неавторизированная отправка почты

Доброго времени суток всем!
Есть сервер на FreeBSD 4.10
на нём подняты проксик.днс-ка ... почта (Sendmail 8.12.11)
просканировал X-Spider'oм а он мне написал:
возможна неавторизированная отправка почты
Так вот вопрос, необходимо ли прикручивать smtp-авторизацию или можно и без неё
обойтись и просто что-то где-то запретить?
И ещё, как запретить использовать мой почтовик как релей?

-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1519; Возраст листа: 382; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337277

Ответить   Mon, 21 Mar 2005 16:40:28 +0300 (#337277)

 

Ответы:

без неё


можно начать с файрвола...


-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1520; Возраст листа: 382; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337282

Ответить   Mon, 21 Mar 2005 15:53:53 +0200 (#337282)

 

-----Original MessageFrom: "Anton S. Yatsun" <tortort***@m*****.ru>
To: "comp.soft.bsd.all" <ohitma***@m*****.ru> (4441008)

А по подробнее можно?

я определили следующие правила:
add pass tcp from any to any 25,110
add pass tcp from any 25,110 to any

А это я уже сделал, просто думал что этого не достаточно...

Спасибо за помощь откликнувшимся!


-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1525; Возраст листа: 383; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337599

Ответить   Tue, 22 Mar 2005 08:46:25 +0300 (#337599)

 


ну а теперь "any" заменяешь на свои реалии
например на 10.0.0.0/32


-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1526; Возраст листа: 383; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337635

Ответить   Tue, 22 Mar 2005 08:51:48 +0200 (#337635)

 

On Tue, 22 Mar 2005 08:51:48 +0200
"Anton S. Yatsun" <tortort***@m*****.ru> wrote:

Если доводить идею до конца, то дальше должно быть:
add reset tcp from any 25,110 to any
add reset tcp from any to any 25,110

Но зачем тогда нужен почтовый сервер, который слушает 25-й порт только для своей
сети?
А 110-й порт тоже нужно закрывать, чтобы не было open relay?

Ответить   Tue, 22 Mar 2005 09:10:50 +0200 (#337642)

 

своей


в большинстве случаев, действительно, это перебор
хотя случаются ситуации, когда почта может прийти только от парент-сервера
провайдера



-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1528; Возраст листа: 383; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337660

Ответить   Tue, 22 Mar 2005 09:25:11 +0200 (#337660)

 

On Tue, 22 Mar 2005 09:25:11 +0200
"Anton S. Yatsun" <tortort***@m*****.ru> wrote:

В этом случае firewall, построенный на IPFW, будет выглядеть так:
ipfw add 1 allow tcp from _MY_NETWORK_ to any 25
ipfw add 2 allow tcp from _IP_ISP_SMTP_ to _IP_MY_SENDMAIL_ 25
ipfw add 3 reset (deny) tcp from any to _IP_MY_SENDMAIL_ 25

Ответить   Tue, 22 Mar 2005 10:46:53 +0200 (#337698)

 

-----Original MessageFrom: "Andrey O.Sokolov" <arct***@a*****.net>
To: "comp.soft.bsd.all" <ohitma***@m*****.ru> (4441008)

для

В том то и беда, что моя машина непосредственоо получает почту сама...
Видимо всё-таки придётся ставить что-то вроде sapmAsassin'a



-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1530; Возраст листа: 383; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337748

Ответить   Tue, 22 Mar 2005 13:49:29 +0300 (#337748)

 

On Tue, 22 Mar 2005 13:49:29 +0300
Некто Который <ohitma***@m*****.ru> wrote:

Это совсем другой инструмент.
Чтобы "закрыть" openrelay достаточно выполнить команду, которую я приводил ранее.

Ответить   Tue, 22 Mar 2005 12:55:05 +0200 (#337752)

 

-----Original MessageFrom: "Andrey O.Sokolov" <arct***@a*****.net>
To: "comp.soft.bsd.all" <ohitma***@m*****.ru> (4441008)

ранее.

Это наверно
echo YOUR_NETWORK >> /etc/mail/access && cd /etc/mail/ && make

Но сканер всё равно пишет возможную уязвимость...

-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1532; Возраст листа: 383; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337761

Ответить   Tue, 22 Mar 2005 14:00:23 +0300 (#337761)

 

On Tue, 22 Mar 2005 14:00:23 +0300
Некто Который <ohitma***@m*****.ru> wrote:

А что рассказывает вот эта ссылка?
http://www.ordb.org/submit/
Какое содержимое файла /etc/mail/access?

Ответить   Tue, 22 Mar 2005 13:11:57 +0200 (#337764)

 

-----Original MessageFrom: "Andrey O.Sokolov" <arct***@a*****.net>
To: "comp.soft.bsd.all" <ohitma***@m*****.ru> (4441008)

Ссылка эта обещает выслать результат на на иыло через 5-10 часов, иак что ждёмс
завтра...
cat access
#Внутренний домен
scvr.int RELAY
#сам mail-server
do.renet.ru RELAY


-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1534; Возраст листа: 383; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337786

Ответить   Tue, 22 Mar 2005 14:54:34 +0300 (#337786)

 

Hello Некто,

Tuesday, March 22, 2005, 4:00:23 PM, you wrote:

echo YOUR_NETWORK >>> /etc/mail/access && cd /etc/mail/ && make

Это видимо потому что ты сканишь из своей сети, из которой открыт
релей без авторизации :)

Ответить   Artem Batalov Tue, 22 Mar 2005 17:37:56 +0500 (#337831)

 

-----Original MessageFrom: Artem Batalov <arch***@l*****.ru>
To: "comp.soft.bsd.all" <ohitma***@m*****.ru> (4441008)

в том то и дело, что сканю я этот сервак через другой сервак!


-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1543; Возраст листа: 383; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337839

Ответить   Tue, 22 Mar 2005 15:52:19 +0300 (#337839)

 

Hello Anton,

Monday, March 21, 2005, 7:53:53 PM, you wrote:


в DNS адреса относительные? Поставь в конце точки

Best regards,
Кононов
mailto:konon***@f*****.ru
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1541; Возраст листа: 383; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337827

Ответить   Tue, 22 Mar 2005 09:29:40 +0600 (#337827)

 

-----Original MessageFrom: Кононов Дмитрий Сергеевич <konon***@f*****.ru>
To: "comp.soft.bsd.all" <ohitma***@m*****.ru> (4441008)

да нет, в ДНС-ке всё ок!



-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1544; Возраст листа: 383; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337840

Ответить   Tue, 22 Mar 2005 15:54:32 +0300 (#337840)

 

Hello Некто,

Tuesday, March 22, 2005, 6:54:32 PM, you wrote:

У меня была аналогичная проблема с почтовиком. Я проверял его на
открытость в ordb. Там сказали, что адреса относительные. Было:
zone "frpc.secna.ru" {
type master;
file "frpc";
};
Сделал:
zone "frpc.secna.ru." {
type master;
file "frpc";
};
и все наладилось. Все дело в точке :)

Best regards,
Кононов
mailto:konon***@f*****.ru
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1548; Возраст листа: 384; Участников: 637
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/338163

Ответить   Wed, 23 Mar 2005 08:33:43 +0600 (#338163)

 

On Mon, 21 Mar 2005 16:40:28 +0300
Некто Который <ohitma***@m*****.ru> wrote:

echo YOUR_NETWORK >> /etc/mail/access && cd /etc/mail/ && make

Ответить   Mon, 21 Mar 2005 15:54:40 +0200 (#337283)

 

Hello Некто,

Monday, March 21, 2005, 7:40:28 PM, you wrote:

неё

У тебя в днс-ке адреса относительные?

Best regards,
Кононов
mailto:konon***@f*****.ru
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 1540; Возраст листа: 383; Участников: 639
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/337823

Ответить   Tue, 22 Mar 2005 11:06:21 +0600 (#337823)