Страница 3 из 5
Добавлено: 18 янв 2008, 17:49
leave
Проблема на 99% в этом. У тебя ЛЮБОЙ может изнутри отослать почту. Поставил тихенько php-mailer, побомбил рассылку на полмиллиона адресов, снес мейлер.
Добавлено: 18 янв 2008, 19:29
Llama
tes+or, у тебя фундаментальная проблема - ты не можешь однозначно идентифицировать отправителя писем. Никак. php у тебя работает под общим UID, авторизацию ты не хочшь. Тот факт, что подобный идиотизм повсеместно распространен нисколько не снимает с тебя ответсвенности за наведение порядка. Использовать sendmail можно только при работающей изоляции vhost'ов по ID.
Какие только способы не придумывают люди чтобы не делать правильно...
Добавлено: 18 янв 2008, 23:45
tes+or
а у меня работает изоляция уже, я ж говорил
Добавлено: 19 янв 2008, 11:17
Llama
tes+or, гда крути mta чтобы писал uid отправителя в логи и firewall чтобы не позволял отправлять почту процессам отличным от mta.
Добавлено: 20 янв 2008, 00:33
tes+or
в поле From: до собаки оно прямо пишет юзернейм, у меня и авторизация тупо через юникс аккаунты. говорят анахронизм, но я не пойму в чем тут проблема.
в фаерволе я пока все разрешил. всмысле написал для всех случаев правила, но пока их зааццептил, чтобы зарегестрировать факт и оценить масштабы. но проблема в том, что спам не идет! есть такое подозрение, что спамер использовал удаленную дырку на одном сайте, чтобы испльзовать локальную на другом, а после изоляции вхостов это стало невозможно. знаю, попахивает параноей и конспирологией, но я больше вариантов невижу.
Добавлено: 20 янв 2008, 01:21
tes+or
курил вот логи smtp. сначала до чертовой матери поползновений со стороны спамеров поспамить. на все поползновения по различным причинам последовал ответ - нельзя, что вполне логично, потому что я так его настроил. потом пришли всякие спамтесты и сделали примерно тоже самое, на что последовал примерно такой же ответ. это за последние 4 дня.
при этом мне сообщается что примерно 5 часов назад был спам. тогда уже был настрены айпитаблесы, и они никакого трафика не зарегестрировали вообще. всмысле инициированного MTA изнутри наружу. никто и правда почту не шлет, пока такие дела никто почтой естественно и не пользуется, поскольку я недавно ее прикрутил и никто не успел еще освоится как начались такие проблемы. ответы на внешние запросы мой фаервол не регестрирует как искомый траффик потому что я юзаю state match. щас вот попробывал отправить почту на внешний сервак - был честно словлен один пакет.
единственная догадка - они как-то обходят state match, так что исходящий траффик на 25ый порт выглядит как относящийся к входящему, но я не представляю как это возможо, ведь для этого надо на пхп или перле(!) через дырку(!) поднять демон(!) на 25ом порту, который к тому же занят(!) иначе траффик небудет проассоциирован, но тем не менее я сейчас поставлю state match _после_ проверки юзера отправляющего на 25ый порт, чтобы просто увидеть что идет и куда, но это еще большая параноя. я уже незнаю что и думать. это бред какой-то.
Добавлено: 15 фев 2008, 08:25
tes+or
жесть! я воьбще запретил на айпитаблицах все исходящие соединения на 25ый порт кроме тех, которых пропускает правило state RELATED,ESTABLISHED, но по итогам я всеравно стабильно торчу в блэклистах!
может меня блочат за то, что у меня открыт 25ый и я в одном диапазоне с юзерскими тачками с которых валит спэм? потому что спама нет и быть неможет, ну согласитесь же!
может имеет смысл купить себе айпишник и зароутить его на датацентр. реально? они вроде продаются блоками от 5ти или как там? или это я бред задумал? просто какие-то листеры залистили наш диапазон как динамический, хотя на деле это нифига не так, но факт, его так залистили.
будут догадки/советы?
