proNovell


http://novell.org.ru/forum/

ddos на GroupWise ?

http://novell.org.ru/forum/viewtopic.php?f=1&t=9613

Страница 1 из 2

ddos на GroupWise ?

СообщениеДобавлено: 09 апр 2008, 14:47
pgorvalev
В логах GWIA обнаружил записи следующего вида:
04-09-08 14:39:10 13 DMN: MSG 819337 Recipient unknown: platonovaankal@mydomain.ru
04-09-08 14:39:17 12 DMN: MSG 819340 Recipient unknown: olgaidd@mydomain.ru
04-09-08 14:39:17 14 DMN: MSG 819342 Recipient unknown: olgait@mydomain.ru
04-09-08 14:39:27 5 DMN: MSG 819343 Recipient unknown: udmila@mydomain.ru
04-09-08 14:39:28 13 DMN: MSG 819339 Recipient unknown: olja@mydomain.ru
04-09-08 14:39:33 13 DMN: MSG 819344 Recipient unknown: polo@mydomain.ru
04-09-08 14:39:36 13 DMN: MSG 819345 Recipient unknown: koelemanjohan@mydomain.ru
04-09-08 14:39:36 5 DMN: MSG 819347 Recipient unknown: nata@mydomain.ru
04-09-08 14:39:36 13 DMN: MSG 819346 Recipient unknown: 999ams@mydomain.ru
04-09-08 14:39:42 13 DMN: MSG 819348 Recipient unknown: ivanovaolgai@mydomain.ru
04-09-08 14:39:43 5 DMN: MSG 819349 Recipient unknown: ivanovaolgaim@mydomain.ru
04-09-08 14:39:44 5 DMN: MSG 819352 Recipient unknown: natashadd@mydomain.ru
04-09-08 14:39:46 13 DMN: MSG 819355 Recipient unknown: kons@mydomain.ru
04-09-08 14:39:46 13 DMN: MSG 819355 Recipient unknown: info@mydomain.ru
04-09-08 14:39:46 14 DMN: MSG 819351 Recipient unknown: cfaa7346@mydomain.ru
04-09-08 14:39:47 5 DMN: MSG 819354 Recipient unknown: ketin@mydomain.ru
04-09-08 14:39:48 14 DMN: MSG 819358 Recipient unknown: kons@mydomain.ru
04-09-08 14:39:48 14 DMN: MSG 819358 Recipient unknown: info@mydomain.ru
04-09-08 14:39:48 13 DMN: MSG 819359 Recipient unknown: polopolo@mydomain.ru
04-09-08 14:39:49 13 DMN: MSG 819360 Recipient unknown: kons@mydomain.ru
04-09-08 14:39:49 13 DMN: MSG 819360 Recipient unknown: info@mydomain.ru
04-09-08 14:39:59 5 DMN: MSG 819362 Recipient unknown: igorm@mydomain.ru
04-09-08 14:40:02 13 DMN: MSG 819363 Recipient unknown: keti@mydomain.ru
04-09-08 14:40:08 14 DMN: MSG 819364 Recipient unknown: foteevanatalia@mydomain.ru
04-09-08 14:40:08 13 DMN: MSG 819365 Recipient unknown: keti@mydomain.ru

Собственно, список адресов на которые отсылаются сообщения постоянный, а вот ip адреса всегда (почти всегда, естественно) разные. Спамфильтр их не отлавливает (фильтр ASSP поставленый на SLES10) в ручную блокировать мало реально - заблокировал на фаерволе уже порядка 100 аресов, но активность не снижается. Судя по всему, это какой-то троян занимающийся рассылкой, но почему в мою сторону?..
Вопроса два - скока может выдержать GroupWise 6.5 на Netware 5.0? И как с этим бороться: юридически и технически?

СообщениеДобавлено: 09 апр 2008, 15:52
v13
Самое простое - забить.
Остальное по вкусу ;-)

СообщениеДобавлено: 09 апр 2008, 16:31
Мещеряков Андрей
Никак :lol: Россияния не случайно на втором месте по спамерской активности - деньги легкие и практически ничем не грозят... А технически - с Тварью, я думаю, ничего не будет.. если пролатана до упора.

Чтобы не создавать новую тему

СообщениеДобавлено: 11 апр 2008, 13:05
pgorvalev
А кто-нибудь сталкивался с задачей шифрования исходящих почтовых сообщений из GroupWise? Или с системой шифрования PGP?
Что тут может предложить сам Novell или какие есть совместимые продукты?

СообщениеДобавлено: 11 апр 2008, 15:29
v13
Групвайз, как и любой другой современный почтовик при возможности шифрует соединение с конечным почтовиком.
ну и сообщение внутри соответственно шифрованное.

СообщениеДобавлено: 14 апр 2008, 10:42
Сулейменов Олжас
v13 писал(а):Групвайз, как и любой другой современный почтовик при возможности шифрует соединение с конечным почтовиком.
ну и сообщение внутри соответственно шифрованное.


