/ Forside / Teknologi / Internet / E-Mail / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
E-Mail
#NavnPoint
o.v.n. 20481
miritdk 16341
Klaudi 15149
refi 14168
dk 5555
tedd 5322
webnoob 5265
BjarneD 5014
emesen 4154
10  bentjuul 3460
Generelt hul i SMTP-protokollen!?
Fra : Anders Lau Mandsholm


Dato : 18-10-04 15:10

Jeg kan logge på diverse mail-servere via telnet og sende mails fra dem
uden, at de afkræver mig nogen form for brugernavn og password - hverken ved
forbindelse til mailserveren eller ved afsendelse af mails. Det eneste, det
kræver, er blot, at jeg gætter et domæne, der er opsat på den pågældende
mailserver og herefter kan jeg anvende et tilfældigt email-alias på det
pågældende domæne - og dette alias behøver ikke at eksistere...!? Det er
først, når jeg anvender en email-adresse, hvis domæne ikke er hjemmehørende
på den pågældende server, at jeg afkræves brugernavn og password.

Forstår slet ikke, at vi kan snakke om, at spam er et stort problem, når
mailservere generelt (har afprøvet en håndfuld af de større udbyderes)
tillader dette. Jeg kunne i princippet maskere min IP via diverse anonymizer
services eller anvende en offentligt tilgængelig PC på et biblioetek el.
lign. og herefter udsende tonsvis af spam, uden at hverken modtagerne eller
mailserver-admins ville kunne spore mig.

Er det en generel svaghed (af dimensioner) i SMTP-protokollen? Kan det slet
ikke afhjælpes uden at begrænse funktionaliteten på mailserveren, som
SPF-protokollen gør, da der således ikke kan afsendes mails fra andet end
den mailserver, domænets MX-record peger på? Som jeg ser det, skal
mailserveren ALTID afkræve brugernavn og password til en eksisterende konto,
hvis man ønsker at anvende SMTP på serveren.

/Anders
--
Anders Lau Mandsholm
Stud.merc.(dat.)
Aarhus



 
 
Steen Suder, privat (18-10-2004)
Kommentar
Fra : Steen Suder, privat


Dato : 18-10-04 15:15

Anders Lau Mandsholm wrote:
> Jeg kan logge på diverse mail-servere via telnet og sende mails fra dem
> uden, at de afkræver mig nogen form for brugernavn og password - hverken ved
> forbindelse til mailserveren eller ved afsendelse af mails. Det eneste, det
> kræver, er blot, at jeg gætter et domæne, der er opsat på den pågældende
> mailserver og herefter kan jeg anvende et tilfældigt email-alias på det
> pågældende domæne - og dette alias behøver ikke at eksistere...!? Det er
> først, når jeg anvender en email-adresse, hvis domæne ikke er hjemmehørende
> på den pågældende server, at jeg afkræves brugernavn og password.

Som jeg forstår din post, er det domænet i din "To:"-linie, der skal
være hjemmehørende på den aktuelle server.

Det betyder jo blot, at du sender email til domæne serveren betjener.
Det er der vel ikke noget hokuspokus i?

<KLIP>

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

Anders Lau Mandsholm (18-10-2004)
Kommentar
Fra : Anders Lau Mandsholm


Dato : 18-10-04 15:42

Nej, jeg kan uden at identificere mig sende til hvem som helst i verden, jeg
vil. Domænet i From-linjen skal blot være hjemmehørende på mailserveren -
alias kan være helt tilfældigt og ikke-eksisterende og domænet i To-linjen
kan være et hvilket som helst domæne - også domæner, der ikke eksisterer på
den pågældende mailserver.

/Anders
--
Anders Lau Mandsholm
Stud.merc.(dat.)
Aarhus

"Steen Suder, privat" <sfs_news_spam@suder.dk> wrote in message
news:4173cfd6$0$245$bc7fd3c@news.sonofon.dk...

<klip>

> Som jeg forstår din post, er det domænet i din "To:"-linie, der skal være
> hjemmehørende på den aktuelle server.
>
> Det betyder jo blot, at du sender email til domæne serveren betjener. Det
> er der vel ikke noget hokuspokus i?


