prva poruka je kada mail nije prosao, a druga kada jeste. obe poruke su poslate koristeci feedback na web sajtu. razlika je samo u posiljaocu.

mislim da ima veze sa potpisima na odlazecim porukama, ali ne znam to da podesim.

ima li neko da moze da pomogne.

PS- e da. proverio sam blacklist i nalazim se na jednoj od njih. da li je to mozda razlog sto mdaemon ne pusta sve poruke?

plz help
...may the force be with you.
 
Odgovor na temu

sdurut
Mašinski šloser

Član broj: 76787
Poruke: 673



+66 Profil

icon Re: MDaemon Mail Server problem15.11.2007. u 22:06 - pre 200 meseci
MDeamon i drugi dobro podeseni mail serveri proveravaju adresu posiljaoca i ne dozvoljavaju relaying ako mail nije iz domena kome pripada mail server
Thu 2007-11-15 22:12:35: <-- MAIL FROM:<Bane Grbić <[email protected]>>
Thu 2007-11-15 22:12:35: --> 250 <[email protected]>, Sender ok

Ovo ne moze da prodje.
 
Odgovor na temu

brainbuger

Član broj: 9647
Poruke: 440
91.143.211.*



+52 Profil

icon Re: MDaemon Mail Server problem16.11.2007. u 10:05 - pre 199 meseci
Citat:
Thu 2007-11-15 22:12:35: <-- MAIL FROM:<Bane Grbić <[email protected]>>
Thu 2007-11-15 22:12:35: --> 250 <[email protected]>, Sender ok
Thu 2007-11-15 22:12:35: <-- RCPT TO:<[email protected]>
Thu 2007-11-15 22:12:35: Sender attempted to deliver message to unknown address


Mislim da BL nema veze sa ovim, jer koliko vidim log kaze da posiljaoc pokusava da posalje poruku na mail adresu koja ne pripada domenu "kulawireless.net" i da mu MDaemon to ne dozvoljava, a ne dozvoljava mu zato sto je najverovatnije po defaultu iskljucen relaying u Security.

Probaj sledece, odes na Security > Relays/Trusts/ Tarpit... > Relay Settings, i iskljucis cek polje sa opcijom "refuse to accept mail for unknown local users".
 
Odgovor na temu

jogurt
Zoran Milenković
nettverkskonsulent
Norway

Član broj: 13800
Poruke: 472
*.vdial.verat.net.

Jabber: jogurt@elitesecurity.org
ICQ: 309530264


+8 Profil

icon Re: MDaemon Mail Server problem17.11.2007. u 02:33 - pre 199 meseci
Nisam MDaemon strucnjak, niti sam ga ikada konfigurisao/instalirao, ali mislim da je tvoj problem ovde u tome sto pokusavas da posaljes poruku kroz svoj mail server, a da pri tom i u MAIL FROM: i u RCPT TO: polju upisujes adresu sa domenom koji ti nije lokalni! U konkretnom slucaju gde si prikazao neuspeh slanja, i MAIL FROM i RCPT TO adresa su sa nelokalnim domenom, gmail.com. Pretpostavljam da ti je server konfigurisan samo za domen kulawireless.net.!?

Iz istog razloga, kada ti je u MAIL FROM adresa sa lokalnim (known) domenom, sve ide kako treba.

Drugim recima, ta tvoja skripta bi bar trebalo da salje mail sa neke tvoje lokalne adrese, a ne da pokusava da se predstavi kao gmail.com MX server!

Ako pak zelis da dozvolis relaying kroz server, budi jako oprezan! Tako nesto moze biti pogubno za rejting tvog domena!

Srecno
Zoran
 
Odgovor na temu

brainbuger

Član broj: 9647
Poruke: 440
*.opera-mini.net.



