Sendmail AUTH issues

Dimitris Stasinopoulos dsta at linea.gr
Tue Jun 7 08:28:34 EEST 2005 

Στις Monday 06 June 2005 23:30, ο/η Giorgos Keramidas έγραψε:
> On 2005-06-06 21:05, Dimitris Stasinopoulos <dsta at linea.gr> wrote:
> > Παίδες χαιρετώ,
> > έχω το εξής θέμα. Έχω έναν sendmail 8.12/linux, ο οποίο είναι ο
> > MX-advertised για το domain μου (έστω mydomain.com).  Προκείμενου να
> > μπορώ να μπορώ να στέλνω email ως user at mydomain.com, έχω στήσει SMTP
> > authentication (AUTH + TLS + DIGEST-MD5 με self-signed certificate, και
> > για τo authentication ο sendmail μιλάει με τον sasld) για να μην βάζω
> > RELAY για το @mydomain.com στο access.db.  Δουλεύει κανονικά, με τα εξής
> > θέματα όμως:
> >
> > 1α) Οποιοσδήποτε μπορεί από έξω να στέλνει email ως
> > whatever at mydomain.com, αρκεί ο αποδέκτης να είναι επίσης @mydomain.com.
> > Λογικό μεν, αλλά όχι αποδεκτό, ειδικά για τους spammers και τους ιούς.
>
> Η διεύθυνση στο envelope-to είναι @mydomain.com ή στο header-from?

Both. Τυπικό transaction script:

Return-Path: <spammer at mydomain.com>
Received: from [10.0.0.2] (isit.mydomain.com [1.2.3.4])
 by mail_server.mydomain.com (8.12) with ESMTP id j575xHjk026779
 for <user at mydomain.com>; Tue, 7 Jun 2005 08:59:17 +0300
From: Vicious Spammer <spammer at mydomain.com>
To: user at mydomain.com
Subject: Test

Ο spammer at mydomain.com είναι ο...spammer και ο user at mydomain.com το θύμα.

>
> > 1β) Ο sendmail δέχεται αβίαστα ΟΠΟΙΟΔΗΠΟΤΕ username @mydomain.com στο
> > From:, ακόμα και usernames για το mydomain.com που δεν υπάρχουν, αρκεί ο
> > αποδέκτης να είναι πάλι @mydomain.com. Πως λέω στον sendmail να τσεκάρει
> > τα lhs στο mydomain.com ώστε να είναι valid;
>
> Δεν έχεις κάτι σαν `relay_mail_from' ή `relay_local_from' στο sendmail.mc
> σου, σωστά;

Όχι και στα δύο.

>
> > 2) Από τη στιγμή που κάνω authenticate, μπορώ να στείλω email ως
> > anyone at whatever.com.  Δεδομένου ότι κάνω authenticate ως
> > user at mydomain.com (που είναι το authid στην sasldb), υπάρχει τρόπος
> > στέλνω email μόνο ως αυτός που κάνω authenticate;
>
> Δεν είναι απαραίτητα κακό αυτό.  Μπορεί όντως να θες να κάνεις authenticate
> ως <dsta at mydomain.com> και να στείλεις email ως <root at mydomain.com>.

Προτιμώ να έχω έναν λογαριασμό στη sasldb και για το δεύτερο, παρά να μπορεί ο 
οποιοσδήποτε authenticated να στέλνει email ως root at mydomain.com

More information about the Linux-greek-users mailing list