ievz informēja par ļoti bīstamiem pie tam veciem (!) caurumiem Qmail pasta serverī. Tas ir tas pats pasta serveris kuram tika uzrakstīta rokasgrāmata latviešu valodā.
Qmail pasta serverus var viegli noflūdot un nospamot, kas patiesībā arī tika darīts visu šo dienu. Tā kā daudzi jau ir paspējuši nokļūt melnajos sarakstos par *it kā* open relay.
Pats ļaunākais ir tas, ka pagaidām šiem bīstamiem caurumiem it kā vēl nav ielāpu, bet šo programmatūru līdz šim uzskatīja par diezgan drošu un tāpēc to izmanto ļoti daudzi Latvijas IPS. Tas nozīmē, ka viņiem kā arī viņu klientiem būs ļoti karsti vai arī jau ir karsti…
Šitais joks strādā uz testētiem Latvijas e-pasta serveriem. 🙁
4.5. Delayed bounces (also waste of bandwidth and spam-friendly)
Qmail generally accepts all mail except relay attempts (provided /var/qmail/control/rcpthosts exists) and mail from blacklisted senders (/var/qmail/control/badmailfrom). That means: if someone sends a mail to you for a non-existent user (some spammers are notorious for grabbing Message-IDs and considering them as e-mail addresses) at your site, qmail will happily take the mail in, say “250 Ok” to the sender, then figure it has no user to deliver to, generate a bounce and send it back. Now assume someone sends a 5 MB mail: qmail accepts 5 MB in, and tries to send a 5 MB bounce out: 10 MB wasted.
Even worse, if the sender address is forged, qmail may annoy the wrong site with the 5 MB bounce, or it may not be able to deliver the bounce at all, and it may happen that the bounce sticks in your queue until its lifetime is expired. qmail does log the sender’s IP, but that usually does not help much, particularly not if the bounce has been sent to an innocent.
Fix/Workaround: none known yet. Paul Jarc suggests wrapping qmail-queue, which then requires modifications to parts that use qmail_close() will have to be patched to treat new exit codes.
japz. ja u kaads atrod patch jeb kauko zin ..:)) post it. visu dienu pa google aardiijos neko neatradu. teoreetiski pachi ir. bet neviens nezin vaj vinji stradaa.. takaa LETINJU ” ceee ” koderi .. pacho davaj. !!!!
Vispaar jau ISP, nevis IPS. O4epjatka 🙂
ievz atkal grib, lai visu melno darbu vinja vietaa izdara.. ? 😛
what do you mean ?
Lielākā daļa ir sviests, tomēr zināms punkts tur ir. Nekas nav perfekts un šādus tekstus var saģenerēt var par jebko, tādēļ saukt kaut ko šādu par ‘ļoti bīstamiem’ ir nedaudz pārsteidzīgi.
No-DoS-ot var jebkuru softu, jebkuru maileri, pie tam vairākos veidos. Šis, protams, nav patīkami, taču nevajag pārspīlēt.
Vēl stulbāk, protams, ir tagad skriet kaut ko un patčot pašam īsti nesaprotot ko un kāpēc..
nu ja tu peekshnji ierautu 50K+ mailus postmasterii nu nav funs…
mjaa kam negadaas pa kaadam caurumam 🙂
Pink: ISP = internet service provider = interneta pakalpojumu sniedzējs = IPS
Doo 😉
Vispaar jau sho url atrada me, bet nu tas poh 🙂 galvenais ir dabuut patchu
iekrita visi, kuri nesen muka no sendmail caurumiem 😉 bet vispaar jau vareeja gaidiit – tikko qmail paliks populaars, arii tajaa vaboles atradiis…
nu kur ir palikusi opoziicija tiem kas parasti saka M$ sucks utt.? tagad ir iespeeja atriebties! :o)
Runaajot par tiem citaatiem. Nesaprotu kaads briinums ir jaaizdara lai civilizeeti aizietu uz to lapu no kuras tas citeets.
dadzis: taa opoziicija vienkaarshi nav tik karstasiniiga (iznj atseviskus indiviidus). ljoti iespeejams tas taapeec, ka vinjiem nekas nav jaapieraada, nav visu laiku misijas apzinja paarliecinaat kaadu ka vot kautkas rulez, a vot tas ko tu lietu sucks – just doing my job.