+52 Profil

icon Re: MDaemon Mail Server problem17.11.2007. u 17:00 - pre 199 meseci
Tako je, i da skratimo pricu, ako si samo korisnik tog mail servera onda zaboravi, ne mozes tu nista uraditi. Ako ga ti administriras, onda je jedino resenje da ukljucis relaying, pomocu kojeg ce posiljaoc koji ne pripada tom mail serveru moci da posalje mail nekome ko takodje nije na njemu. A posto je relaying mnogo nesiguran (jer ti svako moze zloupotrebiti SMTP server) morao bi da ukljucis i SMTP autorizaciju. Pomocu nje svaki klijent koji salje poruke mora prvo poslati user/pass za razliku od sadasnje situacije gde ti server trazi user/pass samo prilikom preuzimanja poruka. Mozda ima i drugih varijanti ali za MDaemon provereno znam da SMTP autorizacija u tom slucaju zavrsava posao. Takodje, morao bi da uradis i sitnu ispravku na skriptama na sajtu pomocu kojih saljes poruke, jer sad treba da saljes i user/pass, ali... to su vec sitnice :) Pozz
 
Odgovor na temu

jogurt
Zoran Milenković
nettverkskonsulent
Norway

Član broj: 13800
Poruke: 472
*.net
Via: [es] mailing liste

Jabber: jogurt@elitesecurity.org
ICQ: 309530264


+8 Profil

icon Re: MDaemon Mail Server problem17.11.2007. u 20:08 - pre 199 meseci
Citat:

A posto je relaying mnogo nesiguran ...


Ako smem da te ispravim, relaying nije "mnogo nesiguran", vec nekontrolisani
relaying je nepozeljan zbog dobro poznate mogucnosti zloupotrebe (spameri). Ne
znam za MD, ali na svim boljim mail serverima moze lepo da se kontrolise sa
kojih IP adresa je dozvoljen relaying, a sa kojih ne. Drugim recima,
relaying nije nuzno losa stvar, a i nema veze sa security-jem.

Pre bih rekao da je problematicno slanje user/pass kroz mrezu u clear textu koje si mu preporucio.

Poz
Z
 
Odgovor na temu

brainbuger

Član broj: 9647
Poruke: 440
*.opera-mini.net.



+52 Profil

icon Re: MDaemon Mail Server problem17.11.2007. u 23:15 - pre 199 meseci
Pa na nekontrolisan (potpuno otvoren) relaying se i odnosi ono sto sam rekao. To sve stoji sto si rekao, ali u konkretnoj situaciji otvoren relaying bi za njega bila odlicna prilika za spamere i zato se o njemu od starta prica sa stanovista bezbednosti. Ja sam mu predlozio SMTP auth kao "brzo i zgodno" resenje da pojaca bezbednost, a o izolovanosti njegovog servera i kontroli IP adresa koje mu pristupaju, nema potrebe da govorimo, to se podrazumeva. Poz
 
Odgovor na temu

jogurt
Zoran Milenković
nettverkskonsulent
Norway

Član broj: 13800
Poruke: 472
*.net
Via: [es] mailing liste

Jabber: jogurt@elitesecurity.org
ICQ: 309530264


+8 Profil

icon Re: MDaemon Mail Server problem18.11.2007. u 12:27 - pre 199 meseci
Eh! A kako si procenio da se podrazumeva kontrola IP adresa koje mu
pristupaju i otkad to auth SMTP povecava sigurnost!? Covek je ocigledno vrlo
tanak sa poznavanjem nacina rada SMTP servera i ono sto podrazumeva je vrlo
verovatno pogresno.

Misliim da nema svrhe da nastavljamo raspravu dok se ne javi pokretac teme.

Pozdrav
Zoran
 
Odgovor na temu

brainbuger

Član broj: 9647
Poruke: 440
91.143.211.*



+52 Profil

icon Re: MDaemon Mail Server problem19.11.2007. u 13:13 - pre 199 meseci
I ja mislim da bez pokretaca teme nema potrebe da vise raspravljamo o njegovom problemu. Ali ajde jos malo o SMTP auth :)
Vecina savremenih servera (medju njima i MDaemon) po defaultu podrzava CRAM-MD5 prilikom SMTP auth tako da je sve redje pojavljivanje lozinke u plain tekst formatu. Mada cak i u tom slucaju, najverovatnija (i uglavnom najcesca) varijanta za napad na SMTP auth je brute force, sto ce reci da sanse napadaca zavise prvenstveno od toga koliko je jaka (politika) lozinki. Da se ne lazemo, ako je neko toliko uporan nece ga u tome spreciti ni SMTP auth ni provera IP adrese ni bilo sta drugo, na kraju ce najverovatnije ostvariti svoj cilj.

