Re: ochrona przed spamerami ...
Witajcie, > W nagłówku "Received" w obu przypadkach będzie, że to nie od szefa. Ale > jaki adresat, do którego pisuje przeciętny szef wie o takim nagłówku... no tak, to racja. Dziekuje wszystkim jeszcze raz za wlaczenie sie do rozmowy i pomoc :) SASL niebawem powinien u mnie ruszyc :) -- Pozdrawiam, Marcin.
Re: ochrona przed spamerami ...
On Wed, Dec 31, 2003 at 05:30:18PM +0100, Marcin wrote: > W jaki sposob ? > telnet openrelay 25 > MAIL FROM: [EMAIL PROTECTED] > RCPT To: [EMAIL PROTECTED] > DATA > tresc > . > QUIT > > o to chodzi ? tak > ale w tedy bedzie to w naglowku ze przyszlo nie ode mnie - chyba ze W nagłówku "Received" w obu przypadkach będzie, że to nie od szefa. Ale jaki adresat, do którego pisuje przeciętny szef wie o takim nagłówku... Marcin -- Marcin Owsiany <[EMAIL PROTECTED]> http://marcin.owsiany.pl/ GnuPG: 1024D/60F41216 FE67 DA2D 0ACA FC5E 3F75 D6F6 3A0D 8AA0 60F4 1216
Re: ochrona przed spamerami ...
Witajcie, >> bo co bedzie jezeli ktos z uprawnionych uzytkownikow na uprawnionych ipkach >> napisze list np. w imieniu swojego szefa? czyli tak jak jest obecnie:) choc PGP poki co zalatwia co trzeba, choc nie tedy droga >> autoryzacja po loginie i hasle (sasl) a nastepnie kontrolowanie czy ten kto >> sie zalogowal uzywa swojego adresu email daje pewnosc iż nikt ci nie wykręci >> takiego numeru... > Zawsze może wykręcić używając innego relaya... mozesz przyblizyc ? hmmm przyznam ze nie rozumiem - moze dlatego ze mysle juz o imprezce :) W jaki sposob ? telnet openrelay 25 MAIL FROM: [EMAIL PROTECTED] RCPT To: [EMAIL PROTECTED] DATA tresc . QUIT o to chodzi ? ale w tedy bedzie to w naglowku ze przyszlo nie ode mnie - chyba ze cos pomylilem ? -- Pozdrawiam, Marcin.
Re: ochrona przed spamerami ...
On Wed, Dec 31, 2003 at 02:15:04PM +0100, Krzysztof Jóźwiak wrote: > bo co bedzie jezeli ktos z uprawnionych uzytkownikow na uprawnionych ipkach > napisze list np. w imieniu swojego szefa? > > autoryzacja po loginie i hasle (sasl) a nastepnie kontrolowanie czy ten kto > sie zalogowal uzywa swojego adresu email daje pewnosc iż nikt ci nie wykręci > takiego numeru... Zawsze może wykręcić używając innego relaya... Marcin -- Marcin Owsiany <[EMAIL PROTECTED]> http://marcin.owsiany.pl/ GnuPG: 1024D/60F41216 FE67 DA2D 0ACA FC5E 3F75 D6F6 3A0D 8AA0 60F4 1216
Re: ochrona przed spamerami ...
Krzysztof Jóźwiak wrote: tylko ze kosztem latwosci tracisz bezpieczenstwo... bo co bedzie jezeli ktos z uprawnionych uzytkownikow na uprawnionych ipkach napisze list np. w imieniu swojego szefa? autoryzacja po loginie i hasle (sasl) a nastepnie kontrolowanie czy ten kto sie zalogowal uzywa swojego adresu email daje pewnosc iż nikt ci nie wykręci takiego numeru... A co wprwoadzania sasla na serwery pocztowe. U nas jest cos kolo 900 skrzynek i dzieki dobrej instrukcji w mailu oraz na stronie mielismy moze 20 telefonow od uzytkownikow ale to raczej dziwnych programow pocztowych czy ludzi, ktorzy niedkładnie przeczytali maila od administratora (np. no tak, przyszlo cos pamietam ale wyrzucilem bo nie myslalem ze niewazne)... ps. radze ci wprowadzic jednak sasl. Absolutnie masz racje, ale zauwaz ze Marcin wlasnie to chce zrobic, tyle ze metoda nieinwazyjna. Wg mnie osiagnie efekt calkowitej migracji w strone SASLa, ale dzieki rozwiazaniom o ktore pyta, oszczedzi (przede wszystkim) sobie i luzerom stresu. Osobiscie cwiczylem takie zmiany i zebym nie wiem jak sie staral, zawsze znajdzie sie jakas Pani Gienia z betonowym intelektem, a co gorsza okaze sie byc cioteczna babka ziecia brata prezesa :-) Pozdrawiam Jarek
Re: ochrona przed spamerami ...
