Qmail pasta servera caurumi

ievz informēja par ļoti bīstamiem pie tam veciem (!) caurumiem Qmail pasta serverī. Tas ir tas pats pasta serveris kuram tika uzrakstīta rokasgrāmata latviešu valodā.

Qmail pasta serverus var viegli noflūdot un nospamot, kas patiesībā arī tika darīts visu šo dienu. Tā kā daudzi jau ir paspējuši nokļūt melnajos sarakstos par *it kā* open relay.

Pats ļaunākais ir tas, ka pagaidām šiem bīstamiem caurumiem it kā vēl nav ielāpu, bet šo programmatūru līdz šim uzskatīja par diezgan drošu un tāpēc to izmanto ļoti daudzi Latvijas IPS. Tas nozīmē, ka viņiem kā arī viņu klientiem būs ļoti karsti vai arī jau ir karsti…

Šitais joks strādā uz testētiem Latvijas e-pasta serveriem. 🙁

4.5. Delayed bounces (also waste of bandwidth and spam-friendly)

Qmail generally accepts all mail except relay attempts (provided /var/qmail/control/rcpthosts exists) and mail from blacklisted senders (/var/qmail/control/badmailfrom). That means: if someone sends a mail to you for a non-existent user (some spammers are notorious for grabbing Message-IDs and considering them as e-mail addresses) at your site, qmail will happily take the mail in, say “250 Ok” to the sender, then figure it has no user to deliver to, generate a bounce and send it back. Now assume someone sends a 5 MB mail: qmail accepts 5 MB in, and tries to send a 5 MB bounce out: 10 MB wasted.

Even worse, if the sender address is forged, qmail may annoy the wrong site with the 5 MB bounce, or it may not be able to deliver the bounce at all, and it may happen that the bounce sticks in your queue until its lifetime is expired. qmail does log the sender’s IP, but that usually does not help much, particularly not if the bounce has been sent to an innocent.

Fix/Workaround: none known yet. Paul Jarc suggests wrapping qmail-queue, which then requires modifications to parts that use qmail_close() will have to be patched to treat new exit codes.

35 komentāri par “Qmail pasta servera caurumi

  1. ievz

    japz. ja u kaads atrod patch jeb kauko zin ..:)) post it. visu dienu pa google aardiijos neko neatradu. teoreetiski pachi ir. bet neviens nezin vaj vinji stradaa.. takaa LETINJU ” ceee ” koderi .. pacho davaj. !!!!

    Atbildēt
  2. rem

    Lielākā daļa ir sviests, tomēr zināms punkts tur ir. Nekas nav perfekts un šādus tekstus var saģenerēt var par jebko, tādēļ saukt kaut ko šādu par ‘ļoti bīstamiem’ ir nedaudz pārsteidzīgi.
    No-DoS-ot var jebkuru softu, jebkuru maileri, pie tam vairākos veidos. Šis, protams, nav patīkami, taču nevajag pārspīlēt.
    Vēl stulbāk, protams, ir tagad skriet kaut ko un patčot pašam īsti nesaprotot ko un kāpēc..

    Atbildēt
  3. e-remit

    iekrita visi, kuri nesen muka no sendmail caurumiem 😉 bet vispaar jau vareeja gaidiit – tikko qmail paliks populaars, arii tajaa vaboles atradiis…

    Atbildēt
  4. Djuke

    dadzis: taa opoziicija vienkaarshi nav tik karstasiniiga (iznj atseviskus indiviidus). ljoti iespeejams tas taapeec, ka vinjiem nekas nav jaapieraada, nav visu laiku misijas apzinja paarliecinaat kaadu ka vot kautkas rulez, a vot tas ko tu lietu sucks – just doing my job.

    Atbildēt
  5. Kuuminsh

    Mde… laikam jau tapec man Daemons breeca ka ir savieshushies nejeegaa daudz spameri.. Prakstiski VISI esot spameri 🙂
    Pienaacaas pat atrubiit spamfiltru :/

    Atbildēt
  6. flipo

    1) apollo jau nu nav mailservera paraugs
    2) patch diezvai oficiaals buus, vieniigais ja kaads no lv userim. Piemeeram tas pats Romaanish, kas ir qmail fans varbuut ka jau ir izdomaajis ka shoi situaaciju atrisinaat.
    3) latnet piemeeram lieto qmail 🙂

    Atbildēt
  7. endrju

    Bullshits!
    Vajag mācēt pareizi nokonfigurēt. Qmail pats par sevi = engine mail serverim. Bet kāpēc būtu jāizmanto defaultie settingi, kaut vai “qmail-queue” ? Vēl šodien attīstās qmail-queue aizstājēji un citas lietas, tā kā šie bugi = bullshits!
    Atkal viss ir atkarīgs no tā vai cilvēkam ir “līkas rokas” vai nav.

    Atbildēt
  8. e-remit

    Ravage: apskaties tajā rakstā exploitējamās versijas, un tad uz sendmail.org aizej apskatīties, kāda versija ir pēdējā jau dažus mēnešus. Tas gan bija bugs, kura dēļ daudzi no sendmail pārmetās uz qmail, bet nu tomēr… Varbūt vēl kādu bugu pameklēsi windows 1.0 versijā?

    Atbildēt
  9. flipo

    Nu endrju, qmail scanner queue ir izlabots shis stafs un vai AVP queue arii ir izlabots ? Varbuut vinjiem nav taadu probleemu?

    Atbildēt
  10. flipo

    Vobshem ieksh /var/qmail/control/ ir jaauztaisa fails doublebounce kuraa jaanoraada lietotaajs kaads un tad tam lietotaajaam jaaieliek /dev/null. Itkaa shis paliidz.

    Atbildēt
  11. log

    Ko var iespringt ! Shie bugi jau sen qmail listee bija ! Ja configs ir pareizs un kaste reaala tad vis tas ir prieksh kakiem! roote arri chaur shiem bugiem uz 4 level. No Realistico :). Fufelis!

    Atbildēt
  12. AG

    Qmailam nav nevainas.Nezinu nevienu kas to liktu ar defaultajiem settingiem un bez patchiem.Perfomances un stabilitates zinjaa ieliek visiem postifxiem sendmailiem etc … Ja rokas likas un no d… aug nekas nepaliidzees. Turklat pashu mailserveri var aizlikt aiz FW un nosargaat visos piecos veidos, ko ari jedzigi teeli dara…

    Atbildēt
  13. AG

    A vot njem un aizliek ! Visi serveri jaliek ir jaaizsargā. Turklat ir dažādi FW pieejami, tādi kas pat SMTP servisu njem uz sevi vispirms un īstais serveris nemaz nespīdinās izņemot POPu. Kā arī ir iespēja priekšā īstajam serverim pielikt citus serverus kas nodarbojas tikaia r relejošanu un tt un tt. Iespējas ir. Vajag tikai pelēko vielu darbināt !

    Atbildēt
  14. kaspars

    Kaadas muljkjiibas, jebkursh normaals admins, kas ir licis qmailu un kaut reizi (!!!) izlasiijis arii howto & manuaali, zinaas, ka tiek lietots speciaals relay aizliegums.
    Parasti gan normaalaas organizaacijaas tiek atljauts tikai local nets, bet ISP relayot atljauj visiem saviem tiikliem. BTW, qmails ir vislabaakais maileris.
    P.S. Tas nav caurums bet gan fiicha!

    Atbildēt
  15. broadcast255

    AG taisniiba, tieshaam civilizeetos tiiklos izmanto bait-n-switch tehniku, kad firewalls kontrolee stafu un forwardee attieciigi vai uz feikoto kasti vai uz iisto

    Atbildēt
  16. broadcast255

    kas attiecas uz itkaa caurumu – tas viss ir sapuusc pa lielai daljai, ja cilveeks nau pilniigs lauznis un palasa arii kaadu manuaali – nekaadu probleemu.

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta.