View previous topic :: View next topic |
Author |
Message |
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 02 Oct 2013 15:52 (Wed) Post subject: |
|
|
Вот встретил сегодня в логах такое:
Code: | ===[CMSLog cut]===============8<----------------------------------------------
>02.10.2013 15:19:26 024I MAIL FROM:<prvs=980df06f4=Zolotukhina.OS@azs.gazprom-neft.ru> SIZE=41304
------------------------------>8===============================[CMSLog cut]===
|
Как я помню, локальная часть почтового адреса должна начинаться с буквы и может иметь несколько непустых буквенно-цифровых частей, разделенных точками или дефисами. Ни о каких знаках равенства речи не идет. Или здесь какая-то хитрость?
Наверное, все же, есть смысл включения опциональной проверки этой команды на валидность сразу же после принятия конверта. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 02 Oct 2013 16:07 (Wed) Post subject: |
|
|
P.S.
Но самый кошмар в том, что это был не спам, а нужный отчет об остатке денежных средств. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 02 Oct 2013 16:18 (Wed) Post subject: |
|
|
Согласно RFC 5321 "Simple Mail Transfer Protocol" (со ссылкой на RFC 5322 "Internet Message Format"), локальная часть адреса e-mail в формате Dot-string может содержать следующие символы: буква, цифра, "!", "#", "$", "%", "&", "'", "*", "+", "-", "/", "=", "?", "^", "_", "`", "{", "|", "}", "~".
Так что символ "=" является разрешённым. |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 02 Oct 2013 16:29 (Wed) Post subject: |
|
|
NAMOR wrote: | Согласно RFC 5321 "Simple Mail Transfer Protocol" (со ссылкой на RFC 5322 "Internet Message Format"), локальная часть адреса e-mail в формате Dot-string может содержать следующие символы: буква, цифра, "!", "#", "$", "%", "&", "'", "*", "+", "-", "/", "=", "?", "^", "_", "`", "{", "|", "}", "~".
Так что символ "=" является разрешённым. |
Да? А попробуйте на Яндексе, например, завести аккаунт с такими символами в именах
Вот памятка с Яндекса:
Code: | Логин должен состоять из латинских символов, цифр, одинарного дефиса или точки, начинаться с буквы и заканчиваться буквой или цифрой и содержать не более 30 символов. |
На других сервисах примерно так же. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 08 Nov 2013 12:18 (Fri) Post subject: |
|
|
Вот еще существенное пожелание:
Все проверки PTR и HELO/EHLO (когда будет сделано) выполнять после полного приема конверта. Чтобы было видно команды "RCPT TO:" и "MAIL FROM:". Это позволит более качественно контролировать, какие подключения были отвергнуты, и не было ли среди них ложных отсечек. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 08 Nov 2013 13:42 (Fri) Post subject: |
|
|
Смысл проверки PTR в том, чтобы не принимать почту от клиентов, некорректно прописанных в DNS.
Если подключившийся клиент прописан корректно — принимаем, нет — отвергаем. Какие тут могут быть ложные отсечки? |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 08 Nov 2013 13:58 (Fri) Post subject: |
|
|
NAMOR wrote: | Смысл проверки PTR в том, чтобы не принимать почту от клиентов, некорректно прописанных в DNS.
Если подключившийся клиент прописан корректно — принимаем, нет — отвергаем. Какие тут могут быть ложные отсечки? |
А принимать само письмо и не надо. Просто проверку PTR проводить чуть позже после приема команды "RCPT TO:"
Quote: | Кроме того, современные версии Postfix по умолчанию отклоняют письмо не раньше RCPT TO команды. Это сделано для того, что бы в логах всегда можно было посмотреть полную информацию о письме - от кого и кому оно должно было придти. Не стоит менять такое поведение Postfix. |
Отсюда: http://help.ubuntu.ru/wiki/%D1%84%D0%B8%D0%BB%D1%8C%D1%82%D1%80%D0%B0%D1%86%D0%B8%D1%8F_%D1%81%D0%BF%D0%B0%D0%BC%D0%B0_%D0%BD%D0%B0_%D1%83%D1%80%D0%BE%D0%B2%D0%BD%D0%B5_smtp_%D0%BF%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB%D0%B0
Просто могут быть редкие случаи, когда PTR-запись у "правильного" отправителя бывает настроена неправильно. Например, у нас был случай, когда мы потеряли доменное имя третьего уровня (провайдер продал свой домен и расторгнул договоры на поддержку поддоменов). При этом провайдер зарегистрировал нам сходное доменное имя второго уровня ... только вот PTR-запись не поменял. Не сразу поняли в чем причина.