Dnia śro 31. grudnia 2003 13:55, Marcin napisał: > > Moze cos zle zrozumialem, ale wg mnie wlasnie o to Ci chodzi, to znaczy > > najpierw pozwalasz na przekazywanie poczty pochodzacej ze zdefiniowanych > > adresow IP lub ich zakresow, a dopiero jezeli klient nie zostanie > > znaleziony w wykazie zaufanych adresow, system wymaga autentykacji. > > tak tak tak tak tak tak :))) > dzieki :) tylko ze kosztem latwosci tracisz bezpieczenstwo... bo co bedzie jezeli ktos z uprawnionych uzytkownikow na uprawnionych ipkach napisze list np. w imieniu swojego szefa? autoryzacja po loginie i hasle (sasl) a nastepnie kontrolowanie czy ten kto sie zalogowal uzywa swojego adresu email daje pewnosc iż nikt ci nie wykręci takiego numeru... A co wprwoadzania sasla na serwery pocztowe. U nas jest cos kolo 900 skrzynek i dzieki dobrej instrukcji w mailu oraz na stronie mielismy moze 20 telefonow od uzytkownikow ale to raczej dziwnych programow pocztowych czy ludzi, ktorzy niedkładnie przeczytali maila od administratora (np. no tak, przyszlo cos pamietam ale wyrzucilem bo nie myslalem ze niewazne)... ps. radze ci wprowadzic jednak sasl. -- Pozdrawiam Krzysztof Jóźwiak Administrator serwerów linuksowych w firmie Laser Systemy Informatyczne S.A. (www.laser.pl) tel. +42 630 66 77 w. 126 ul. Trauguta 21/23, Łódź 90-113
Re: ochrona przed spamerami ...
Witajcie, > Moze cos zle zrozumialem, ale wg mnie wlasnie o to Ci chodzi, to znaczy > najpierw pozwalasz na przekazywanie poczty pochodzacej ze zdefiniowanych > adresow IP lub ich zakresow, a dopiero jezeli klient nie zostanie > znaleziony w wykazie zaufanych adresow, system wymaga autentykacji. tak tak tak tak tak tak :))) dzieki :) > Oczywiscie w produkcyjnym systemie warto dodac kilka innych zaklec, ale > chodzilo mi o pokazanie zasady. a jesli bys podal jeszcze jakies zaklecia - ja tez troche stosuje - moze oboje na tym skorzystamy ? -- Pozdrawiam i bardzo dziekuje - istotne dla mnie bylo to czy to sie "da" zrobic :) ale jak widze "da sie" :), Marcin. Ps. jeszcze tylko ustaw Reply-to na debian-user-polish@lists.debian.org (bo zawijanie i inne ustawiles w nastepnym :) ) i bedzie lux :)
Re: ochrona przed spamerami ...
Przepraszam za poprzedni post, ale niedawno przesiadlem sie na Mozille i gubie sie wsrod tych roznych klikanych ustawien :-) Mysle ze juz poprawilem zarowno format jak i zawijanie, wiecej sie to nie powtorzy. Pozdrawiam Jarek
Re: ochrona przed spamerami ...
