Jak proti "open-relays" primym overenim

Jan Redl jan.redl na jet2web.cz
Pondělí Únor 18 12:31:02 CET 2002 

>
> Dovoluji si odhadnout, že by na internetovém MX-serveru mohlo být
> užitečným ověřovat otevřenost SMTP-brány přímo při kontaktu
> SMTP-klientem, a to asi takto:
>
> - zkusit otevřít opačné SMTP-spojení: při neúspěchu pokračovat
>   s výsledkem "klient není open-relay" (samozřejmě lze namítnout,
>   že SMTP-přístup může být omezen a detekce nemusí být přesná);
> - zkusit "helo", "mail from:" a "rcpt to:" s nějakými adresními
>   doménami, které testovaný SMTP-server zaručeně nedoručuje
>   (nejjednodušeji asi použít svou vlastní doménu);
>   při odmítavé odpovědi typu "Relaying denied" SMTP-klienta
>   přijmout, jinak ho považovat za open-relay a odmítnout.
>

Proti nedostupnosti DNS serveru spravce cerne listiny je
mozne se pojistit zprovoznenim vlastniho slave DNS ( nevim jestli to
provozovatele cernych listin povoluji, ale principielne by tomu nic branit
nemelo ), navic si myslim, ze je to stejne jako overovani existence
domeny odesilatele - pokud DNS dotaz nelze zodpovedet, zustane mail
ve fronte s docasnou chybou..

Co se tyce vami navrhovaneho postupu - osobne se mi zda jako principielne
spatny:

a) neumerna zatez serveru (nelze pouzit u hodne zatizenych SMTP serveru)
b) spravne overit otevrenou relay neni mozne
  v ramci kratkeho casu - dokazu si pradstavit, ze protejsi server totez
  uplatni proti me, takze se tim doba overovani muze protahnout tak, ze
  mi mezitim vyprsi timeouty na tom puvodnim spojeni.
c) nektere servery se chovaji tak, ze mail prijmou do fronty
  a az pri jejim pruchodu resi zda "relayovat" ci ne. Takove se pak
  pro vas test jevi jako otevrene, i kdyz nejsou. (i kdyz jich neni
  mnoho)
d) Nektere software pouzivaji "forwardovani portu" ( typicky nejmenovane
  proxy servery pro Win platformu ) vina ovsem neni na strane tvurcu
  tohoto SW, ale na spravci, ktery forward portu nastavi a nezajisti
  jeho zabezpeceni .
  Prakticky se pak stane ze clovek s IP A.B.C.D ma forward na smtp server
  E.F.G.H, ktery je zavreny a i vam se tak bude jevit. Spammer pak klidne
  pouziva otevrenou relay na adrese A.B.C.D, ale vam prichazi dopisy z IP
  E.F.G.H.
e) analogicky jako d) pak funguje "retezeni serveru" pomoci nasteveni
  "smart hosta". V cernych listinach se vetsinou toto resi opravdu tim, ze
   se na listinu zaradi vsechny Smtp servery, pres ktere mail prosel,
   takze vas ochrani i v tomto pripade. ( Mimochodem vetsina pripadu
   by zrejme spadala do teto kategorie - nevim cim to je, ale daleko vice
   spravcu umi nastavit smart host nez zabezpecit mailserver proti
   relayovani.. )

Jediny spravny zpusob jak spravne otestovat otevrenou relay je
poslat pres ni dopis a cekat jestli dojde.

--

Jan Redl

Czech On Line, a. s.
U Nakladoveho nadrazi 8
130 00 Praha 3
Tel.: +420 2 460 00 402
Fax:  +420 2 460 00 118
www.jet2web.cz

Další informace o konferenci Sendmail