Postfix - security, wpadka - rozwiązana zagadka.
Tomasz Wittner
lists w mmt.pl
Śro, 13 Sie 2003, 08:09:20 CEST
Dnia śro 13. sierpnia 2003 00:29, Tomasz Wittner napisał:
> Witam,
Jest już chyba OK.
> Dzisiaj spotkała mnie przykra niespodzianka. Wszyscy userzy dostali maila z
> robakiem Worm.Mimail.A . Nagłówek wiadomości:
>
> Return-Path: <admin w mmt.pl>
> Delivered-To: user w mmt.pl
> Received: from localhost (dns5.mmt.pl [62.148.92.148])
> by dns1.mmt.pl (Postfix) with SMTP id 3871840A9
> for <user w mmt.pl>; Tue, 12 Aug 2003 14:45:03 +0200 (CEST)
> From: admin w mmt.pl
>
> Reply-To: admin w mmt.pl
> X-Mailer: The Bat! (v1.61)
>
> z /var/log/maillog:
> postfix/qmgr[7941]: 152B640AA: from=<admin w mmt.pl>, size=37335, nrcpt=1
> (queue active)
> Aug 12 14:46:29 dns1 postfix/local[20475]: 152B640AA: to=<user w mmt.pl>,
> relay=local, delay=38, status=sent (mailbox)
>
> Wygląda to nieciekawie.
>
> Miałem postfix-1.1.11-7 (był - zbudowałem już nowszego)
Bo na serwerkach nie korzystam z general, a tam był nowszy postfix, a nie w
security.
> Jak to się ma/może mieć do ostatnich sec. adv. z:
> http://www.debian.org/security/2003/dsa-363
> http://marc.theaimsgroup.com/?l=bugtraq&m=106001525130257&w=2
To numery z opisów powyżej. Zastosowałem rady lcamtuf i mam teraz:
Aug 13 00:37:53 dns1 postfix/smtpd[26979]: connect from
bm.wsz-pou.edu.pl[62.89.114.196]
Aug 13 00:37:53 dns1 postfix/smtpd[26979]: 4902F40A7:
client=bm.wsz-pou.edu.pl[62.89.114.196]
Aug 13 00:37:53 dns1 postfix/smtpd[26979]: reject: RCPT from
bm.wsz-pou.edu.pl[62.89.114.196]: 550 <.!>: Sender address rejected:
Sender-specified routing rejected; from=<.!> to=<someuser123@[127.0.0.1]>
Aug 13 00:38:05 dns1 postfix/smtpd[26981]: connect from
bm.wsz-pou.edu.pl[62.89.114.196]
[...]
client=bm.wsz-pou.edu.pl[62.89.114.196]
Aug 13 00:38:18 dns1 postfix/smtpd[26981]: reject: RCPT from
bm.wsz-pou.edu.pl[62.89.114.196]: 550 <.!>: Sender address rejected:
Sender-specified routing rejected; from=<.!> to=<someuser123@[127.0.0.1]>
Aug 13 00:38:38 dns1 postfix/smtpd[26981]: lost connection after RCPT from
bm.wsz-pou.edu.pl[62.89.114.196]
Aug 13 00:38:38 dns1 postfix/smtpd[26981]: disconnect from
bm.wsz-pou.edu.pl[62.89.114.196]
[...]
Aug 13 00:38:56 dns1 postfix/smtpd[26979]: connect from
bm.wsz-pou.edu.pl[62.89.114.196]
Aug 13 00:39:07 dns1 postfix/smtpd[26979]: 5A7EB40A7:
client=bm.wsz-pou.edu.pl[62.89.114.196]
Aug 13 00:39:18 dns1 postfix/smtpd[26979]: reject: RCPT from
bm.wsz-pou.edu.pl[62.89.114.196]: 554 <blabla w dupa.com>: Recipient address
rejected: Relay access denied.; from=<.!> to=<blabla w dupa.com>
Aug 13 00:39:36 dns1 postfix/smtpd[26981]: connect from
bm.wsz-pou.edu.pl[62.89.114.196]
Aug 13 00:39:36 dns1 postfix/smtpd[26981]: lost connection after CONNECT from
bm.wsz-pou.edu.pl[62.89.114.196]
Aug 13 00:39:36 dns1 postfix/smtpd[26981]: disconnect from
bm.wsz-pou.edu.pl[62.89.114.196]
Aug 13 00:39:38 dns1 postfix/smtpd[26979]: lost connection after RCPT from
Pozdrawiam,
Tomek
--
Tomasz Wittner
skill -STOP `whoami`
Więcej informacji o liście dyskusyjnej pld-users-pl