» Кто какой MTA использует и почему

Цитата:

А вот когда отклоняется почта для несуществующих пользователей, написать программу для сбора адресов -- задача для студента-двоечника.

оцените, за какое время при переботе будет угадан адрес namma3183263?


Цитата:

Мда... Повторю вопрос, а forkbomb у нас теперь тоже за exploit катит?

если он приводит к сбою системы -- то да.

arto

Цитата:

оцените, за какое время при переботе будет угадан адрес namma3183263

Ответ: за конечное.


Цитата:

если он приводит к сбою системы -- то да.

Ок, в таком случае подавляющее большинство *никсов, в т.ч. все известные мне linux и *bsd системы "дырявы".

Цитата:

Ответ: за конечное.

ответ чистого математика


Цитата:

известные мне linux и *bsd системы "дырявы".

http://www.google.com/search?q=fork+bomb+protection+patch

mymuss

Цитата:

Гм... Чушь говорите. Я себе не один год компостировал мозги всякой дискретной математикой, комбинаторикой итд и не одну тысячу строк кода написал, но совершенно не могу себе представить КАК определить существующих пользователей когда принимается ВСЯ почта. А вот когда отклоняется почта для несуществующих пользователей, написать программу для сбора адресов -- задача для студента-двоечника.

Никакая это не чушь. Существует настоящая методика обнаружения пользователя путем перебора... речь как раз о Qmail, что касается иных MTA, то там такой перебор не возможен из-за... так называемого временного интервала... tarpit...


Цитата:

Мда... Повторю вопрос, а forkbomb у нас теперь тоже за exploit катит?

Это не по адресу... к SecurityFocus пожалуйста...

Да и еще... от темы пжлст не отклоняемся!;)

arto

Цитата:

http://www.google.com/search?q=fork+bomb+protection+patch

Да я в курсе. Но тут немного не о том. Дело в том что в старых версиях многих ядер, в т.ч. Линукса после запуска процесса через fork() шедулер сразу же давал ему максимальный приоритет, который имел до этого его родитель. К чему это приводило: если юзер неумышленно запускал forkbomb, его шелл (собственно, родитель) мгновенно "умирал" и у юзера не оставалось никакой возможности набрать kill. После наложения патча приоритет делится между парентом и чайлдом, таким образом, пока ресурсы системы не исчерпаются, юзер еще может прибить бомбу. Если же бомба запускается умышленно, рано или поздно ресурсы будут исчерпаны и система ляжет.

Кстати, если полистать ту же ссылку дальше, то во многих мэйлинг-листах людей, открывших для себя форкбомбы отправляют именно к ulimit

ginger

Цитата:

Существует настоящая методика обнаружения пользователя путем перебора... речь как раз о Qmail, что касается иных MTA, то там такой перебор не возможен из-за... так называемого временного интервала... tarpit...

Ну все. Тут у меня не осталось слов просто. Давайте прежде чем писать совершенную чепуху хотя бы ходить на Гугл:

Цитата:

What's tarpitting? It's the practice of inserting a small sleep in an SMTP session for each RCPT TO after some set number of RCPT TOs. The idea is to thwart spammers who would hand your SMTP server a single message with a long list of RCPT TOs. If a spammer were to attempt to use your server to relay a message with, say, 10,000 recipients, and you inserted a five-second delay for each recipient after the fiftieth, the spammer would be "tarpitted," and would most likely assume that his connection had stalled and give up.

http://www.palomine.net/qmail/tarpit.html -- первая же ссылка с http://www.google.fr/search?q=tarpit+qmail

mymuss

Цитата:

Ну все. Тут у меня не осталось слов просто. Давайте прежде чем писать совершенную чепуху хотя бы ходить на Гугл:

Уважаемый, во первых... это не по теме, во вторых... сами же ответили на свой вопрос...


Цитата:

http://www.palomine.net/qmail/tarpit.html -- первая же ссылка с http://www.google.fr/search?q=tarpit+qmail

Вот пожалуйста и ответ...;)
Что от меня требуется я что-то совсем не пойму?

P.S. Может хватит об этом? Меня это уже совсем достало. Нравится тебе Qmail, так используй! Считаешь его high security - да пожалуйста..;)

ginger

Цитата:

сами же ответили на свой вопрос

Цитата:

Вот пожалуйста и ответ...;)

Ага, только то что там совершенно не вяжется с тем что Вы писали раньше.


Цитата:

Что от меня требуется я что-то совсем не пойму?

Алгоритм, позволяющй при помощи tarpitting (или чего-угодно другого) выяснить какие адреса существуют, при условии что используется qmail.

mymuss

Цитата:

Алгоритм, позволяющй при помощи tarpitting (или чего-угодно другого) выяснить какие адреса существуют, при условии что используется qmail.