Dakle ne mislim da ce SMTP auth povecati sigurnost do potpunosti vec da moze u nekim situacijama pomoci, pogotovo tamo gde nema drugih mogucnosti da se proveri pristup i na taj nacin u skoro 99,9% spreci zloupotreba od strane spamera.

Jos nesto, cisto me zanima kako bi ti zastitio otvoren relaying od spamera kada je vecina klijenata na dinamickim IP adresama, a da ta zastita nije verifikacija korisnika pre slanja? Ne mislim nista lose, naravno, ako ima jos nekih metoda rado bih voleo da ih cujem.
 
Odgovor na temu

jogurt
Zoran Milenković
nettverkskonsulent
Norway

Član broj: 13800
Poruke: 472
*.net
Via: [es] mailing liste

Jabber: jogurt@elitesecurity.org
ICQ: 309530264


+8 Profil

icon Re: MDaemon Mail Server problem19.11.2007. u 22:46 - pre 199 meseci
Dragi brainbuger,

Naravno da ni ja ne mislim nista lose :) Ako zelis jos malo da procaskamo o
SMTPu, hajde.

Elem, nigde nisam video da si u ranijim postovima pominjao CRAM-MD5 kod SMTP
Auth koju si preporucio. Da li je pokretac teme i to trebalo da
podrazumeva?! Ponavljam, da on zna i podrazumeva sve to, on ne bi pitao na
forumu sta i kako treba da radi.

Citat:

tako da je sve redje pojavljivanje lozinke u plain tekst formatu. Mada cak i
u tom slucaju, najverovatnija (i uglavnom najcesca) varijanta za napad na
SMTP auth je brute force,


Brute force napad na plain text?! Zasto?

Drugo, ako korisnici imaju slabu politiku lozinki, na primer, username lozinka, kako mislis da ce CRAM-MD5 da pomogne? Koliko znam, i taj metod
salje username u clear textu. Ako napadac ima username, zasto mislis da ce
mu biti problem da probije slab password?

Citat:

Da se ne lazemo, ako je neko toliko uporan nece ga u tome spreciti ni SMTP
auth ni provera IP adrese ni bilo sta drugo, na kraju ce najverovatnije
ostvariti svoj cilj.


Sta si ovim hteo da kazes? Da ne vredi da se stitimo? Ko laze? Ne razumem?!

Citat:

Jos nesto, cisto me zanima kako bi ti zastitio otvoren relaying od spamera
kada je vecina klijenata na dinamickim IP adresama, a da ta zastita nije
verifikacija korisnika pre slanja? Ne mislim nista lose, naravno, ako ima
jos nekih metoda rado bih voleo da ih cujem.


Prvo, nikada na serveru ne bio drzao open relaying. Na portu 25 bih imao
podignut standardni SMTP servis sa svim anti-spam mehanizmima i obavezno bez
podrske sa SMTP Auth! Za korisnike sa dinamickim IP adresama bih dozvolio
relaying, ako sam ih ja dodelio. Ako nisam, ne bih. Pretpostavka je da znas
gde su ti korisnici i odakle mogu da dodju. Za one korisnike sirom Interneta
koji nisu clanovi privatne lokalne mreze ili mog dinamickog opsega (i kojima
je relaying dozvoljen) podigao bih drugi SMTP servis na portu 465 ili 587,
tacnije Secure SMTP, i tu bih radio SMTP Auth, ali naravno sve bi islo kroz
SSL ili TLS. Otprilike bi to bilo jedno bezbedno resenje.

Pozdrav
Zoran
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.verat.net.



