---

Hej alle,

Min mailserver bliver flooded med mails fra diverse mailservere til
ukendte konti hos mig. Det pussige er, at når jeg sporer adresserne,
benytter de alle Squirrelmail som webmail.

Any comments?

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

On Sun, 02 Jan 2005 00:16:05 +0100, Michael Rasmussen wrote:

> Min mailserver bliver flooded med mails fra diverse mailservere til
> ukendte konti hos mig. Det pussige er, at når jeg sporer adresserne,
> benytter de alle Squirrelmail som webmail.

Et gæt:

Spammere er generelt gode til at crack'e passwords, tror jeg. Og når et
mail-password er crack'et, kan man udnytte webmail-systemer til at afsende
mails, idet webmail-systemer normalt ikke begrænser på afsenderens
IP-nummer.

Hvis det er sandt, at det særlig er Squirrelmail, der benyttes til den
slags, skyldes det vel, at spammer-programmøren har fundet Squirrelmail
lettest at benytte og/eller at Squirrelmail har stor udbredelse. Måske
Squirrelmail mangler at sleep'e lidt efter mislykkede login-forsøg? -
Anyways: Hvis Squirrelmail strammer op, vil spammer-programmøren sikkert
finde et andet webmail-system; fidusen med webmail-systemer er jo egentlig
ret god.

En effektiv måde at dæmme op på det på er antagelig at tilføje
"sikkerheds-grafikelementer" ved login-dialoger, og ikke kun ved
account-setups. Med sikkerheds-grafikelementer mener jeg de stumper grafik
med bogstaver i forskellig rotationsgrad og fonte, som gør det svært for
andet end mennesker at tyde dem.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

On Sun, 02 Jan 2005 00:47:55 +0100, Troels Arvin wrote:
[...]
> En effektiv måde at dæmme op på det på er antagelig at tilføje
> "sikkerheds-grafikelementer" ved login-dialoger, og ikke kun ved
> account-setups.
[...]

- Og så selvfølgelig forsøge at gennemtvinge en fornuftig
password-kvalitet, når post-brugerne vælger/skifter passwords. Dette kan
dog virke irriterende for brugerne, så der er nok en del ISPer, der vil
tøve med den slags.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

On Sun, 02 Jan 2005 00:58:07 +0100, Troels Arvin wrote:

>
> - Og så selvfølgelig forsøge at gennemtvinge en fornuftig
> password-kvalitet, når post-brugerne vælger/skifter passwords. Dette kan
> dog virke irriterende for brugerne, så der er nok en del ISPer, der vil
> tøve med den slags.
Gode passwords har ringe kår
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

On Sun, 02 Jan 2005 00:47:55 +0100, Troels Arvin wrote:

>
> Hvis det er sandt, at det særlig er Squirrelmail, der benyttes til den
> slags, skyldes det vel, at spammer-programmøren har fundet Squirrelmail
> lettest at benytte og/eller at Squirrelmail har stor udbredelse. Måske
> Squirrelmail mangler at sleep'e lidt efter mislykkede login-forsøg? -
Hvis muligheden for sleep mellem forgæves login-forsøg eksisterer,
findes der ingen dokumentation af, hvordan den anvendes. Mit bud er, at en
sådan ikke findes!
> Anyways: Hvis Squirrelmail strammer op, vil spammer-programmøren
> sikkert finde et andet webmail-system; fidusen med webmail-systemer er
> jo egentlig ret god.
Ja, jeg anvender det selv til at tilgå mine mailkonti udefra. Hellere det
end at åbne op for imap og pop3 udefra.
>
> En effektiv måde at dæmme op på det på er antagelig at tilføje
> "sikkerheds-grafikelementer" ved login-dialoger, og ikke kun ved
> account-setups. Med sikkerheds-grafikelementer mener jeg de stumper
> grafik med bogstaver i forskellig rotationsgrad og fonte, som gør det
> svært for andet end mennesker at tyde dem.
Ja og nej, kvaliteten af det jeg har set, er så ringe, at det væsentligt
forringer anvendeligheden. Tag f.eks. implementationen på sourgeforge.net
eller php.net; den er så ringe, at jeg 9 ud af 10 gange må genindlæse
siden adskillige gange, før jeg er i stand til at tyde tegnene i
grafikken. Så sålænge kvaliteten er af den beskaffenhed, ønsker jeg
ikke selv at benytte den.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Michael Rasmussen skrev:

> Troels Arvin wrote:
>> Squirrelmail

> Ja, jeg anvender det selv til at tilgå mine mailkonti udefra.
> Hellere det end at åbne op for imap og pop3 udefra.

Hvilken IMAP- og POP3-server anvender du?

Det kunne være rart at vide, da der må være noget galt med dem siden
du ikke vil eksponere dem for omverden, det kunne også være rart at
vide hvorfor du ikke vil eksponere IMAP og POP3.

Jeg er selv ved at tage de indledende skridt til at skifte fra Mail-
Enable til SmarterMail og håber ikke at det er sidstnævnte du anven-
der og ikke stoler på.

---

On Sun, 02 Jan 2005 18:44:39 +0100, Peder Vendelbo Mikkelsen wrote:

> det kunne også være rart at
> vide hvorfor du ikke vil eksponere IMAP og POP3.

Det undrer jeg mig også over: Jeg har svært ved at se, hvorfor HTTP per
definition skulle være en sikrere protokol end IMAP.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

On Sun, 02 Jan 2005 19:27:13 +0100, Troels Arvin wrote:

>
> Det undrer jeg mig også over: Jeg har svært ved at se, hvorfor HTTP per
> definition skulle være en sikrere protokol end IMAP.
Den er ikke mere sikker, men jeg vil gerne have gæster til min webserver.
Læsning af mails er kun beregnet til kendte brugere af systemet.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

On Sun, 02 Jan 2005 18:44:39 +0100, Peder Vendelbo Mikkelsen wrote:

>
> Hvilken IMAP- og POP3-server anvender du?
>
Courier-imap. Lad dig ikke forlede, den har også pop3.

> Det kunne være rart at vide, da der må være noget galt med dem siden
> du ikke vil eksponere dem for omverden, det kunne også være rart at
> vide hvorfor du ikke vil eksponere IMAP og POP3.
>
Der er skam ikke noget galt med den - jeg vil tro, den hører til en af de
mest sikre. At jeg så ikke vil åbne udaf til, skyldes en principiel
holdning: Jo flere åbne porte ud, jo flere muligheder for indtrængen.

> Jeg er selv ved at tage de indledende skridt til at skifte fra Mail-
> Enable til SmarterMail og håber ikke at det er sidstnævnte du anven-
> der og ikke stoler på.
Jeg kender ingen af dem.
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917