Она его не приведет, как ты сам понимаешь, потому что его попросту нет. Нет, ну она конечно отмажется, что можно прочитать bounce сообщения. Или просто будет поток слов с умным видом. Типа: "сайт zapupyrsk.com отказался от Qmail, что, глаза режет?". Или что так сказал некий Rap Scallion. И т.д. и т.п. Я это просто предчувствую.

ginger
Пока ты еще не дошла до того уровня популярности в этом форуме, чтобы тебе верили просто так на слово. А посему нам нужны конкретные факты. Детали. А не пустая болтовня. Понимаешь? Как говорится, "you have to put up or shut up".


Добавлено
mymuss
Хм... Хотя я, кажется, понял, что она имела в виду. Не увероен, что она сама это понимает. Иначе бы она изложила свои мысли по-другому, либо она просто не умеет их излагать.

Цитата:

Существует настоящая методика обнаружения пользователя путем перебора...

Вероятно имелось в виду, что ты можешь послать сообщение большому числу получателей одновременно (если не включен tarpitting) и уж кому-то оно да попадет. Т.е. посылать "на удачу", перебирая в качестве имен пользователей, скажем, распространенные имена.

ginger
Если ты именно это и имела в виду, то тут об обнаружении и речи не идет. Потому само слово "обнаружение" подразумевает, что ты находишь или получаешь что-то. В данном случае -- информацию, знак о том, существует ли данный пользователь или нет. А поскольку при использовании данной методики нет немедленной обратной связи, т.е. сразу тебе неизвестно сколько имен ты угадала, если угадала вообще, то ты ничего не обнаруживаешь.

ooptimum

Цитата:

Пока ты еще не дошла до того уровня популярности в этом форуме, чтобы тебе верили просто так на слово

Потрясающий аргумент в техническом споре, ничего не скажешь.

[b]Для всех[b]
Предлагаю поместить на голосование пункт вроде такого: "что мне сказали- то и использую". И вместо споров "о высоком" в скором времени будете эксплуатировать например "Дионис". Почитайте- это интересно. Никаких вам рут-шелов, срывов стека и внешних библиотек, обеспечивающих безопасное соединение. Вместо этого будет MS-DOS, модульная структура, бешенная производительность,супер-надежность .
И попробуйте это опровергнуть!

http://www.security.ru/dionis.html

http://www.gskt.ru/stat/soft/donis/3/320/glawa8_1.htm (там вместе с описанием скрин-шоты есть)

finist

Цитата:

Потрясающий аргумент в техническом споре, ничего не скажешь.

Ты наверное тему не читал. Этот "аргумент" как раз призывал ginger дать нам технические детали в техническом споре (болтать-то мы все горазды). Ты читал, надеюсь, что там дальше написано. Странно, что такое простое выражение может толковаться еще как-то иначе...


Цитата:

Предлагаю поместить на голосование пункт вроде такого: "что мне сказали- то и использую"

Не важно почему ты используешь А, а не Б. Голосуй за то, что используешь. А потом можешь приписать что-то типа "использую А, потому что обязан, а хотелось бы Б".

finist

Цитата:

в скором времени будете эксплуатировать например "Дионис". Почитайте- это интересно. Никаких вам рут-шелов, срывов стека и внешних библиотек, обеспечивающих безопасное соединение. Вместо этого будет MS-DOS, модульная структура, бешенная производительность,супер-надежность .
И попробуйте это опровергнуть!

Почитал. Впечатление, скажем прямо, двоякое.
1) Ну кто сказал что там не будет срыва стека? На x86 архитектуре срыв стека был, есть и будет. Только если, скажем, ядро Линукса уже на память знают тысячи программистов по всему миру и найти там еще какой-нибудь хоть немного значительный баг весьма непросто, то тут имеем совершенно сырую систему, которая создана закрытой группой разработчиков, и конечно же, они допустили там не однин десяток ошибок.
2) Насчет отсутствия библиотек: цитата с http://www.security.ru/products.html

Цитата:

Для осуществления криптографических операций над файлами или блоками памяти наиболее удобным и эффективным может быть использование не отдельных специализированных приложений, а криптографических библиотек

Только вот до 800 баксов за библиотеку сомнительной надежности... Стремно!
3) MS-DOS. Что тут сказать... Поверю что будет нормально работать сетка из 10 компов. Насчет эффективной работы крупной сети с тысячами учетных записей и сложной маршрутизацией -- сомнения берут... Я уже молчу про поддержку оборудования, новых стандартов, надежности итд...
4) А теперь внимание: на http://www.security.ru/price.html цены!!! Более дорогой почтовый софт мне неизвестен.