Вот и сейчас, иногда пропадают письма. Не доходят. Вот и хочется проверить, не отсекаются ли они по PTR, но это сейчас по логам не вычислишь, т.к. отправителя точно не знаешь, тем более, его IP. Хотелось бы ориентироваться сначала на команду "RCPT TO:", по ней отобрать всех отправителей и найти нужного. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Last edited by GrAnd on 24 Dec 2013 20:11 (Tue); edited 1 time in total |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 08 Nov 2013 14:24 (Fri) Post subject: |
|
|
GrAnd wrote: | Quote: | Кроме того, современные версии Postfix по умолчанию отклоняют письмо не раньше RCPT TO команды. Это сделано для того, что бы в логах всегда можно было посмотреть полную информацию о письме - от кого и кому оно должно было придти. Не стоит менять такое поведение Postfix. |
|
То есть вы хотите, чтобы CMS действовал так же: отклонял письмо, но не отключал клиента (как сейчас)?
GrAnd wrote: | Просто могут быть редкие случаи, когда PTR-запись у "правильного" отправителя бывает настроена неправильно. |
Отправитель об этом сразу же узнает, поскольку CMS отвергнет его подключение с сообщением о несоответствии PTR- и A-записей.
GrAnd wrote: | Вот и сейчас, иногда попадают письма. Не доходят. Вот и хочется проверить, не отсекаются ли они по PTR, но это сейчас по логам не вычислишь, т.к. отправителя точно не знаешь, тем более, его IP. Хотелось бы ориентироваться сначала на команду "RCPT TO:", по ней отобрать всех отравителей и найти нужного. |
Иными словами, вы хотите помогать отправителям в правильной настройке DNS-записей. |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 08 Nov 2013 14:53 (Fri) Post subject: |
|
|
NAMOR wrote: | То есть вы хотите, чтобы CMS действовал так же: отклонял письмо, но не отключал клиента (как сейчас)? |
Я хочу, чтобы проверка по PTR и HELO/EHLO производилась не сразу после подключения или получения этой команды, а уже после получения команд "MAIL FROM:" "RCPT TO:", т.е. чтобы они были уже залогированы к этому времени. И только после принятия и логирования этих команд принималось решение об блокировании коннекта.
По ссылке на настройки postfix это как раз и сказано.
NAMOR wrote: | Отправитель об этом сразу же узнает, поскольку CMS отвергнет его подключение с сообщением о несоответствии PTR- и A-записей. |
Не совсем так. Об этом узнает сервер отправителя, но не сам отправитель, который может к тому времени уйти пить чай или в отпуск. И даже если отправитель узнает об этом, он может не понять, что ему сообщают. А если и поймет, то может не дозвониться до приходящего сисадмина.
Вобщем, время будет идти, а проблема останется. Нужно иметь возможность эффективного поиска таких отправителей для занесения в белые списки. А то обычно это происходит так:
Секретарша:
- Письма не приходят!
- С какого адреса?
- Я не знаю. То ли элтеком.ру, то ли техноэл.ком ...
- А когда они послали?
- Вчера ... или позавчера вечером ... или сегодня утром.
И как на основе этой инфы искать IP среди сотен и тысяч заблокированных, чтобы внести его в белый список для обхода проверок PTR?
А были бы в логах команды "MAIL FROM:" и "RCPT TO:" - можно было бы это сделать.
NAMOR wrote: | Иными словами, вы хотите помогать отправителям в правильной настройке DNS-записей. |
Нет. Я хочу чтобы, пока они не настроят правильно, чтобы важные письма не терялись. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 08 Nov 2013 16:30 (Fri) Post subject: |
|
|
GrAnd wrote: | Я хочу, чтобы проверка по PTR и HELO/EHLO производилась не сразу после подключения или получения этой команды, а уже после получения команд "MAIL FROM:" "RCPT TO:", т.е. чтобы они были уже залогированы к этому времени. И только после принятия и логирования этих команд принималось решение об блокировании коннекта.