Marcin wrote: hehe, miejmy nadzieje. bo na to wyglada ze to ostatni realny sposob na wykonanie ochrony antyspamowej. Dziekuje wszystkim za pomoc :) Jesli jeszcze ktos mialby jakies propozycje bede wdzieczny... Witam, Odnosze wrazenie ze cos strasznie kombinowane te porady, ktore dostales wczesniej. Co prawda aktualnie uzywam tylko Postfixa, a Sendmaila nie widzialem na oczy juz bardzo dlugo, ale przypuszczam ze wiele MTA takie rzeczy potrafi. Do rzeczy, magiczny wpis w main.cf wyglada tak : smtpd_recipient_restrictions = permit_mynetworks, reject_maps_rbl, check_client_access hash:/etc/mail/access, check_sender_access hash:/etc/mail/access, permit_sasl_authenticated Teraz krotka legenda : permit_mynetworks - zezwala na przesylanie poczty pochodzacej z adresow IP zdefiniowanych w 'mynetowrks', na ogol zmienna ta wskazuje na adresy niepubliczne za NATem, reject_maps_rbl - wywala wszystkie listy pochodzace z adresow, ktore znajduja sie w RBLu, mozna uzywac, ale nieobowiazkowo - zdecydowanie warto, check_client_access hash:/etc/mail/access - sprawdza adres IP, klase adresow, nazwe hosta lub domene z jakiej nadaje wysylajacy, tu wlasnie mozesz definiowac klasy IPow lub IPy z ktorych ludziki moga wysylac poczte bez koniecznosci autentykacji, wazna jest kolejnosc, ta wlasnie opcja powinna sie znalezc przed SASLem, check_sender_access hash:/etc/mail/access - tutaj jest badane pole From, dziala analogicznie jak powyzszy parametr, tylko inne naglowki w liscie sa poddawane testom, permit_sasl_authenticated - tu wlasnie zezwalasz na relayowanie poczty z dowolnych IPow, ale po poprawnej autentykacji. Moze cos zle zrozumialem, ale wg mnie wlasnie o to Ci chodzi, to znaczy najpierw pozwalasz na przekazywanie poczty pochodzacej ze zdefiniowanych adresow IP lub ich zakresow, a dopiero jezeli klient nie zostanie znaleziony w wykazie zaufanych adresow, system wymaga autentykacji. Oczywiscie w produkcyjnym systemie warto dodac kilka innych zaklec, ale chodzilo mi o pokazanie zasady. Pozdrawiam Jarek
Re: ochrona przed spamerami ...
Witajcie, > wp.pl wprowadzilo autoryzacje przez smtp. wejdz na ich strony i zobacz > jak im sie udalo zmusic uzytkownikow do przestawienia programow. :) tak to jest jak sie nie korzysta z wp i innych to sie nie wie :p dzieki :) > wydaje mi sie, ze mozna napisac bardzo lopatologiczna instrukcje > na temat wlaczenia jednego "ptaszka" w konfiguracji outlooka. > outlook domyslnie uzywa loginu i hasla takiego jak do odbierania > poczty, wiec nie jest potrzebna zadna dodatkowa interwencja. jest juz na stronie - ze screenami - a i tak co jakis czas zadzwoni ... ale optymistyczne jest to ze jak bedzie dzwonil to i tak zadzwoni a wtedy poda mu sie tylko dodatkowa rzecz do zaznaczenia :) > to jest do przejscia.. zapowiedz odpowiednio wczesnie zmiany, > zacisnij kciuki i bedzie dobrze. rozeslij emaile klientom.. > wmow, ze to super feature, bez ktorego nie moga zyc i dzieki > temu ich konta stana sie lepsze. zmiana pomoze w walce z > terroryzmem (cyber oczywiscie) i ich zycie stanie sie piekniejsze. hehe, miejmy nadzieje. bo na to wyglada ze to ostatni realny sposob na wykonanie ochrony antyspamowej. Dziekuje wszystkim za pomoc :) Jesli jeszcze ktos mialby jakies propozycje bede wdzieczny... -- Pozdrawiam, Marcin.
Re: ochrona przed spamerami ...
On Tue, Dec 30, 2003 at 09:02:54PM +0100, Marcin wrote: > Witajcie, > > > ehh..to jest najskuteczniejsze i najlepsze rozwiazanie. skoro > > lamy, to pewnie outlook. zeby przystosowac go do pracy z autoryzacja > > przez smtp, to wystarczy wlaczyc 1 opcje. mozesz napisac wszystkim > > userom, ze dnia tego i tego zostanie wlaczona autoryzacja wysylania > > poczty i musza nacisnac jedna opcje w outlooku. > > bedzie bardzo ciezko, nie jest to takie proste. > jak niektorym trzeba wytlumaczyc co to jest outlook to juz jest wp.pl wprowadzilo autoryzacje przez smtp. wejdz na ich strony i zobacz jak im sie udalo zmusic uzytkownikow do przestawienia programow. wydaje mi sie, ze mozna napisac bardzo lopatologiczna instrukcje na temat wlaczenia jednego "ptaszka" w konfiguracji outlooka. outlook domyslnie uzywa loginu i hasla takiego jak do odbierania poczty, wiec nie jest potrzebna zadna dodatkowa interwencja. to jest do przejscia.. zapowiedz odpowiednio wczesnie zmiany, zacisnij kciuki i bedzie dobrze. rozeslij emaile klientom.. wmow, ze to super feature, bez ktorego nie moga zyc i dzieki temu ich konta stana sie lepsze. zmiana pomoze w walce z terroryzmem (cyber oczywiscie) i ich zycie stanie sie piekniejsze.
Re: ochrona przed spamerami ...
