Courier Mail Server Forum Index Courier Mail Server
www.courierms.ru
 
 FAQFAQ   SearchSearch   MemberlistMemberlist   UsergroupsUsergroups   RegisterRegister 
 ProfileProfile   Log in to check your private messagesLog in to check your private messages   Log inLog in 

Пожелание по дальнейшему развитию проверок.
Goto page Previous  1, 2, 3  Next
 
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Courier Mail Server 3.xx
View previous topic :: View next topic  
Author Message
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 02 Oct 2013 15:52 (Wed)    Post subject: Reply with quote

Вот встретил сегодня в логах такое:
Code:
===[CMSLog cut]===============8<----------------------------------------------
>02.10.2013 15:19:26 024I MAIL FROM:<prvs=980df06f4=Zolotukhina.OS@azs.gazprom-neft.ru> SIZE=41304
------------------------------>8===============================[CMSLog cut]===

Как я помню, локальная часть почтового адреса должна начинаться с буквы и может иметь несколько непустых буквенно-цифровых частей, разделенных точками или дефисами. Ни о каких знаках равенства речи не идет. Или здесь какая-то хитрость?

Наверное, все же, есть смысл включения опциональной проверки этой команды на валидность сразу же после принятия конверта.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 02 Oct 2013 16:07 (Wed)    Post subject: Reply with quote

P.S.
Но самый кошмар в том, что это был не спам, а нужный отчет об остатке денежных средств.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 02 Oct 2013 16:18 (Wed)    Post subject: Reply with quote

Согласно RFC 5321 "Simple Mail Transfer Protocol" (со ссылкой на RFC 5322 "Internet Message Format"), локальная часть адреса e-mail в формате Dot-string может содержать следующие символы: буква, цифра, "!", "#", "$", "%", "&", "'", "*", "+", "-", "/", "=", "?", "^", "_", "`", "{", "|", "}", "~".
Так что символ "=" является разрешённым.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 02 Oct 2013 16:29 (Wed)    Post subject: Reply with quote

NAMOR wrote:
Согласно RFC 5321 "Simple Mail Transfer Protocol" (со ссылкой на RFC 5322 "Internet Message Format"), локальная часть адреса e-mail в формате Dot-string может содержать следующие символы: буква, цифра, "!", "#", "$", "%", "&", "'", "*", "+", "-", "/", "=", "?", "^", "_", "`", "{", "|", "}", "~".
Так что символ "=" является разрешённым.

Да? А попробуйте на Яндексе, например, завести аккаунт с такими символами в именах Very Happy

Вот памятка с Яндекса:

Code:
Логин должен состоять из латинских символов, цифр, одинарного дефиса или точки, начинаться с буквы и заканчиваться буквой или цифрой и содержать не более 30 символов.


На других сервисах примерно так же.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 08 Nov 2013 12:18 (Fri)    Post subject: Reply with quote

Вот еще существенное пожелание:

Все проверки PTR и HELO/EHLO (когда будет сделано) выполнять после полного приема конверта. Чтобы было видно команды "RCPT TO:" и "MAIL FROM:". Это позволит более качественно контролировать, какие подключения были отвергнуты, и не было ли среди них ложных отсечек.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 08 Nov 2013 13:42 (Fri)    Post subject: Reply with quote

Смысл проверки PTR в том, чтобы не принимать почту от клиентов, некорректно прописанных в DNS.
Если подключившийся клиент прописан корректно — принимаем, нет — отвергаем. Какие тут могут быть ложные отсечки?
Back to top
View user's profile Send private message Send e-mail Visit poster's website
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 08 Nov 2013 13:58 (Fri)    Post subject: Reply with quote

NAMOR wrote:
Смысл проверки PTR в том, чтобы не принимать почту от клиентов, некорректно прописанных в DNS.
Если подключившийся клиент прописан корректно — принимаем, нет — отвергаем. Какие тут могут быть ложные отсечки?

А принимать само письмо и не надо. Просто проверку PTR проводить чуть позже после приема команды "RCPT TO:"

Quote:
Кроме того, современные версии Postfix по умолчанию отклоняют письмо не раньше RCPT TO команды. Это сделано для того, что бы в логах всегда можно было посмотреть полную информацию о письме - от кого и кому оно должно было придти. Не стоит менять такое поведение Postfix.

