Skocz do zawartości
zlotowinfo

pisanie z niezabezpieczonych serwerów pocztowych

Polecane posty

większość darmowych skrzynek jest zabezpieczona przed podmianą adresu nadawcy

jednak dostawcy serwerów www jakoś o tym zapominają i właśnie ostatnio

zacząłem otrzymywać od samego siebie z wykupionego serwera

 

zabezpieczone:

2be.pl - smtp.2be.pl

hsms.pl - smtp/mail.hsms.pl

az.pl - mail.az.pl

castpol.pl - mail.castpol.pl

kei.pl - smtp/mail.kei.pl

mzone-net.eu - mail.mzone-net.eu

d2.pl - mail/smtp.d2.pl

webh.pl - mail/smtp.webh.pl

webd.pl - smtp/mail.webd.pl

 

niezabezpieczone:

biznes-host.pl- mail.biznes-host.pl

cal.pl - smtp/mail.cal.pl

hekko.pl - smtp/mail.hekko.pl

hitme.pl - smtp.hitme.pl

securityhost.pl - smtp.securityhost.pl

vihost.pl - mail.vihost.pl

vipower.pl - smtp.vipower.pl

ovh.pl - smtp.nazwadomeny.pl (zabezpieczony/ukryty tylko serwer adminow)

unixstorm.org- smtp/mail.unixstorm.org

linuxpl.com - mail.linuxpl.com (100%, potwierdzone dotarcie maila)

firehost.pl - smtp/mail.firehost.pl

cal.pl - smtp/mail.cal.pl

freecast.pl - smtp/mail.freecast.pl

lh.pl - smtp/mail.lh.pl

masternet.pl - mail.masternet.pl

of.pl- smtp.of.pl

 

dodam iż nie mam możliwości weryfikacji czy dany mail faktycznie doszedł

sprawdzam czy jest autoryzacja smtp na serwerze

Edytowano przez Miłosz (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

zaktualizowane i posortowane

 

jak testowano? smtp w domenie, prawidłowy mail w domenie: jako nadawca i odbiorca

 

zabezpieczone:

2be.pl - smtp.2be.pl

az.pl - mail.az.pl

castpol.pl - mail.castpol.pl

d2.pl - mail/smtp.d2.pl

hsms.pl - smtp/mail.hsms.pl

kei.pl - smtp/mail.kei.pl

mzone-net.eu - mail.mzone-net.eu

webh.pl - mail/smtp.webh.pl

webd.pl - smtp/mail.webd.pl

 

niezabezpieczone:

biznes-host.pl - mail.biznes-host.pl

cal.pl - smtp/mail.cal.pl

cjc.pl - mail.cjc.pl

firehost.pl - smtp/mail.firehost.pl

freecast.pl - smtp/mail.freecast.pl

hekko.pl - smtp/mail.hekko.pl

hitme.pl - smtp.hitme.pl

home.pl - mail.home.pl

lh.pl - smtp/mail.lh.pl

linuxpl.com - mail.linuxpl.com (100%, potwierdzone dotarcie maila)

masternet.pl - mail.masternet.pl

of.pl - smtp.of.pl

ovh.pl - smtp.nazwadomeny.pl (zabezpieczony/ukryty tylko serwer adminow)

securityhost.pl - smtp.securityhost.pl

unixstorm.org - smtp/mail.unixstorm.org

vihost.pl - mail.vihost.pl

vipower.pl - smtp.vipower.pl

forpsi.pl - problemy ze znalezieniem serwera smtp, prawdopodobnie smtp.forpsi.net ktory odrazu odrzuca

Edytowano przez zlotowinfo (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

do tej pory wykonane 2 testy na niezabezpieczonych hostach

bez żadnych autoryzacji można wysłać maila

1. o tym samym adresie co odbiorca wewnątrz serwera

2. o dowolnym adresie do użytkownika na serwerze

po za serwer nie da się wysyłać maili

 