Witajcie, > ehh..to jest najskuteczniejsze i najlepsze rozwiazanie. skoro > lamy, to pewnie outlook. zeby przystosowac go do pracy z autoryzacja > przez smtp, to wystarczy wlaczyc 1 opcje. mozesz napisac wszystkim > userom, ze dnia tego i tego zostanie wlaczona autoryzacja wysylania > poczty i musza nacisnac jedna opcje w outlooku. bedzie bardzo ciezko, nie jest to takie proste. jak niektorym trzeba wytlumaczyc co to jest outlook to juz jest tagedia - dobrze ze ja sie tym nie zajmuje - ale juz wystarczajaca iloc telefonow do biura obslugi klienta jest aktualnie. Jest sobie jakis koles/babka ktora wie ze aby sprawdzic poczte ma sobie kliknac na takiej niebieskiej kopercie w prawym gornym roku ekranu. dwa razy myszkapotem - tak wyglada to czasami a jak przyjdzie skonfigurowac smtp do autoryzacji - a juz nie daj Boze podawac jeszcze jakies hasla ... tragedia. Wiele takich lam nie ma, sporo jest innych ludzi od zorientowanych do bardzo zorientowanych [admini innych sieci]... jednak reasumujac takie rozwiazanie - ze danego dnia DUP i bedzie przelaczone - odpada. Z naszych uslug korzysta kilkanascie firm - i zmiana ustawien w outlooku pani sekretarki w jakiejs firmie to zalamka. totalna ostatecznosc. prosilbym o inne rozwiazania - czy da sie jednoczesnie z sasl i bez sasl ? > po co kombinujesz..ehh nie mam wyjscia. > ps. serio adminujesz powaznymi serwerami na kilkaset userow? tak i to nie jednym ;/ www,ftp,poczta,wirtuale,sieci mniejsze, wieksze, podsieci, multiple providers, htb, security kurna tyle na glowie ze sie zaje... idzie. dobrze ze nie jestem calkiem sam. ostatnio mam juz troche dosc - jak jeszcze sie filesystem posypal na serwerze z danymi luserow i mimo raida poszlo sie piip ... ;/ a teraz kurna spamerom zaczyna sie nudzic jak wylapali pare adresow... musze cos szybko wymyslic i zastosowac - ale max transparentnego by userzy nie musieli nic zmieniac. myslalem 1. poki co wyciac adresy IP spamerow - troche lamerskie ale na razie by pomoglo - [po adresach ktore proboja robic relaya] [domena tw, hinet ... itp.] 2. zablokowac liste docelowa i zrodlowa adresow email - byla gdzies baza na www.ordb.org 3. wylapywac ruch pocztowy - ale z uwagi na spore strumienie bedzie to mega ciezkie ;/ 4.. .. ... . . troche sposobow jest ale all nie profesjonalne. ;/ -- Pozdrawiam, Marcin.
Re: ochrona przed spamerami ...
On Tue, Dec 30, 2003 at 07:19:23PM +0100, Marcin wrote: > no to jedno rozwiazanie, myslalem o nim, jednak jest jeden problem, > kilkaset userow, nieraz totalne lamy, gdybym nagle wlaczyl sasla na > SMTP to bylaby tragedia, 90%ludzi dzwoniloby ze nie dziala siec. > Odpada. ehh..to jest najskuteczniejsze i najlepsze rozwiazanie. skoro lamy, to pewnie outlook. zeby przystosowac go do pracy z autoryzacja przez smtp, to wystarczy wlaczyc 1 opcje. mozesz napisac wszystkim userom, ze dnia tego i tego zostanie wlaczona autoryzacja wysylania poczty i musza nacisnac jedna opcje w outlooku. po co kombinujesz..ehh ps. serio adminujesz powaznymi serwerami na kilkaset userow?
Re: ochrona przed spamerami ...
Witajcie, >> zatem moje pytanie brzmi: czy jest jakis sposob omieniecia tego ? by >> nie bylo open relaya a jednoczesnie mozna bylo wysylac poczte ? >> jak zrobic by nie stac sie atakiem, i zrodlem spamu ? > jakiego demona pocztowego uzywasz? (MTA) > ogólnie najlepiej zrobic ze userzy musza podac haslo jak wysylaja... > np. postfix: http://newbie.linux.pl/?id=article&kategoria=3&show=132 zalozmy ze postfix dla uproszczenia, w innych zrobie analogicznie. nie problem. 1. no to jedno rozwiazanie, myslalem o nim, jednak jest jeden problem, kilkaset userow, nieraz totalne lamy, gdybym nagle wlaczyl sasla na SMTP to bylaby tragedia, 90%ludzi dzwoniloby ze nie dziala siec. Odpada. hmmm idac za myslalmi - czy byloby mozliwe cos takiego smtp normalne - tylko z dopisanych domen [sasl tez :)] smtp + sasl - z dowolnej domeny ? i czy wogole da sie uruchomic dla usera "wlacz albo nie wlacz, zrob jak ci sie podoba, oba beda ci dzialac :) " przyznaje ze sasla jeszcze nie uruchamialem na produkcyjnych - nie mialem takiej potrzeby :| 2. BTW: jak robia to na onecie, wp zewszad moshna wysylac maile .. ?-| a jednak nie przyjmuja maili z open relayow - mialem jednego hosta celowo open relay by sie "pobawic" - hehe dopisany zostal w ciagu kilku dni do ordb :] i wtedy poczta do onetu nie dochodzila :) zatem korzystaja z tych baz. -- Pozdrawiam, Marcin.
