At 05:11 PM 3/6/01 +0700, you wrote:
>On Tue, Mar 06, 2001 at 04:30:25PM +0700, Dani Matias wrote:
>> bukan tidak fokus mas. saya ngga pernah bilang kirim file via
>> telnet lha koq anda bilang:
>
>oh .. boy .. anda sendiri lagi cari tahu cara detect telnet client,
>sekarang malah mempersoalkan kirim junk *tidak* pakai telnet client.
>kan sudah saya bilang, orang *bisa* bikin down server orang dengan
>cara apa saja. saya salah lagi kalau bilang anda tidak fokus?
lol...oke nv mind...jadi kayak moebius tape nih :))
>> kepikir bahwa telnet ke mailserver itu cukup berbahaya. got it? :)
>
>saya lebih 'prihatin' dengan bahayanya, tidak dengan telnet
>clientnya, karena itu bisa dilakukan dengan selain telnet client.
yap saya udah ngerti banget. buat anda ngga ada gunanya mengkhawatirkan
telnet ke mailserver, buat saya beda lagi...again, we got different standards.
>> untuk ngobrol dengan smtp server, dan *bang*, anda bisa kirim file
>> MUSIC.DAT dari vcd favorit anda ke mailserver korban...hehehe.
>
>akan kena timeout. koneksi akan di-log. ip anda bisa ditelusuri. nah
>masalahnya, kalau sudah ketahuan mau diapain? itu masalahnya.
>intinya, smtp yang ada sekarang ini *tidak* secure. ini berlaku untuk
>*semua* mta, tidak hanya MDaemon. Jadi, hanya consent ke arah deteksi
>telnet client doang, jelas tidak menyelesaikan masalah.
kalau anda ngerti algoritma yg saya tulis itu, timeout limit ngga ada gunanya.
soal ip? hehe...saya kira hackers yg "bijaksana" pasti akan pake public
komputer :).
>ok lah kalau anda bersikeras ini ada manfaatnya. who cares? itu
>urusan anda sendiri :-) saya toh tidak melarang usaha anda kan? :-)
>
:)
>> 354 Enter mail, end with <CRLF>.<CRLF>
>>
>> /* disini saya mulai mengetik sembarang text sambil terima telpon,sambil
>> baca koran or whatever, pokoknya junk data. proses disini
>> bisa dianalogikan dengan pengiriman file, jadi
>> bukan tidak mungkin kirim file via telnet kan? :)
>
>anda akan kena timeout. masalah file besar, ada message_size_limit.
>saya kurang tahu ada tidak untuk hal ini di MDaemon. btw, saya tidak
>akan berpikiran kirim 10Gigs ke mailserver orang (kalau saya
>cracker), rugi dong bandwidth saya ikutan habis :-)
>Profile don't speculate.
ok, sekarang pengertian "timeout" anda dan saya kayaknya beda deh.
sebaiknya anda coba dulu deh cara2 saya itu di mailserver anda (merk apapun).
*kalau di saya*, timeout itu berfungsi kalau *tidak ada aktifitas* dari
client tsb.
dalam waktu tertentu, misal karena koneksinya lambat, etc. kalau streaming
datanya
lancar mah kagak bole dikena timeout dong, kalo kena timeout malah ngaco
tuh mailserver :).
tapi ngga tau yah *kalau di anda* bagaimana timeout itu berfungsi.
soal message size limit? oke lah, katakanlah limitnya 5MB atau berapapun.
tapi datanya udah kepalang masuk kan? terus terang, saya belum tahu
pasti mekanisme message limit itu, apakah bisa ketauan sebelum client
kirim data (spt pada protokol ftp) atau tidak.
tapi kalau saya coba dengan "simulasi" yg saya perlihatkan itu, mdaemon
(atau mta lain)
tidak akan pernah tau berapa karakter yg akan saya ketikkan. so, mau
deteksi limitnya
darimana?