Добавлено: 15 фев 2008, 08:27
tes+or
убрал RELATED оставил только ESTABLISHED
Добавлено: 15 фев 2008, 11:45
leave
tes+or, ты сервак поставил у себя дома, что ли?
Какой нах альтолан? Господи, голимая виртуалка за $15/мес тебе покатила бы под твои требования, и не было бы никаких проблем с соседями по подсети.
Добавлено: 15 фев 2008, 13:05
Llama
tes+or, попадение IP адреса в диапазоны ихзвестных диалапных и adsl-пулов - это мягко говоря не разумно для хостинга...
Кстати, если бфы ты проявил чуть больше любознательности, то заметил бы что зарезана подсеть /24 и сношать надо провайдера, это его дело- решать такие вопросы вобщем-то. Впрочем, шансов мало, "юзерские" сети вносят в спам-листы совершенно обосновано.
Добавлено: 15 фев 2008, 13:30
leave
"юзерские" сети вносят в спам-листы совершенно обосновано
А потом пров закрывает наружу 25 порт, и при это на 100% прав
Добавлено: 15 фев 2008, 16:43
Llama
leave, нет, не прав в случае 25 порта.
Добавлено: 15 фев 2008, 17:48
leave
Llama, учитывая среднестатистический уровень компьютерной грамотности - я полностью поддерживаю позицию провайдера (при условии, что на статике порт открываетяс по запросу).
Гораздо хуже, кстати, когда режут ICMP наружу - проверять живость хоста теленетом или трейсрутом ИМХО жутко неудобно.
Добавлено: 16 фев 2008, 10:42
tes+or
на алтолане сервак и стоит, вполне нормальный датацентр. мне просто нахаляву дали один айпишник из диапазона. а динамического пула по факту у нас вообще нет, есть пул из статических натов к разным адресам к котором привзяаны юзеры из разных подсетей, различные сервисы и прочее, поэтому это не динамический пул и вообще у нас все статическое, хотя юзеры за этим всем и сидят ну и спам шлют на постояне, это достоверно известно.
25ый порт закрыть нелья, потому что юзеров у нас немного и мы их бережем, а если закрыть - будет очень трудно объяснить в чем фишка. помню сам в свое время ругался на белпак что они 25ый закрыли. я то не знал тогда зачем, малой был, вот и ругался. щас то знаю, но осадочек остался.
leave: что ты называешь виртуалкой? VDS чтоли?
>сношать надо провайдера
ага, обратитесь к системному администратору. мне видимо следует иметь с собой зеркало для таких случаев, а чтобы сношать - страшно даже представить что мне надо с собой иметь.
>Гораздо хуже, кстати, когда режут ICMP наружу
никогда не видел. а зачем режут то?
а вообще я конечно понимаю что все эти резания вобщем-то совершенно адекватны, я бы вообще держал юзеров в клетках, три раза в день бил палками и кормил сырым мясом, но от этого на ряду с юзерами страдают и редкие адекватные люди. интернет в моем понимании это статический внешний айпишник со всеми портами и протоколами без каких любо приоритетов по видам и направлениям траффика, а все остальное это уже печальнее. я например постоянно страдаю из-за закрытого нетбиоса, хотя было бы удобно.
Добавлено: 16 фев 2008, 13:00
tes+or
>Кстати, если бфы ты проявил чуть больше любознательности, то заметил бы что зарезана подсеть /24
кстати вот и нифига, там для каждого айпишника свой статус, причем есть в этой подсети и айпишники с хорошим статусом, причем с них тоже идет мыло. и хотя наш диапазон и не /24 а /26 вроде, но и в нашем есть мылсервер без обратного ДНСа с которого прекрасно идет почта и которые не в блэклисте, так что происходящее как было тайной покрытой мраком, так и остается.
может оно проводит какой-то тест и ему что-то ненравится. точнее тест то оно точно проводит, по логам видно, но в чем его суть оно не признается.
я б не стал тут попусту голову дурить, я все внимательно смотрю.