+1365 Profil

icon Re: MDaemon Mail Server problem20.11.2007. u 08:14 - pre 199 meseci
Citat:
Prvo, nikada na serveru ne bio drzao open relaying. Na portu 25 bih imao
podignut standardni SMTP servis sa svim anti-spam mehanizmima i obavezno bez
podrske sa SMTP Auth! Za korisnike sa dinamickim IP adresama bih dozvolio
relaying, ako sam ih ja dodelio. Ako nisam, ne bih. Pretpostavka je da znas
gde su ti korisnici i odakle mogu da dodju. Za one korisnike sirom Interneta
koji nisu clanovi privatne lokalne mreze ili mog dinamickog opsega (i kojima
je relaying dozvoljen) podigao bih drugi SMTP servis na portu 465 ili 587,
tacnije Secure SMTP, i tu bih radio SMTP Auth, ali naravno sve bi islo kroz
SSL ili TLS. Otprilike bi to bilo jedno bezbedno resenje.


Meni ovo nije baš racionalno riješenje.
Ako ćeš već podizati SMTP Auth, zašto bi podizao još jedan servis na 465. Uzima resurse i jedan je svakako višak. Nek bude jedan na 25 sa autorizacijom i zdravo. Ili sam ja nešto pogrešno shvatio.
Takođe, kažeš da bi korisnicima kojima si ti dodijelio dinamičke adrese dozvolio relaying. Ja nikad ne bih dozvolio relaying za više od 10 adresa (jedan korisnik zakači virus i eto belaja, a ne 1000).

Naravno, ovo kako si ti zamislio je najugodnije za korisnike, ali mislim da nije najsigurnije riješenje.

Lično, najviše zavisi od toga kakva je konkretna situacija i to u stvari određuje kako će se sve konfigurisati.
Veliki provajder sa mnogo korisnika koji pristupaju sa dinamičkim adresama, manja/srednja firma, hosting provajder....
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

brainbuger

Član broj: 9647
Poruke: 440
91.143.211.*



+52 Profil

icon Re: MDaemon Mail Server problem20.11.2007. u 09:11 - pre 199 meseci
Citat:
jogurt:Elem, nigde nisam video da si u ranijim postovima pominjao CRAM-MD5 kod SMTP
Auth koju si preporucio. Da li je pokretac teme i to trebalo da podrazumeva?!
Da se javio i ukljucio u temu koju je pokrenuo najverovatnije bi smo dosli i do toga i do mozda jos nekih njemu korisnih stvari.

Citat:
jogurt:Drugo, ako korisnici imaju slabu politiku lozinki, na primer, username lozinka, kako mislis da ce CRAM-MD5 da pomogne?
Malo si isprevrtao ono sto sam rekao, u sustini, hteo sam da kazem da su najcesci napadi na SMTP uglavnom brute force, i da je njihova uspesnost zavisna iskljucivo od jacine/slabosti lozinke. U stvari rekao si isto sto i ja.

Citat:
jogurt:Sta si ovim hteo da kazes? Da ne vredi da se stitimo? Ko laze? Ne razumem?!

Znas ti dobro sta sam hteo da kazem :) Evo cak i ovaj tvoj predlog (po kojem si se ipak odlucio da koristis SMTP auth ali da to bude preko SSL-a) ima nedostataka. SSL ti omogucava da ostvaris enkriptovanu komunikaciju na nivou klijent/server ali sustinski na nikakav nacin nisi promenio mehanizam provere korisnika, to sto je veza izmedju tebe i klijenta enkriptovana ne mora da znaci da neces biti potencijalna zrtva brute force napada.

Citat:
jogurt:
Za one korisnike sirom Interneta
koji nisu clanovi privatne lokalne mreze ili mog dinamickog opsega (i kojima
je relaying dozvoljen) podigao bih drugi SMTP servis na portu 465 ili 587,
tacnije Secure SMTP
Ali sta recimo ako imas klijente/zaposlene van firme koji treba da pristupaju mailu putem mobilnih uredjaja (koji uglavnom nemaju podrsku za SSL) ?

[Ovu poruku je menjao brainbuger dana 20.11.2007. u 10:22 GMT+1]
 
Odgovor na temu

jogurt
Zoran Milenković
nettverkskonsulent
Norway

Član broj: 13800
Poruke: 472
*.vdial.verat.net.