Цитата:

Более дорогой почтовый софт мне неизвестен.

cgp. iPlanet.

Цитата:

Насчет отсутствия библиотек: цитата с http://www.security.ru/products.html

Внешних по отношению к данному продукту. А эти библиотеки- часть продукта. Почуствуй разницу.


Цитата:

Почитал. Впечатление, скажем прямо, двоякое.

А когда посидишь, понастраиваешь, и мануал почитаешь то вообще троякое


Цитата:

Ну кто сказал что там не будет срыва стека? На x86 архитектуре срыв стека был, есть и будет

Есть простые выхолощенные проги, так там срыва стека не наблюдалось. Правда поставлена под сомнения целесообразность их использования, т.к. их функциональность очень ограничена. В данном случае ситуация примерно такая-же.
Хорошо, стек сорвали... Что дальше?


Цитата:

Только вот до 800 баксов за библиотеку сомнительной надежности... Стремно!

Ну-ну. Государственным учреждениям не стремно, а тебе стремно


Цитата:

MS-DOS. Что тут сказать... Поверю что будет нормально работать сетка из 10 компов.

Разве MS-DOS является принципиальным барьером? TCP/IP для DOSa из поставки NT использовал? Нормально работает... Да и продукт ориентируется на свой круг задач, когда больше компов и не понадобится.


Цитата:

Я уже молчу про поддержку оборудования, новых стандартов, надежности итд...

Правильно делаешь, что молчишь . Это законченное решение и поставляется вместе с набором оборудования. Нет толку в таком продукте, если комплектующие не прошли (хотя бы формально) тестирование на отсутствие вложений.

Новые стандарты говорите? Когда начальник (или бухгалтер) скажет, что не может отправить налоговую декларацию в электронном виде через ваш навороченный почтовый шлюз, то придется быстренько низводить его до состояния, когда это станет возможным.


Цитата:

Более дорогой почтовый софт мне неизвестен.

Ну и что? Это форум админский, или ИТ-менеджерский?

arto

Цитата:

cgp

Ну тут тоже спорный вопрос, cgp стартует с 500, а high-end решения (кластеры всякие) Пензенский институт не предлагает.


Цитата:

iPlanet

??? Они не соизмеримы по фичам. И к тому же, Sun есть Sun, а Пензенский институт это как-то...

finist

Цитата:

Внешних по отношению к данному продукту. А эти библиотеки- часть продукта. Почуствуй разницу.

Не чувствую совершенно. В свое время в mod_rewrite нашли дыру, которая позволяла читать любой файл с сервера. А ведь часть продукта...


Цитата:

А когда посидишь, понастраиваешь, и мануал почитаешь то вообще троякое

В хорошем или плохом смысле?


Цитата:

Есть простые выхолощенные проги, так там срыва стека не наблюдалось

Ну а где гарантия что и не будет наблюдаться? Идеальных программ не существует.


Цитата:

Хорошо, стек сорвали... Что дальше

Выполняем любой код.


Цитата:

Ну-ну. Государственным учреждениям не стремно, а тебе стремно

Мне стремно. Я не вижу исходника, я не знаю что за алгоритм там реализован. Я не знаю не оставил ли разработчик себе (или тем же госучереждениям) "черный ход".


Цитата:

Разве MS-DOS является принципиальным барьером?

Да. Из-за специфики работы с памятью. Про надежность вообще говорить нечего...


Цитата:

Да и продукт ориентируется на свой круг задач, когда больше компов и не понадобится.

No comments.


Цитата:

Новые стандарты говорите? Когда начальник (или бухгалтер) скажет, что не может отправить налоговую декларацию в электронном виде через ваш навороченный почтовый шлюз

Хм.... Тот же qmail/sendmail/postfix/iplanet/... успешно используются на тысячах "навороченных шлюзов" не один год. А вот может ли "Дионис" таким похвалиться?


Цитата:

Ну и что? Это форум админский, или ИТ-менеджерский?

Я конечно прекрасно понимаю в какой стране мы все живем. Но все же, и у нас постепенно (пусть мелденно) но и до админов, и до менеджеров начинает доходить что за софт тоже надо платить. В любом случае, долго весь этот беспредел не продержится.

Цитата:

Цитата:А когда посидишь, понастраиваешь, и мануал почитаешь то вообще троякое
>В хорошем или плохом смысле?