 

jakie więc jest tu niebezpieczeństwo? znając brak bezpieczeństwa na serwerze

 

1. prosimy admina serwera/strony o zmianę maila do panelu na inny, odzyskujemy hasło na nowego maila

rozwiązanie: póki administratorzy nie poprawią błędu, nie stosować maili w własnej domenie do kontaktów z administratorami serwera

2. allegro, sklepy itp znając maila sprzedawcy (proste do ustalenia) i kupującego (trochę trudniejsze) możemy:

podać kupującemu inny numer konta lub wysyłającemu "poprawiony" adres do wysyłki z sugestią, zapomniałem lub prezent

rozwiązanie: póki administratorzy nie poprawią błędu, nie stosować do spraw biznesowych maili we własnej domenie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Przedstaw dokładną metodologię swoich testów.

Bo bez niej to lekko mało wiarygodne są te porównania, bo nie wiadomo o co chodzi.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

adres nadawcy: dowolny - np. admin@dupazimna.pl

adres odbiorcy: prawidłowy na danym serwerze np. admin@domena.pl

smtp: prawidlowy do adresu odbiorcy np. smtp.domena.pl

bez podawania żadnych haseł, więc i autoryzacja smtp też musi być wyłączona w programie pocztowym

 

jak jesteś na jednym z bugowych serwerów podaj maila :)

Edytowano przez zlotowinfo (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

historia zabezpieczeń:

 

castpol.pl został zabezpieczony, polecam za extremalnie szybką reakcję

 

masternet.pl (jak sądzę) stwierdził że problem da się obejść, poprostu blokując moje ip,

ale wiemy że to ma często właściwość zmienności

Edytowano przez zlotowinfo (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Może zwyczajnie system Cię wyciął skoro tak się bawiłeś, ale skoro dla Ciebie wycięcie adresu IP przez firmę jest rozwiązaniem problemu to cóż...

Chyba nawet nie ma dnia w którym system by jakiś adres nie zbanował..

 

Pomijajać już fakt publikacji takich informacji publicznie bez żadnego zwykłego poinformowania.

Przemyśl sobie zanim następnym razem coś napiszesz.

Edytowano przez MasterNETpl (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Podaj zapis całej sesji SMTP.

Jeśli robisz to przez jakieś MUA, to podaj, czy miałeś kiedykolwiek na serwerze skonfigurowane konto pocztowe.

 

Chociaż z drugiej strony.

To jeśli podajesz domenę bez rekordu SPF, to jak serwer ma stwierdzić, czy jesteś autoryzowanym nadawcą?

Może cię co najwyżej wyrżnąć albo na RBLu, albo EHLO checkiem.

Ewentualnie w wersji hard (to robiły polskie portale swego czasu) jeśli domena FROM nie miała rekordu SPF, to odrzucały permanentnie przesyłkę.

Ale jak spreparujesz całkowicie poprawną sesję SMTP, to nie widzę powodu, dla której miał by to odrzucić.

 

 

Więc wypada kolego, że musisz poczytać o protokole SMTP, zanim zaczniesz oskarżać ludzi o "dziury" :)

Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

darmowe serwisy poczty łatały tę dziurę pare lat temu, prawdopodobnie w związku ze spamem niewiadomego pochodzenia

"profesjonalne" najwyraźniej przegapiły ten moment

 

 

używam zwykłego programu pocztowego (foxmail) więc nie mam historii takowych operacji

jakim programem dokladnie takie wysyłanie prześledzić?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Darmowe serwery pocztowe, które tak ładnie nazywasz, to mają inne SMTP dla klientów końcowych, a inne działające jako MXy. Jeśli (przykładowo) zamiast do smtp.wp.pl podłączysz się do mx.wp.pl, to wtedy czeka cię mały ZONK.

TEŻ wyślesz maila bez autoryzacji :) z domeny ktoś@tam.pl do ktoś@wp.pl.