с конечным ГВ-почтовиком

если, сервак чисто smtp-ный, то smtp-шифрования не происходит, насколько я знаю

если сервак ГВ, но за smtp-трафом, то происходит фаршировка ГВ-трафа в smtp, а на приемнике разворот из smtp-обертки

СообщениеДобавлено: 14 апр 2008, 13:17
Иван Иванов
Не в тему но раз про шифрование. Тут как-то пробегала ссылочка про методику шифрования между клиентом и сервером. Ткните плиз хотя-бы в характеристики алгоритма (длина ключа, синхронный-асинхронный и т.д.).

Отвечаю

СообщениеДобавлено: 14 апр 2008, 13:31
skoltogyan
Например этот документ:
http://support.novell.com/techcenter/ar ... 4_05g.html
в нем есть (ближе к концу документа) такой раздел:
Addressing Security Concerns

СообщениеДобавлено: 14 апр 2008, 20:53
Иван Иванов
Спасибою Еще бы про длину ключа что-нить. SSL они разные бывают.

СообщениеДобавлено: 15 апр 2008, 16:54
v13
Сулейменов Олжас писал(а):
v13 писал(а):Групвайз, как и любой другой современный почтовик при возможности шифрует соединение с конечным почтовиком.
ну и сообщение внутри соответственно шифрованное.


с конечным ГВ-почтовиком

если, сервак чисто smtp-ный, то smtp-шифрования не происходит, насколько я знаю

У меня gw <-> sendmail шифрует.

СообщениеДобавлено: 16 апр 2008, 08:09
Сулейменов Олжас
v13 писал(а):
Сулейменов Олжас писал(а):
v13 писал(а):Групвайз, как и любой другой современный почтовик при возможности шифрует соединение с конечным почтовиком.
ну и сообщение внутри соответственно шифрованное.


с конечным ГВ-почтовиком

если, сервак чисто smtp-ный, то smtp-шифрования не происходит, насколько я знаю

У меня gw <-> sendmail шифрует.


и линух расшифровывает ГВ-траф?

СообщениеДобавлено: 16 апр 2008, 09:35
Иван Иванов
Он поддерживает все основные стандарты, включая Secure Sockets Layer (SSL), Secure Multipurpose Internet Mail Extension (S/MIME), Public Key Infrastructure (PKI) и Transport Layer Security (TLS).
Взято отсюда: http://www.novell.com/russia/products/g ... rview.html
Скорее всего когда говорится между гв и сендмейл то это что-то вроде Smime шифрования.
Но эти все протоколы сейчас считаются ненадежными.

По поводу Recipient unknown

СообщениеДобавлено: 16 апр 2008, 11:23
Резников Максим
По поводу Recipient unknown.

У меня почта сначала приходит на POSTFIX на SLES10 (с антиспамом), а потом релеется на GW.
Я разрешаю релей только по списку (кому разрешена переписка через GWIA).

В двух словах: в main.cf задан
relay_recipient_maps = hash:/etc/postfix/relay_recipients

В этом хэше перечень реальных адресатов. Его, кстати, формирую перловым скриптом из перечня адресатов Kaspersky Anti-Spam.

После введения такой меры кол-во сообщений в пиках упало с 11000 в час до 2000 в час. GW зря не напрягается (и по поводу отлупов тоже).

СообщениеДобавлено: 17 апр 2008, 10:43
Сулейменов Олжас
Иван Иванов писал(а):Он поддерживает все основные стандарты, включая Secure Sockets Layer (SSL), Secure Multipurpose Internet Mail Extension (S/MIME), Public Key Infrastructure (PKI) и Transport Layer Security (TLS).
Взято отсюда: http://www.novell.com/russia/products/g ... rview.html
Скорее всего когда говорится между гв и сендмейл то это что-то вроде Smime шифрования.
Но эти все протоколы сейчас считаются ненадежными.


Весь процесс шифрования электронной почты проводится с помощью системы TLS (Transport Layer Security - безопасность на транспортном уровне). В основу ее работы положена аутентификация пользовательских сертификатов, позволяющая гарантировать целостность сообщений и предотвратить несанкционированный доступ к почтовому серверу. Кроме того, TLS помогает выявлять подозрительную почту и изымать ее из общего потока.

http://www.pcweek.ru/themes/detail.php?ID=53891

Про спам

СообщениеДобавлено: 18 апр 2008, 17:58
pgorvalev
В качестве антиспама использую ASSP на SLES 10.
Не сразу нашел в нем возможность проверки получателя по списку, но уже сделал. Странно что сквозь него все равно пролазит какое-то колличество писем с неправильным получателем. Пробовал включить логи в Verbos - нет посторонних подключений, все только черезе ASSP идет.

С шифрованием так и не понял. :(
Счас прошерстю приведенные ссылки (кстати, спасибо заранее за них ) потом если не разбирусь напишу еще :)
Часовой пояс: UTC + 3 часа [ Летнее время ]
Страница 1 из 2
2002-2010 proNovell Team
http://www.novell.org.ru/