Сначала чуство, что взял в руки нечто .... ... в общем странное. Потом это все начинает работать: без сбоев, с протоколированием- наступает фаза удивления, граничащая с возмущением ("как ТАКОЕ может вообще работать!"). И, наконец, после прочтения мануала, когда обнаружил, что там есть все или почти все наступает чуство гордости, которое с не отменяет первые два. Такое впечатление, что сделал это какой-то Левша, который через некоторое время обучится арифметике, и скажет "...оказывается ружья смазывают маслом".


Цитата:

Разве MS-DOS является принципиальным барьером?
Да. Из-за специфики работы с памятью. Про надежность вообще говорить нечего...

На DOSе сейчас делают контроллеры для управления производством, если что. Ну да, она теряет память. Ну так ее и используют только для операций с накопителями. Про DOS в таком ключе можно долго говорить. И это тема не для этого форума.


Цитата:

не один год. А вот может ли "Дионис" таким похвалиться?

Судя по всему скоро похвалится. Если "маркетологом" выступает наше государство, то еще как похвалится .


Цитата:

Идеальных программ не существует.

Совершенно согласен. Поэтому и разбавил эту тему инфой о Дионисе. А то что-то люди зациклились на секьюрности и спаме. Я, например, не буду убиваться, если моя почтовая система пропустит спама на 10% больше, чем у коллеги. Стоит ли овчинка выделки? Я не собираюсь проводить все свое время на хакерских форумах, чтобы наложить патч на пол-месяца раньше, чем о дыре объявят официально разработчики. Это мое личное мнение. И оно нормально согласуется с аксиомой( см. цитату) и теорией надежности. Если к кого-то паранойя- это его проблемы.

Цитата:

Sun есть Sun, а Пензенский институт это как-то...

пензенский институт сертифицирован фапси, а сан -- нет.




Цитата:

cgp стартует с 500, а high-end решения (кластеры всякие) Пензенский институт не предлагает.

мы ведь говорили о ценах?

finist

Цитата:

На DOSе сейчас делают контроллеры для управления производством, если что. Ну да, она теряет память. Ну так ее и используют только для операций с накопителями

У меня возникают сомнения как этот комплекс под ДОС поведет себя при сверхвыскоких нагрузках.
Да и надежность, устойчивость к сбоям?.. Во времена журналируемых файловых систем, RAID-массивов просто операции с накопителями...


Цитата:

Поэтому и разбавил эту тему инфой о Дионисе

Ну в общем то, это как раз и спрашивалось
Другое дело что ПМСМ сегодня этот комплекс не может удовлетворять рыночным требованиям из за нулевой масштабирумости, сомнительной надежности итд. Ну, как говорится, "Москва не сразу строилась"

arto
finist

Цитата:

пензенский институт сертифицирован фапси, а сан -- нет

Цитата:

Если "маркетологом" выступает наше государство

Существует точка зрения, с которой это скорее недостаток. Слишком уж любят госслужбы совать нос везде. Поэтому поддержка государством некоторого "криптопродукта" иногда воспринимается как сигнал о том, что производитель мог снабдить госслужбы неким "черным ходом".
Возможно, Сан не сертифицирована российскими госслужбами, но ей это вряд ли надо. Ее продукты (например, Trusted Solaris) успешно используются госдепартаментом США.

arto

Цитата:

мы ведь говорили о ценах?

Ну да... Если cgp == Communigate Pro... У них цены стартуют с 500 баков. А хай-енд решения (стоят сотни тысяч) не имеют аналогов для сравнения в ассортименте пензенского института.

mymuss


Цитата:

Существует точка зрения, с которой это скорее недостаток. Слишком уж любят госслужбы совать нос везде. Поэтому поддержка государством некоторого "криптопродукта" иногда воспринимается как сигнал о том, что производитель мог снабдить госслужбы неким "черным ходом".
Возможно, Сан не сертифицирована российскими госслужбами, но ей это вряд ли надо. Ее продукты (например, Trusted Solaris) успешно используются госдепартаментом США.

Полностью поддерживаю.
Так например, PGP не сертифицирована ни ФСБ ни ФАПСИ и никогда не будет сертифицирована (со слов их сотрудников). Правда наводит на размышления? Я в своей конторе (коммерческая структура) принципиально ничего не покупаю из "сертифицированного", накушался, извините.

А у меня запара с Sendmail постоянная, при перезагрузке он безнадёжно виснет (ASP9)
так что линух запускался через раз. Пришлось перейти на qmail.

Andruha

Цитата:

у меня запара с Sendmail постоянная, при перезагрузке он безнадёжно виснет

Дык, резолвинг наверное не настроил...

