Re: Sendmail vulnerability? my mistake?
On Mon, 10 Feb 2003 09:22:23 +0200 AS == Andrei Sosnin [EMAIL PROTECTED] wrote: AS AS Если бы оно пришло мне на обычный почтовый ящик - я бы просто его AS удалил, но ведь его пропустил Sendmail, на который я как раз AS полагался... В меня закралось подозрение, что у меня в Сендмейле дырка Прямо скажу, полностью мне Ваша мысль не ясна, но по поводу одной ее части я, пожалуй, процитирую слова Eric'а Allman'а из предисловия к уже упоминавшейся в параллельном thread'е книжки про этот самый sendmail. Eric, знаете ли, считает, что популярность sendmail зиждется, в частности, на том, что доставляет почту, даже если она кривая, ибо MTA нужен to communicate, not to be pedantic.. Have fun, -- Alexander Kotelnikov Saint-Petersburg, Russia
Sendmail vulnerability? my mistake?
Здравствуйте! У меня на сервере стоит Sendmail. Настроен он мной практически по минимуму - только принимать почту извне и пересылать внутрисетевую почту - все. Недавно ко мне на этот сервер пришло письмо с таким вот заголовком: From - Mon Feb 10 08:39:37 2003 X-UIDL: N%!!c(d!!;:E!__D! X-Mozilla-Status: 0001 X-Mozilla-Status2: 1000 Return-Path: MAILER-DAEMON Received: from SNAKE (dhcp-19-65.cable.infonet.ee [212.7.19.65]) by alpha.zzx.dyn.ee (8.12.6/8.12.6) with SMTP id h19JeCEB012402 for [EMAIL PROTECTED]; Sun, 9 Feb 2003 21:40:17 +0200 Date: Sun, 9 Feb 2003 21:40:12 +0200 Message-Id: [EMAIL PROTECTED] Subject: FW: falco kodikas MIME-Version: 1.0 Content-Type: multipart/related; type=multipart/alternative; boundary=_ABC123456j7890DEF_ X-Priority: 3 X-MSMail-Priority: Normal X-Unsent: 1 X-UIDL: N%!!c(d!!;:E!__D! Внутрь письма была вложена программа - по всей видимости - виндосовский вирус... (внутри двоичного кода я заметил фрагменты самого письма, слов протокола SMTP и прочую дребедень, ну и слова This program cannot be run under DOS-mode)... Само письмо состоит из ничего не значащего кода HTML... Если бы оно пришло мне на обычный почтовый ящик - я бы просто его удалил, но ведь его пропустил Sendmail, на который я как раз полагался... В меня закралось подозрение, что у меня в Сендмейле дырка - либо в настройках, либо в самом МТА. Нехорошо... Уточню: в заголовке почему-то отсутствует обязательный (кажется) эелемент From:. То есть он есть (первая строка), но он какой-то неправильный... :( Конечно, хорошо, что оригинальный IP злоумышленника остался (ему я еще задам жару! :)), но мне бы не хотелось, чтобы я и все пользователи этого сервера страдали от такой штуки. По крайней мере потому, что это откровенный спам... Я, кстати, попробовал и сам что-то подобное провернуть, но не удалось - у меня сендмейл требует обязательного реального имени хоста, но разрешает имена вроде: [EMAIL PROTECTED] :-( Между тем, задать имя хоста в виде - мне не удалось... Есть ли у уважаемых гуру какие-нибудь предположения по причинам казуса и предложения по его изничтожению? :-) С наилучшими поеланиями, -- Andrei Sosnin http://zzx.dyn.ee !-- : it all depends on your vision : --
Re: Sendmail vulnerability? my mistake?
On Mon, Feb 10, 2003 at 09:22:23AM +0200, Andrei Sosnin wrote: Если бы оно пришло мне на обычный почтовый ящик - я бы просто его удалил, но ведь его пропустил Sendmail, на который я как раз полагался... В меня закралось подозрение, что у меня в Сендмейле дырка - либо в настройках, либо в самом МТА. Нехорошо... Уточню: в заголовке почему-то отсутствует обязательный (кажется) эелемент From:. То есть он есть (первая строка), но он какой-то неправильный... :( sendmail принимая почту по smtp не смотрит на заголовки письма, а смотрит на то, что ему сказали во время сессии. -- A: No Q: Should I quote below my post? Good luck! /AKA Druid
Re: Sendmail vulnerability? my mistake?
Vasiliy 'Druid' Misharev wrote: sendmail принимая почту по smtp не смотрит на заголовки письма, а смотрит на то, что ему сказали во время сессии. Это я понимаю. Но что могли сказать Сендмайлу, для того, чтобы он пропустил такое письмо? Вот что меня интересовало. Теперь, правда, я знаю: MAIL FROM: :( В общем, мне уже объяснили причину, она в самом протоколе SMTP, насколько понимаю... Ограничивать такое поведение, оказывается нельзя... Один вопрос всем: кому шлются такие письма? root, postmaster или именно тому, кому они предназначаются (в моем случае это был [EMAIL PROTECTED]). -- Andrei Sosnin http://zzx.dyn.ee !-- : it all depends on your vision : --
Re: Sendmail vulnerability? my mistake?
Andrei Sosnin wrote: Один вопрос всем: кому шлются такие письма? root, postmaster или именно тому, кому они предназначаются (в моем случае это был [EMAIL PROTECTED]). Вопрос снимается. Уже все ясно. -- Andrei Sosnin http://zzx.dyn.ee !-- : it all depends on your vision : --