>> seorang yg baru belajar C language bisa membuat program dengan algoritma
>> sederhana sbb.:
>>
>> repeat
>> ftelnet(victim_machine,send_data_or_file))
>> until how_many_loop_do_u_want
>
>so what? anda tahu sendiri kan ini bisa dilakukan pakai cara apa
>saja. saya sudah berkali-kali bilang, dan anda bersikeras ingin
>mencegah user connect dengan telnet client.
lah yg saya gambarkan itu bukan "cara apa saja". algo itu juga pake telnet
client mas,
cuman telnet nya dimasukin di loop biar begitu terminate langsung jalan lagi.
makanya saya bilang fungsi timeout percuma. begitu timeout, langsung masuk
telnet session
berikutnya.
saya kasih nama ftelnet() itu untuk menggambarkan pemanggilan
fungsi telnet standar yg ditambahi parameter "mesin korban" dan "jenis
data yg dikirim". makanya telnet ini ngga saya anggap enteng.
>> buat saya samasekali tidak useless. kalau memang itu bisa dilakukan, saya
>> bisa buka IP screening mdaemon saya sekarang juga sehingga mdaemon saya
>> bisa dipop dari manapun, dan itu cukup mengurangi sebagian beban kerja saya
>> :).
>
>hmm .. ok, jadi mail untuk domain anda diterima oleh ISP. Jadi
>pingin tahu, untuk apa sih anda ribut soal ini? toh smtp server anda,
>dengan skenario ini otomatis 'secure' :-)
untuk apa? jelas untuk meringankan pekerjaan saya :). walaupun secure, tapi
saya jadi repot karena mdaemon ngga bisa dipop dari luar, padahal banyak
karyawan yg ke luar kota/negri yg masih butuh akses email ke kantor.
>> yah ini yg bikin saya bingung. arvel bilang dia ngga bisa tahu yg
>> masuk itu telnet client atau bukan, padahal dia adalah programmer
>> mdaemon.
>
>salah alamat. jangan nanya ke saya. tanya ke arvel langsung :-)
hehe...saya ngga nanya ke anda koq :).
>anyway, sebenarnya arvel bisa kirim mail ke eric karena dia bikin
>sendmail versi 8.(6/7).x support feature ini. atau tanya ke wietse,
>dia bilang dia bisa bikin ini kalau mau, tapi menurut dia useless.
>paling enak ke comp.mail.sendmail, minimal clauss assman akan kasih
>komentar pasti. kalau tidak dikomentari, berarti orang sudah bosen,
>karena ini sudah jadi 'usang' (sekarang sendmail sudah versi 8.11.3,
>dan feature ini dibuang karena dianggap tidak bermanfaat).
ibarat fungsi seatbelt di mobil, pada saat orang lain minta anda pakai,
anda pasti protes "ngapain pake seatbelt? toh kita bisa ditabrak truk dari
belakang, atau ketimpa pohon beringin dari atas" :)). make
sense...cuman.... :)
kalo saya biarpun cuman jarak dekat selalu pake seabelt.
anyway, sekian kali lagi, standar keamanan tiap org memang berbeda.
>>> anda bilang mta bisa tahu (mungkin teorinya begitu). se "lugu"
>> itukah arvel? hmmm...kalo ya, dia sedang mempertaruhkan
>> reputasinya sebagai ceo alt-n :))).
>
>jangan gitu lah .. nggak baik berpikiran seperti ini. lagian nggak
>ada gunanya kan?
kenapa ngga baik? saya bilang kan "kalau ya.."
memangnya udah ada yg jawab pertanyaan saya itu ya?
(ini bedanya pertanyaan retorik dan pertanyaan murni :)).
>> logika saya adalah, kalau telnet client bisa dideteksi, knapa yg
>> lain tidak?
>
>karena telnet client punya ciri 'khas' yang tidak dimiliki metode
>yang lain.
jadi kalau saya connect ke mailserver pake ftp atau irc client ngga bisa
dibedakan
dengan mail client gitu? hmmm...terus terang aja, technically hal ini
meragukan.
tapi saya ngga mau buru2 ambil kesimpulan, mesti dilihat dulu pake packet
analyzer.
-DM-
--
--MDaemon-L----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Untuk menghubungi moderator/List Owner double click link dibawah ini:
<mailto:[EMAIL PROTECTED]>
Untuk Unsubscribe, double click link dibawah ini langsung kirim
<mailto:[EMAIL PROTECTED]>
Untuk Subscribe, double click link dibawah ini langsung kirim
<mailto:[EMAIL PROTECTED]>
--POWERED BY MDAEMON!------------------------------------------------
Anda terdaftar di List ini dg alamat : [email protected]