 

W ramach dowodowych: http://prntscr.com/1sd33

Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

zaktualizowane i posortowane

[...]

vihost.pl - mail.vihost.pl

vipower.pl - smtp.vipower.pl[/size]

forpsi.pl - problemy ze znalezieniem serwera smtp, prawdopodobnie smtp.forpsi.net ktory odrazu odrzuca

 

dig forpsi.pl mx +short
10 mx.forpsi.com.

 

Bez urazy - ale daruj sobie te 'testy', bo widać że nie masz pojęcia o protokole SMTP ani o tym jak działają serwery poczty.

 

darmowe serwisy poczty łatały tę dziurę pare lat temu, prawdopodobnie w związku ze spamem niewiadomego pochodzenia

"profesjonalne" najwyraźniej przegapiły ten moment

 

Jaką "dziurę"? To nie jest dziura, serwery SMTP przesyłają maile pomiędzy sobą bez autoryzowania się. Jeśli na niektórych zostałeś "odpałowany" to raczej z powodów filtrów SPF, greylisty albo innych warunków o których nie masz pojęcia.

Edytowano przez guziec (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys
Ewentualnie w wersji hard (to robiły polskie portale swego czasu) jeśli domena FROM nie miała rekordu SPF, to odrzucały permanentnie przesyłkę.

To generalnie nie jest takie złe, SPF nie jest jakąś nowością i powinien być odpowiednio skonfigurowany.

Hardkorowe było by odrzucanie na podstawie DKIM :)

 

W sumie temat do kosza...

 

ps. Mzone za co dałeś tą reputacje ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
To generalnie nie jest takie złe

Nie jest złe, póki klienci delegują domeny na nameservery hostingu i nic nie grzebią w DNS.

Ale często było tak - co to za badziewna konfiguracja poczty że mi maile do onetu nie dochodzą...

A klient ofc. bez winy - rekord @/A, www/A, @/MX, ale SPF/TXT brak. I tłumacz mu, że to jego wina... :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie jest złe, póki klienci delegują domeny na nameservery hostingu i nic nie grzebią w DNS.

Ale często było tak - co to za badziewna konfiguracja poczty że mi maile do onetu nie dochodzą...

A klient ofc. bez winy - rekord @/A, www/A, @/MX, ale SPF/TXT brak. I tłumacz mu, że to jego wina... :)

 

Zgadza się, dlatego u mnie po wejściu do panelu DNS pojawia się:

 

Modyfikacja stref na serwerze DNS jest polecana jedynie zaawansowanym użytkownikom. Nie zalecamy eksperymentowania z ustawieniami.

 

Mimo iż system sprawdza i pilnuje aby wprowadzane dane miały poprawny format i składnię, to nie jest w stanie wykryć błędów merytorycznych - podania złego adres IP lub literówek w nazwie hosta.

 

Jeśli nie jesteś pewien jak powinien wyglądać dany wpis, lepiej skontaktuj się z naszym działem pomocy - mailowo lub telefonicznie. Pomoc techniczna jest bezpłatna.

 

Oraz

 

Prosimy zachować szczególną ostrożność, gdyż nieprawidłowe wpisy dla domeny mogą spowodować że Twoja witryna przestanie być widoczna w Internecie, a na Twoje skrzynki e-mail przestanie przychodzić poczta!

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A co, jeśli klient zaparkuje sobie domenę na jakimś FreeDNS i źle doda rekordy (o takim przypadku właśnie pisałem)?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A co, jeśli klient zaparkuje sobie domenę na jakimś FreeDNS i źle doda rekordy (o takim przypadku właśnie pisałem)?

 

No cóż, to już jego odpowiedzialność. Mam kilka takich przypadków - ludzie mają domeny w OVH albo właśnie na freedns.42.pl - ale to wystarczy w trzech zdaniach wyjaśnić co jest źle i dlaczego. Zresztą o błedach na swoim koncie czy w konfiguracji DNS to zazwyczaj klient się dowiaduje ode mnie, nie ja od niego. :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Darmowe serwery pocztowe, które tak ładnie nazywasz, to mają inne SMTP dla klientów końcowych, a inne działające jako MXy. Jeśli (przykładowo) zamiast do smtp.wp.pl podłączysz się do mx.wp.pl, to wtedy czeka cię mały ZONK.

TEŻ wyślesz maila bez autoryzacji :P z domeny ktoś@tam.pl do ktoś@wp.pl.

 

W ramach dowodowych: http://prntscr.com/1sd33

 

i czemu klamiesz? wpisałem w programie pocztowym

nadawca: dupazimna@wp.pl (potem także prawidłowy mail na wp)

odbiorca: prawidlowy mail na wp

serwer smtp: mx.wp.pl

 

efekt? mail nie wysłał się, server reply 550

przypominam iż cały czas piszę o zwykłym wysyłaniu programem pocztowym

przez serwery smtp których admini zapomnieli zabezpieczyć jakąkolwiek autoryzacją

 

 

podtrzymuję zatem moje zdanie że większosc "profesjonalnych" hostingow ma dziurawe serwery pocztowe

Edytowano przez zlotowinfo (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mówimy o adresie nadawcy

adres nadawcy: dowolny - np. admin@dupazimna.pl

a nie o nadawcy znajdującym się na tym samym serwerze

nadawca: dupazimna@wp.pl (potem także prawidłowy mail na wp)
Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

przy dziurawych serwerach nadawca może być dowolny

przed chwilą potwierdzone, użytkownik home.pl dostał maila od i do swojego serwera poczty

maila od admin@dupazimna.pl, naturalnie wysłałem bez żadnego hasła

Edytowano przez zlotowinfo (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Może zwyczajnie system Cię wyciął skoro tak się bawiłeś, ale skoro dla Ciebie wycięcie adresu IP przez firmę jest rozwiązaniem problemu to cóż...

Chyba nawet nie ma dnia w którym system by jakiś adres nie zbanował..

 

potwierdzam wycięcie IP nie jest właściwym rozwiązaniem, tym bardziej że IP zmienić nie problem

więc jedno z trzech:

 

1. nie do końca logiczne:

admin zna bug i przygotował system by banować wykorzystujących go

 

2. sensowne:

zauważono problem i zablokowano IP nadawcy maila, by zidentyfikować i wprowadzić poprawkę

 

3. nie potrafię w tej chwili wydedukować, czas spać

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pieprzysz jak potłuczony o jakichś bugach i dziurach, nie znając podstaw działania serwerów pocztowych, wróć, jak się delikatnie ogarniesz i to, co wypisujesz, będzie się chociaż częściowo pokrywać z prawdą.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Mruczek

Zrozum, człowieku! Taka jest idea SMTP, że pocztę dla "swojej" domeny trzeba przyjmować bez autoryzacji, bo jak ktoś by Ci mógł dostarczyć dowolnego maila? Każde dodatkowe zabezpieczenie nie wynika z braku autoryzacji, ale z zabezpieczeń antyspamowych, które czasem potrafią całkiem nieznośne :-)

 

Porównaj sobie e-maila do rzeczywistej poczty. Ty robisz tak: podchodzisz do skrzynki Jana Kowalskiego w bloku i wrzucasz mu (to Twój adres w "sprawdzanej" domenie") list w którym jako nadawcę wpisujesz: Ziutek Robaczek, ul. Myszek 12, 31-111 Rybkowo (to Twój dowolny nadawca). Czy adresat dostanie list?

 

Jeszcze jedno. Ja osobiście wolę dostać 10 "spamów", niż nie dostać jednego ważnego maila, stąd wolę antyspam lokalnie na komputerze, niż jakieś dziwaczne filtrowanie na serwerze.

Edytowano przez Mruczek (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość
Temat jest zablokowany i nie można w nim pisać.

×