Отсюда: http://help.ubuntu.ru/wiki/%D1%84%D0%B8%D0%BB%D1%8C%D1%82%D1%80%D0%B0%D1%86%D0%B8%D1%8F_%D1%81%D0%BF%D0%B0%D0%BC%D0%B0_%D0%BD%D0%B0_%D1%83%D1%80%D0%BE%D0%B2%D0%BD%D0%B5_smtp_%D0%BF%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB%D0%B0

Просто могут быть редкие случаи, когда PTR-запись у "правильного" отправителя бывает настроена неправильно. Например, у нас был случай, когда мы потеряли доменное имя третьего уровня (провайдер продал свой домен и расторгнул договоры на поддержку поддоменов). При этом провайдер зарегистрировал нам сходное доменное имя второго уровня ... только вот PTR-запись не поменял. Не сразу поняли в чем причина.
Вот и сейчас, иногда пропадают письма. Не доходят. Вот и хочется проверить, не отсекаются ли они по PTR, но это сейчас по логам не вычислишь, т.к. отправителя точно не знаешь, тем более, его IP. Хотелось бы ориентироваться сначала на команду "RCPT TO:", по ней отобрать всех отправителей и найти нужного.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!


Last edited by GrAnd on 24 Dec 2013 20:11 (Tue); edited 1 time in total
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 08 Nov 2013 14:24 (Fri)    Post subject: Reply with quote

GrAnd wrote:
Quote:
Кроме того, современные версии Postfix по умолчанию отклоняют письмо не раньше RCPT TO команды. Это сделано для того, что бы в логах всегда можно было посмотреть полную информацию о письме - от кого и кому оно должно было придти. Не стоит менять такое поведение Postfix.

То есть вы хотите, чтобы CMS действовал так же: отклонял письмо, но не отключал клиента (как сейчас)?

GrAnd wrote:
Просто могут быть редкие случаи, когда PTR-запись у "правильного" отправителя бывает настроена неправильно.

Отправитель об этом сразу же узнает, поскольку CMS отвергнет его подключение с сообщением о несоответствии PTR- и A-записей.

GrAnd wrote:
Вот и сейчас, иногда попадают письма. Не доходят. Вот и хочется проверить, не отсекаются ли они по PTR, но это сейчас по логам не вычислишь, т.к. отправителя точно не знаешь, тем более, его IP. Хотелось бы ориентироваться сначала на команду "RCPT TO:", по ней отобрать всех отравителей и найти нужного.

Иными словами, вы хотите помогать отправителям в правильной настройке DNS-записей.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 08 Nov 2013 14:53 (Fri)    Post subject: Reply with quote

NAMOR wrote:
То есть вы хотите, чтобы CMS действовал так же: отклонял письмо, но не отключал клиента (как сейчас)?

Я хочу, чтобы проверка по PTR и HELO/EHLO производилась не сразу после подключения или получения этой команды, а уже после получения команд "MAIL FROM:" "RCPT TO:", т.е. чтобы они были уже залогированы к этому времени. И только после принятия и логирования этих команд принималось решение об блокировании коннекта.
По ссылке на настройки postfix это как раз и сказано.

NAMOR wrote:
Отправитель об этом сразу же узнает, поскольку CMS отвергнет его подключение с сообщением о несоответствии PTR- и A-записей.

Не совсем так. Об этом узнает сервер отправителя, но не сам отправитель, который может к тому времени уйти пить чай или в отпуск. И даже если отправитель узнает об этом, он может не понять, что ему сообщают. А если и поймет, то может не дозвониться до приходящего сисадмина.
Вобщем, время будет идти, а проблема останется. Нужно иметь возможность эффективного поиска таких отправителей для занесения в белые списки. А то обычно это происходит так:

Секретарша:
- Письма не приходят!
- С какого адреса?
- Я не знаю. То ли элтеком.ру, то ли техноэл.ком ...
- А когда они послали?
- Вчера ... или позавчера вечером ... или сегодня утром.

И как на основе этой инфы искать IP среди сотен и тысяч заблокированных, чтобы внести его в белый список для обхода проверок PTR?
А были бы в логах команды "MAIL FROM:" и "RCPT TO:" - можно было бы это сделать.

NAMOR wrote:
Иными словами, вы хотите помогать отправителям в правильной настройке DNS-записей.


Нет. Я хочу чтобы, пока они не настроят правильно, чтобы важные письма не терялись.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 08 Nov 2013 16:30 (Fri)    Post subject: Reply with quote

GrAnd wrote:
Я хочу, чтобы проверка по PTR и HELO/EHLO производилась не сразу после подключения или получения этой команды, а уже после получения команд "MAIL FROM:" "RCPT TO:", т.е. чтобы они были уже залогированы к этому времени. И только после принятия и логирования этих команд принималось решение об блокировании коннекта.
По ссылке на настройки postfix это как раз и сказано.

Вопрос был не в том, когда проверять (это мне понятно), а в том, что делать, если проверка не пройдена. Ведь по ссылке на postfix сказано буквально "отклоняют письмо", а не "отключают клиента".
В общем, я понял: отключаем клиента.

GrAnd wrote:
Секретарша:
- Письма не приходят!
- С какого адреса?
- Я не знаю. То ли элтеком.ру, то ли техноэл.ком ...
- А когда они послали?
- Вчера ... или позавчера вечером ... или сегодня утром.

И как на основе этой инфы искать IP среди сотен и тысяч заблокированных, чтобы внести его в белый список для обхода проверок PTR?
А были бы в логах команды "MAIL FROM:" и "RCPT TO:" - можно было бы это сделать.

Вот, привели конкретную практическую ситуацию, и мне сразу стало понятно, зачем всё это нужно Smile
Внёс в список пожеланий, сделаем при случае.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
AnD
Newbie
Newbie


Joined: 19 Dec 2013
Posts: 5

PostPosted: 24 Dec 2013 19:15 (Tue)    Post subject: Reply with quote

Наличие ограничителя попыток авторизации было бы совсем не лишним.. Сейчас вот смотрю логи, как какой-то негодяй сидел и пробовал подобрать по словарю комбинацию логин-пароль. Сам по себе такой подбор малоэффективен, т.к. сервер в любом случае отвечает +OK Name accepted, даже если такого пользователя нет, и следом запрашивает пароль. Но, если негодяй будет знать конкретное имя пользователя и уже к нему будет выдалбливать пароль, то рано или поздно он его может подобрать...
Я пока на всякий случай настроил ограничение по количеству подключений с одного IP, что по идее сильно нагадит брутфорсу, но в будущем очень хочется иметь возможность настроить количество попыток авторизоваться на сервере.
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 24 Dec 2013 22:35 (Tue)    Post subject: Reply with quote

В планах есть. Сделаем по возможности.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 12 Mar 2014 10:29 (Wed)    Post subject: Reply with quote

NAMOR wrote:
В планах есть. Сделаем по возможности.

Жду, не дождусь Smile
Регулярно кто-то долбится с завидным постоянством по POP3 и по SMTP с попытками подбора паролей.
По SMTP не так страшно, хоть и неприятно, а вот по POP3 может быть чревато, если какие-то письма будут сняты и пропадут.

Вот и сейчас уже больше часа идет где-то по попытке в секунду.
Причем, долбится с отключением после каждой попытки. Поэтому ограничения по числу подключений с одного IP - не эффективны.

P.S. Через 1ч 15мин пароль одного пользователя был подобран. Хорошо, что это был фиктивный пользователь для отладки. Но все равно его на всякий случай удалил. Хотя, может быть, нужно было бы его оставить, как обманку. Только пароль сменить - пусть заново подбирает Smile

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 30 Apr 2014 1:17 (Wed)    Post subject: Reply with quote

AnD wrote:
очень хочется иметь возможность настроить количество попыток авторизоваться на сервере.

Добавили в CMS 3.03 beta 1:
Code:
[!] Реализована система фиксации нарушений клиентов. При достижении
    заданного числа нарушений клиенту запрещается доступ к сервису
    на определённое время. Нарушения: сбой аутентификации, подача
    нераспознанной команды.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 11 Aug 2016 12:28 (Thu)    Post subject: Reply with quote

GrAnd wrote:
Я хочу, чтобы проверка по PTR и HELO/EHLO производилась не сразу после подключения или получения этой команды, а уже после получения команд "MAIL FROM:" "RCPT TO:", т.е. чтобы они были уже залогированы к этому времени.

GrAnd wrote:
Все проверки PTR и HELO/EHLO (когда будет сделано) выполнять после полного приема конверта. Чтобы было видно команды "RCPT TO:" и "MAIL FROM:". Это позволит более качественно контролировать, какие подключения были отвергнуты, и не было ли среди них ложных отсечек.

Добавили в CMS 3.07 beta 1:
Code:
[+] В SMTP-сервис добавлена возможность отклонять письма клиентов,
    не прошедших проверку имени хоста (PTR-записи), что позволяет
    фиксировать в журнале адреса отправителей и получателей этих писем.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Display posts from previous:   
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Courier Mail Server 3.xx All times are GMT + 4 Hours
Goto page Previous  1, 2, 3  Next
Page 2 of 3

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum


Powered by phpBB © 2001, 2005 phpBB Group