По ссылке на настройки postfix это как раз и сказано. |
Вопрос был не в том, когда проверять (это мне понятно), а в том, что делать, если проверка не пройдена. Ведь по ссылке на postfix сказано буквально "отклоняют письмо", а не "отключают клиента".
В общем, я понял: отключаем клиента.
GrAnd wrote: | Секретарша:
- Письма не приходят!
- С какого адреса?
- Я не знаю. То ли элтеком.ру, то ли техноэл.ком ...
- А когда они послали?
- Вчера ... или позавчера вечером ... или сегодня утром.
И как на основе этой инфы искать IP среди сотен и тысяч заблокированных, чтобы внести его в белый список для обхода проверок PTR?
А были бы в логах команды "MAIL FROM:" и "RCPT TO:" - можно было бы это сделать. |
Вот, привели конкретную практическую ситуацию, и мне сразу стало понятно, зачем всё это нужно
Внёс в список пожеланий, сделаем при случае. |
|
Back to top |
|
|
AnD Newbie
Joined: 19 Dec 2013 Posts: 5
|
Posted: 24 Dec 2013 19:15 (Tue) Post subject: |
|
|
Наличие ограничителя попыток авторизации было бы совсем не лишним.. Сейчас вот смотрю логи, как какой-то негодяй сидел и пробовал подобрать по словарю комбинацию логин-пароль. Сам по себе такой подбор малоэффективен, т.к. сервер в любом случае отвечает +OK Name accepted, даже если такого пользователя нет, и следом запрашивает пароль. Но, если негодяй будет знать конкретное имя пользователя и уже к нему будет выдалбливать пароль, то рано или поздно он его может подобрать...
Я пока на всякий случай настроил ограничение по количеству подключений с одного IP, что по идее сильно нагадит брутфорсу, но в будущем очень хочется иметь возможность настроить количество попыток авторизоваться на сервере. |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 24 Dec 2013 22:35 (Tue) Post subject: |
|
|
В планах есть. Сделаем по возможности. |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 12 Mar 2014 10:29 (Wed) Post subject: |
|
|
NAMOR wrote: | В планах есть. Сделаем по возможности. |
Жду, не дождусь
Регулярно кто-то долбится с завидным постоянством по POP3 и по SMTP с попытками подбора паролей.
По SMTP не так страшно, хоть и неприятно, а вот по POP3 может быть чревато, если какие-то письма будут сняты и пропадут.
Вот и сейчас уже больше часа идет где-то по попытке в секунду.
Причем, долбится с отключением после каждой попытки. Поэтому ограничения по числу подключений с одного IP - не эффективны.
P.S. Через 1ч 15мин пароль одного пользователя был подобран. Хорошо, что это был фиктивный пользователь для отладки. Но все равно его на всякий случай удалил. Хотя, может быть, нужно было бы его оставить, как обманку. Только пароль сменить - пусть заново подбирает _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 30 Apr 2014 1:17 (Wed) Post subject: |
|
|
AnD wrote: | очень хочется иметь возможность настроить количество попыток авторизоваться на сервере. |
Добавили в CMS 3.03 beta 1:
Code: | [!] Реализована система фиксации нарушений клиентов. При достижении
заданного числа нарушений клиенту запрещается доступ к сервису
на определённое время. Нарушения: сбой аутентификации, подача
нераспознанной команды. |
|
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 11 Aug 2016 12:28 (Thu) Post subject: |
|
|
GrAnd wrote: | Я хочу, чтобы проверка по PTR и HELO/EHLO производилась не сразу после подключения или получения этой команды, а уже после получения команд "MAIL FROM:" "RCPT TO:", т.е. чтобы они были уже залогированы к этому времени. |
GrAnd wrote: | Все проверки PTR и HELO/EHLO (когда будет сделано) выполнять после полного приема конверта. Чтобы было видно команды "RCPT TO:" и "MAIL FROM:". Это позволит более качественно контролировать, какие подключения были отвергнуты, и не было ли среди них ложных отсечек. |
Добавили в CMS 3.07 beta 1:
Code: | [+] В SMTP-сервис добавлена возможность отклонять письма клиентов,
не прошедших проверку имени хоста (PTR-записи), что позволяет
фиксировать в журнале адреса отправителей и получателей этих писем. |
|
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum You cannot attach files in this forum You can download files in this forum
|
Powered by phpBB © 2001, 2005 phpBB Group
|