Jabber: jogurt@elitesecurity.org
ICQ: 309530264


+8 Profil

icon Re: MDaemon Mail Server problem20.11.2007. u 11:24 - pre 199 meseci
Prvo, najmanje sam zeleo da se ovo pretvori u flame, ali tema se polako ali sigurno krece u tom smeru :( Dakle, ne zelim nikog po svaku cenu da ubedim da je moje resenje dobro/bolje i sl. niti na forum dolazim zbog toga.

Tyrel:

Zasto mislis da je jos jedan SMTP servis pregolem dodatni "napor" za masinu? Isti broj korisnika se prakticno deli na dva servisa, tako da load masine ostaje prakticno isti. Da budem iskren o tome nikada nisam preterano vodio racuna jer sa tim nikada nisam imao problema. Moj rezon je da na SMTP-u izbegnem AUTH kako neko ko eventualno slusa komunikaciju ne bi pohvatao validne username-ove. Krajnji cilj SPAMera jesu upravo validne adrese! Ako SMTP AUTH bas mora da se radi, onda neka se radi kroz SSL.

Sto se tice relayinga, sam si rekao da sve zavisi od slucaja do slucaja, tako da sad rasprava o tome sa koliko adresa bi ti ili ja dozvolio relaying je bez cvrste podloge. Takodje, prica o dinamickim adresama je vrlo uopstena. Uvek moze da se napravi procena koliko je bezbedno dozvoliti relaying sa nekih adresa. Ako pogledas sta rade nasi ISP-ovi videces takodje razna resenja. Uglavnom svi oni dozvoljavaju relaying sa gomile svojih dinamickih adresa.

Brainbuger:

Ja ne bih nista vise dodavao ako smatras da sam rekao isto sto i ti. Valjda se slazemo :)

Pozdrav
Zoran
 
Odgovor na temu

misk0
.: Lugano :. _.: CH :.

SuperModerator
Član broj: 634
Poruke: 2824
*.adsl.ticino.com.

ICQ: 46802502


+49 Profil

icon Re: MDaemon Mail Server problem20.11.2007. u 14:16 - pre 199 meseci
Koliko sam ja skontao SMTP auth je autorizacija korisnika koja se koristi za slanje sa adresa koje nisu u whitelisti tj relaying listi?
Svaki sistem se moze bruteforce-ovati ali to ne znaci da je zastita user/pass losha i da treba korisnike ogranicavati vishe od toga. Smatram da i korisnici imaju odredjenu odgovornost do kreiranja svojih sifri i da je najvishe sto se moze uraditi edukacija po tom pitanju.
Ove priche o snifanju vishe gube na znacaju, ako neko to moze i zeli raditi, dovoljno je da snifa sav 25/tcp promet i saznace jako velik broj mail adresa (ako mu je to cilj). Isto tako, pop3 je nekrpitovan tako da i to moze da usnifuje ako zeli. Medjutim htio bih da cujem, koga su snifali u poslednje vrijeme a da nije ... ne znam eBay, neke banke ili slican veliki igrac? Mislim da je ta pricha mozda imala smisla prije 10 godina kad mrezna oprema nije bila tako 'usmjerena', ali danas pristup velikim cvoristima ima ogranicen broj ljudi koji nece sigurno snifati promet kako bi skontao neciji user i pass za mail, ne bi li sutra spamovao :)

Na jednom serveru imam cesto brute-force napade, bash za auth i nikad nisam vidio da je neko proshao. Zasto? Uglavnom pokusavaju na neka genericka imena, admin,info,office.... a takve usere izbjegavam i to je to. Ali i na info recimo nisu uspjeli provaliti. Osim toga, imam flood protekciju nakon 10 pokusaja IP doda na ban listu i sve super sljaka.
:: Nemoj se svadjati sa budalom, ljudi cesto nece primjetiti razliku ::
 
Odgovor na temu

[es] :: Linux/UNIX serveri i servisi :: MDaemon Mail Server problem

[ Pregleda: 3383 | Odgovora: 13 ] > FB > Twit

Postavi temu Odgovori

Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.