<klip>



Martin Schultz (19-10-2004)
Kommentar
Fra : Martin Schultz


Dato : 19-10-04 10:49

On 2004-10-18, Anders Lau Mandsholm <mitfornavn@mitefternavn.name> wrote:
> Nej, jeg kan uden at identificere mig sende til hvem som helst i verden, jeg
> vil. Domænet i From-linjen skal blot være hjemmehørende på mailserveren -
> alias kan være helt tilfældigt og ikke-eksisterende og domænet i To-linjen
> kan være et hvilket som helst domæne - også domæner, der ikke eksisterer på
> den pågældende mailserver.

Hejsa

Er du koblet op via den udbyder? De fleste danske IPSer tillader fri adgang til
deres SMTP servere for kunder der er koblet op hos dem.

De kan alligevel nemt finde den kunde der sender emailen via ip adressen.

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel routere.

Jacob Bunk Nielsen (18-10-2004)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 18-10-04 18:50

"Anders Lau Mandsholm" <mitfornavn@mitefternavn.name> writes:

> Nej, jeg kan uden at identificere mig sende til hvem som helst i verden, jeg
> vil. Domænet i From-linjen skal blot være hjemmehørende på mailserveren -
> alias kan være helt tilfældigt og ikke-eksisterende og domænet i To-linjen
> kan være et hvilket som helst domæne - også domæner, der ikke eksisterer på
> den pågældende mailserver.

I så fald har du fundet et åben relæ. Prøv at få
<http://www.ordb.org/> til at teste den, så kan vi andre nemlig slippe
for at få spam sendt gennem den defekt opsatte mailserver.

--
Jacob - www.bunk.cc
Wonderful day. Your hangover just makes it seem terrible.

Kai Birger Nielsen (19-10-2004)
Kommentar
Fra : Kai Birger Nielsen


Dato : 19-10-04 09:04

In <4173ceb9$0$201$edfadb0f@dread14.news.tele.dk> "Anders Lau Mandsholm" <mitfornavn@mitefternavn.name> writes:

>Jeg kan logge på diverse mail-servere via telnet og sende mails fra dem
>uden, at de afkræver mig nogen form for brugernavn og password - hverken ved
>forbindelse til mailserveren eller ved afsendelse af mails. Det eneste, det
>kræver, er blot, at jeg gætter et domæne, der er opsat på den pågældende
>mailserver og herefter kan jeg anvende et tilfældigt email-alias på det
>pågældende domæne - og dette alias behøver ikke at eksistere...!? Det er
>først, når jeg anvender en email-adresse, hvis domæne ikke er hjemmehørende
>på den pågældende server, at jeg afkræves brugernavn og password.

>Forstår slet ikke, at vi kan snakke om, at spam er et stort problem, når
>mailservere generelt (har afprøvet en håndfuld af de større udbyderes)
>tillader dette. Jeg kunne i princippet maskere min IP via diverse anonymizer
>services eller anvende en offentligt tilgængelig PC på et biblioetek el.
>lign. og herefter udsende tonsvis af spam, uden at hverken modtagerne eller
>mailserver-admins ville kunne spore mig.

>Er det en generel svaghed (af dimensioner) i SMTP-protokollen? Kan det slet
>ikke afhjælpes uden at begrænse funktionaliteten på mailserveren, som
>SPF-protokollen gør, da der således ikke kan afsendes mails fra andet end
>den mailserver, domænets MX-record peger på? Som jeg ser det, skal
>mailserveren ALTID afkræve brugernavn og password til en eksisterende konto,
>hvis man ønsker at anvende SMTP på serveren.

>/Anders
>--
>Anders Lau Mandsholm
>Stud.merc.(dat.)
>Aarhus


Det er lidt svært at komme med et fyldestgørende svar, når du ikke
skriver mere om hvad du gør. Du er velkommen til at prøve at sende
via daimi.au.dk, som jeg er postmaster for.