2 e-remit : gaidu, kad paliks populaaraaks postfix 🙂
Mde… laikam jau tapec man Daemons breeca ka ir savieshushies nejeegaa daudz spameri.. Prakstiski VISI esot spameri 🙂
Pienaacaas pat atrubiit spamfiltru :/
there IS workaround 🙂
Labi ka vakar nepalaidu savu qmail servaku. Pagaidiishu liidz pacham 🙂
Kuuminsh tu laikam lietoji Osirusoft DNSBL, tas peec DoS aizveerts.
Iznjem no saraksta un lieto citus … Lai spams mirst.
to ZBH a kaapeec gaidi varbuut uzjautaa Apollo, kas vinjiem ar mailserveri tur tak 100% PostFix griezjas 🙂
1) apollo jau nu nav mailservera paraugs
2) patch diezvai oficiaals buus, vieniigais ja kaads no lv userim. Piemeeram tas pats Romaanish, kas ir qmail fans varbuut ka jau ir izdomaajis ka shoi situaaciju atrisinaat.
3) latnet piemeeram lieto qmail 🙂
Bullshits!
Vajag mācēt pareizi nokonfigurēt. Qmail pats par sevi = engine mail serverim. Bet kāpēc būtu jāizmanto defaultie settingi, kaut vai “qmail-queue” ? Vēl šodien attīstās qmail-queue aizstājēji un citas lietas, tā kā šie bugi = bullshits!
Atkal viss ir atkarīgs no tā vai cilvēkam ir “līkas rokas” vai nav.
Vot tev ij sendmails… http://www.bape3.org/modules.php?name=News&file=article&sid=923
Ravage: apskaties tajā rakstā exploitējamās versijas, un tad uz sendmail.org aizej apskatīties, kāda versija ir pēdējā jau dažus mēnešus. Tas gan bija bugs, kura dēļ daudzi no sendmail pārmetās uz qmail, bet nu tomēr… Varbūt vēl kādu bugu pameklēsi windows 1.0 versijā?
Nu endrju, qmail scanner queue ir izlabots shis stafs un vai AVP queue arii ir izlabots ? Varbuut vinjiem nav taadu probleemu?
Vobshem ieksh /var/qmail/control/ ir jaauztaisa fails doublebounce kuraa jaanoraada lietotaajs kaads un tad tam lietotaajaam jaaieliek /dev/null. Itkaa shis paliidz.
Prtoams tas namaina faktu ka var bliezt caur to smtp spamu 🙂
2 Platais : apalais noliecaas ne jau izza postfix potenciaalaa tarakaanism
Ko var iespringt ! Shie bugi jau sen qmail listee bija ! Ja configs ir pareizs un kaste reaala tad vis tas ir prieksh kakiem! roote arri chaur shiem bugiem uz 4 level. No Realistico :). Fufelis!
Qmailam nav nevainas.Nezinu nevienu kas to liktu ar defaultajiem settingiem un bez patchiem.Perfomances un stabilitates zinjaa ieliek visiem postifxiem sendmailiem etc … Ja rokas likas un no d… aug nekas nepaliidzees. Turklat pashu mailserveri var aizlikt aiz FW un nosargaat visos piecos veidos, ko ari jedzigi teeli dara…
AG: tu vienmēr publiskos serverus aiz firewalla liec?
AG: Tu man pasaki kaa var smtp aizlikt aiz fw ? Kas tev straadaas ?
A vot njem un aizliek ! Visi serveri jaliek ir jaaizsargā. Turklat ir dažādi FW pieejami, tādi kas pat SMTP servisu njem uz sevi vispirms un īstais serveris nemaz nespīdinās izņemot POPu. Kā arī ir iespēja priekšā īstajam serverim pielikt citus serverus kas nodarbojas tikaia r relejošanu un tt un tt. Iespējas ir. Vajag tikai pelēko vielu darbināt !
Kaadas muljkjiibas, jebkursh normaals admins, kas ir licis qmailu un kaut reizi (!!!) izlasiijis arii howto & manuaali, zinaas, ka tiek lietots speciaals relay aizliegums.
Parasti gan normaalaas organizaacijaas tiek atljauts tikai local nets, bet ISP relayot atljauj visiem saviem tiikliem. BTW, qmails ir vislabaakais maileris.
P.S. Tas nav caurums bet gan fiicha!
AG taisniiba, tieshaam civilizeetos tiiklos izmanto bait-n-switch tehniku, kad firewalls kontrolee stafu un forwardee attieciigi vai uz feikoto kasti vai uz iisto
kas attiecas uz itkaa caurumu – tas viss ir sapuusc pa lielai daljai, ja cilveeks nau pilniigs lauznis un palasa arii kaadu manuaali – nekaadu probleemu.