Re: ochrona przed spamerami ...
Dnia wto 30. grudnia 2003 16:32, Marcin napisał: > zatem moje pytanie brzmi: czy jest jakis sposob omieniecia tego ? by > nie bylo open relaya a jednoczesnie mozna bylo wysylac poczte ? > jak zrobic by nie stac sie atakiem, i zrodlem spamu ? jakiego demona pocztowego uzywasz? (MTA) ogólnie najlepiej zrobic ze userzy musza podac haslo jak wysylaja... np. postfix: http://newbie.linux.pl/?id=article&kategoria=3&show=132 -- Pozdrawiam Krzysztof Jóźwiak Administrator serwerów linuksowych w firmie Laser Systemy Informatyczne S.A. (www.laser.pl) tel. +42 630 66 77 w. 126 ul. Trauguta 21/23, Łódź 90-113
Re: ochrona przed spamerami ...
Marcin <[EMAIL PROTECTED]> napisał: ->W sumie nie jest to poki co dla mnie bardzo pilna info ale ... -> ->aby nie stac sie open relayem twardo dopisuje domena po domenie z ->ktorych userzy moga wysylac poczte... ->jednak chcialbym aby byla mozliwosc jakiegos bezpiecznego ->skonfigurowania uslug by maile mozna bylo wysylac z dowolnego miejsca. ->mam kilku ludziow - bisenesemenow ;-) - ktorym sie to nie podoba ze ->musza podawac mi numer IP ktory u nich sie zmienia. ->wg mnie to tez jest nie tedy droga... -> ->zatem moje pytanie brzmi: czy jest jakis sposob omieniecia tego ? by ->nie bylo open relaya a jednoczesnie mozna bylo wysylac poczte ? ->jak zrobic by nie stac sie atakiem, i zrodlem spamu ? -> ->wiem o bazach ordb.org, ze mozna skonfigurowac demona by korzystal z ->ich baz .. ale jak to sie ma do security (najwazniejsze) szybkosci ->(rownie wazne) ... ? a moze wystarczy tylko uruchomienie autoryzacji/uwierzytelniania (authentication) ? SaPeR
Re: ochrona przed spamerami ...
Witaj Marcin, W Twoim liście datowanym 30 grudnia 2003 (16:32:41) można przeczytać: M> Witajcie, M> W sumie nie jest to poki co dla mnie bardzo pilna info ale ... M> aby nie stac sie open relayem twardo dopisuje domena po domenie z M> ktorych userzy moga wysylac poczte... M> jednak chcialbym aby byla mozliwosc jakiegos bezpiecznego M> skonfigurowania uslug by maile mozna bylo wysylac z dowolnego miejsca. [ciach] sprawdź: pop-before-smtp smtp-auth -- Pozdrawiam, Artur
ochrona przed spamerami ...
Witajcie, W sumie nie jest to poki co dla mnie bardzo pilna info ale ... aby nie stac sie open relayem twardo dopisuje domena po domenie z ktorych userzy moga wysylac poczte... jednak chcialbym aby byla mozliwosc jakiegos bezpiecznego skonfigurowania uslug by maile mozna bylo wysylac z dowolnego miejsca. mam kilku ludziow - bisenesemenow ;-) - ktorym sie to nie podoba ze musza podawac mi numer IP ktory u nich sie zmienia. wg mnie to tez jest nie tedy droga... zatem moje pytanie brzmi: czy jest jakis sposob omieniecia tego ? by nie bylo open relaya a jednoczesnie mozna bylo wysylac poczte ? jak zrobic by nie stac sie atakiem, i zrodlem spamu ? wiem o bazach ordb.org, ze mozna skonfigurowac demona by korzystal z ich baz .. ale jak to sie ma do security (najwazniejsze) szybkosci (rownie wazne) ... ? -- Pozdrawiam, Marcin.