Подскажите пожалуйста, а как все-таки грамотно настроить убиение спама в Qmail? Я ему создал /var/qmail/control/badmailfrom в нем уже 8800 записей (сначала нашел файлик, потом сам туда добавлял), однако не работает. QMail запускается через tcpserver. Где копать?

maxiva
Попробуйте посмотреть здесь:
http://www.opennet.ru/base/net/qmail_antispam.txt.html

Правда речь идет о badmailfrom-unknown...

ginger

maxiva


Цитата:

Так например, PGP не сертифицирована ни ФСБ ни ФАПСИ и никогда не будет

Цитата:

из "сертифицированного", накушался, извините.

Win2000, оборудование Cisco сертифицированы.


Цитата:

Правда наводит на размышления?

Ага... Чтобы быть последовательным, выкинь еще свой сотовый телефон. Он тоже СЕРТИФИЦИРОВАН !!!

finist

Цитата:

выкинь еще свой сотовый телефон. Он тоже СЕРТИФИЦИРОВАН

Просто к слову, ты знаешь что для того чтобы стать СЕРТИФИЦИРОВАННЫМ, в GSM был преднамеренно заложен backdoor (т.е. есть способ, позволяющий государству и вообще любому, кто этот способ знает, слушать, причем автономно, без ведома оператора, любой сотовик в обход всех навороченных криптоалгоритмов, которое там используются). Более того, недавно этот бекдор успешно вскрыли (http://itc.ua/article.phtml?ID=14584)


Цитата:

Win2000

Вай, яркий пример. МЕГАЛОЛ!!!

finist

Цитата:

Win2000, оборудование Cisco сертифицированы

Да, это правда. Поэтому у меня в конторе НЕТ И НЕ БУДЕТ пока я жив ничего из этого списка. В качестве серверов - только UNIX, а на рабочие места пользователей - мне наплевать, там нет конфиденциальной информации.
По поводу Cisco )) Я работаю с оборудованием фирмы Cabletron. Оно не сертифицировано, но так, для справки, например Switch L3 у них появился значительно раньше чем у пресловутой Cisco. Просто у нас в России эта фирма не так широко известна как ее конкурент. Так что есть варианты. Не обязательно зацикливаться на сертифицированных моделях, я вас уверяю.

ooptimum
Очередная уязвимость в Qmail
http://www.securitylab.ru/43394.html

Собственно что и требовалось доказать, Qmail уже давно утратил титул Security MTA.

ginger
Честно говоря, я ждал этого от тебя. Серьезно. Когда я прочел про эту ошибку в QMail я сначала подумал, даст ли DJB обещанную тысячу этому парню, а затем -- что ты обязательно напишешь по этому поводу. Ну ладно...

Теперь давай разберем эту проблему. Если бы ты внимательно прочла описание данной ошибки и знала архитектуру QMail, то поняла бы, что данная ошибка не имеет никакой практической пользы для взломщика и не может быть использована для повышения своих привилегий в системе.

Во-первых, ошибка находится в программе qmail-qmtpd, которая отвечает за обработку протокола QMTP, который DJB разработал как замену SMTP. Я не думаю, что такая замена случится в обозримом будущем. Если сейчас кто-то и использует этот демон, то таких людей должно быть совсем немного.

Во-вторых, если такой демон и установлен у кого-то, то он должен вызываться с верными значениями переменной RELAYCLIENT, т.к. она устанавливается не пользователем, а специальной программой при каждом соединении. И заставить эту программу сгенерировать то значение, которое приводит к переполнению буфера, просто невозможно.

В-третьих, ошибка эта проявляется только при локальных аттаках и то, если ты САМ[А] запускаешь qmail-qmtpd с передачей ему специально оформленной переменной RELAYCLIENT. При этом qmail-qmtpd будет выполняться с ТВОИМИ полномочиями и о поднятии привилегий не может идти и речи. Да даже если бы он был suid демоном, то при эксплуатации данной ошибки он просто выпадает в кору, но не выполняет какой-то код, который ты просто не имеешь возможности внедрить в данную программу.

Я не думаю, что эта ошибка представляет хоть какой-то интерес для хакеров, кроме чисто академического. Именно поэтому я называю ее просто ошибкой, а не уязвимостью.
Так что твой наезд на QMail опять не имеет почвы под ногами. Это просто наезд, а не реальность.

Щас скажу..
Пользую qmail. соображаю в нем плохо (как и в Линуксе). Поэтому почти всю почту валю из него в один ящик, и сортирую, фильтрую, антивирусую, и ты.ды. в Виндусе.
Плохо? Ругайте.

ругаем: тар-та-та и через коромысло. легче стало?

Ну блин arto - ты бы полегче