Hvis du mangler en lokal bruger at sende til, kan du sende til
postmaster@daimi.au.dk eller bnielsen@daimi.au.dk, og det er du
såmænd også velkommen til at bruge som falsk afsender. Det er
der i forvejen mindst en, der gør.

Mere generelt, så har problemer med hijackede pc'ere, der sender
spam ud, fået de fleste isp'ere til at lukke for port 25 til
alt andet end deres egne mailservere. Med undtagelse for brokkende
kunder med gode begrundelser.
Det er lidt begrædeligt, fordi folk med bærbare computere, så er nødt
til at pille ved mailopsætningen, hvis de flytter lidt rundt.
På den anden side er det med til at gøre VPN til et mindre onde

mvh Birger Nielsen (bnielsen@daimi.au.dk)


Anders Lund (19-10-2004)
Kommentar
Fra : Anders Lund


Dato : 19-10-04 17:11

Kai Birger Nielsen wrote:
> Det er lidt begrædeligt, fordi folk med bærbare computere, så er nødt
> til at pille ved mailopsætningen, hvis de flytter lidt rundt.

Nej, det behøver ikke at være besværligt....

Kan man ikke bare bruge brugernavn og adgangskode på den udgående (SMTP)
server? Jeg har ikke læst SMTP protokolspecifikationerne igennem og ved
derfor ikke om det er standard - men min mailserver kan sættes op til
det (det er den faktisk lige nu) og det undersøttes i hvert fald i
Outlook Express og Thunderbird.

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox

Jacob Bunk Nielsen (26-10-2004)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 26-10-04 18:38

"Anders Lau Mandsholm" <mitfornavn@mitefternavn.name> writes:

> Jeg er ikke koblet op via den pågældende udbyder, men der anvendes POP
> before SMTP, dvs. jeg frit kan sende fra min IP i op til 15 min. efter
> seneste POP. Dog kan jeg stadig frit efter denne 15 min. timeout sende til
> alle domæner på den pågældende mailserver uden at logge ind og med en falsk
> afsender-adresse. Er det så ikke blot et spørgsmål om, at lave et opslag på
> en navneserver og få en liste over alle domæner med MX-record, der peger på
> denne mailserver og så spamme alle disse?

Jo, hvis du ved hvilke domæner der har mail hostet på den server. Det
er ikke trivielt at finde ud af.

> Kan der derudover ikke laves et autmatiseret værktøj, som slår alle
> eksisterende eller et udvalg af alle eksisterende domæner op samt de
> mailservere hvert enkelt domæne er registreret på og herefter bruge hver
> enkelt mailserver til at spamme de domæner, den pågældende server betjener?

Jo, det findes skam - det hedder en mailserver - den kan selv slå
MX-records op i DNS.

.... ja, jeg ved godt at det kan laves lidt mere "smart" end som så,
hvis du har en liste med domæner, men den er som sagt ikke
nødvendigvis triviel at finde.

> Det lyder da ikke som en uoverkommelig opgave. Sådan en database ville da
> vist være guld værd for en spammer. Når jeg frit kan sende til alle domæner
> på en given mailserver fra en hvilken som helst IP uden at logge ind, så kan
> en dreven spammer vel hurtigt lave et værktøj, der automatiserer dette!?

Jo, men hvilke brugere skal han så sende til?

> De pågældende mailservere blev ikke kategoriseret som åbne relyas af
> ordb.org. Dog synes jeg at en mailserver prinicipielt altid bør anvende
> ASMTP frem for POP before SMTP, således at man altid skal logge ind med en
> eksisterende brugerkonto for at sende mails!?

Enten det, eller bare kun relaye for en bestemt flok IP-adresser. POP
before SMTP er et grimt hack fordi ASMTP var alt for længe om at blive
standardiseret og understøttet i diverse mailprogrammer. ASMTP er
heller ikke fedt, hvis ikke det er pakket ind i en eller anden form
for kryptering, nøjagtig som POP3.

--
Jacob - www.bunk.cc
Being ugly isn't illegal. Yet.

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408928
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste