ddos на GroupWise ?

[pgorvalev]

В логах GWIA обнаружил записи следующего вида:
04-09-08 14:39:10 13 DMN: MSG 819337 Recipient unknown: platonovaankal@mydomain.ru
04-09-08 14:39:17 12 DMN: MSG 819340 Recipient unknown: olgaidd@mydomain.ru
04-09-08 14:39:17 14 DMN: MSG 819342 Recipient unknown: olgait@mydomain.ru
04-09-08 14:39:27 5 DMN: MSG 819343 Recipient unknown: udmila@mydomain.ru
04-09-08 14:39:28 13 DMN: MSG 819339 Recipient unknown: olja@mydomain.ru
04-09-08 14:39:33 13 DMN: MSG 819344 Recipient unknown: polo@mydomain.ru
04-09-08 14:39:36 13 DMN: MSG 819345 Recipient unknown: koelemanjohan@mydomain.ru
04-09-08 14:39:36 5 DMN: MSG 819347 Recipient unknown: nata@mydomain.ru
04-09-08 14:39:36 13 DMN: MSG 819346 Recipient unknown: 999ams@mydomain.ru
04-09-08 14:39:42 13 DMN: MSG 819348 Recipient unknown: ivanovaolgai@mydomain.ru
04-09-08 14:39:43 5 DMN: MSG 819349 Recipient unknown: ivanovaolgaim@mydomain.ru
04-09-08 14:39:44 5 DMN: MSG 819352 Recipient unknown: natashadd@mydomain.ru
04-09-08 14:39:46 13 DMN: MSG 819355 Recipient unknown: kons@mydomain.ru
04-09-08 14:39:46 13 DMN: MSG 819355 Recipient unknown: info@mydomain.ru
04-09-08 14:39:46 14 DMN: MSG 819351 Recipient unknown: cfaa7346@mydomain.ru
04-09-08 14:39:47 5 DMN: MSG 819354 Recipient unknown: ketin@mydomain.ru
04-09-08 14:39:48 14 DMN: MSG 819358 Recipient unknown: kons@mydomain.ru
04-09-08 14:39:48 14 DMN: MSG 819358 Recipient unknown: info@mydomain.ru
04-09-08 14:39:48 13 DMN: MSG 819359 Recipient unknown: polopolo@mydomain.ru
04-09-08 14:39:49 13 DMN: MSG 819360 Recipient unknown: kons@mydomain.ru
04-09-08 14:39:49 13 DMN: MSG 819360 Recipient unknown: info@mydomain.ru
04-09-08 14:39:59 5 DMN: MSG 819362 Recipient unknown: igorm@mydomain.ru
04-09-08 14:40:02 13 DMN: MSG 819363 Recipient unknown: keti@mydomain.ru
04-09-08 14:40:08 14 DMN: MSG 819364 Recipient unknown: foteevanatalia@mydomain.ru
04-09-08 14:40:08 13 DMN: MSG 819365 Recipient unknown: keti@mydomain.ru

Собственно, список адресов на которые отсылаются сообщения постоянный, а вот ip адреса всегда (почти всегда, естественно) разные. Спамфильтр их не отлавливает (фильтр ASSP поставленый на SLES10) в ручную блокировать мало реально - заблокировал на фаерволе уже порядка 100 аресов, но активность не снижается. Судя по всему, это какой-то троян занимающийся рассылкой, но почему в мою сторону?..
Вопроса два - скока может выдержать GroupWise 6.5 на Netware 5.0? И как с этим бороться: юридически и технически?

[v13]

Самое простое - забить.
Остальное по вкусу

[Мещеряков Андрей]

Никак Россияния не случайно на втором месте по спамерской активности - деньги легкие и практически ничем не грозят... А технически - с Тварью, я думаю, ничего не будет.. если пролатана до упора.

[pgorvalev]

А кто-нибудь сталкивался с задачей шифрования исходящих почтовых сообщений из GroupWise? Или с системой шифрования PGP?
Что тут может предложить сам Novell или какие есть совместимые продукты?

[v13]

Групвайз, как и любой другой современный почтовик при возможности шифрует соединение с конечным почтовиком.
ну и сообщение внутри соответственно шифрованное.

[Сулейменов Олжас]

Групвайз, как и любой другой современный почтовик при возможности шифрует соединение с конечным почтовиком.
ну и сообщение внутри соответственно шифрованное.

с конечным ГВ-почтовиком

если, сервак чисто smtp-ный, то smtp-шифрования не происходит, насколько я знаю

если сервак ГВ, но за smtp-трафом, то происходит фаршировка ГВ-трафа в smtp, а на приемнике разворот из smtp-обертки

[Иван Иванов]

Не в тему но раз про шифрование. Тут как-то пробегала ссылочка про методику шифрования между клиентом и сервером. Ткните плиз хотя-бы в характеристики алгоритма (длина ключа, синхронный-асинхронный и т.д.).

[skoltogyan]

Например этот документ:
http://support.novell.com/techcenter/ar ... 4_05g.html
в нем есть (ближе к концу документа) такой раздел:
Addressing Security Concerns

[Иван Иванов]

Спасибою Еще бы про длину ключа что-нить. SSL они разные бывают.

[v13]

Групвайз, как и любой другой современный почтовик при возможности шифрует соединение с конечным почтовиком.
ну и сообщение внутри соответственно шифрованное.

с конечным ГВ-почтовиком

если, сервак чисто smtp-ный, то smtp-шифрования не происходит, насколько я знаю

У меня gw <-> sendmail шифрует.

[Сулейменов Олжас]

Групвайз, как и любой другой современный почтовик при возможности шифрует соединение с конечным почтовиком.
ну и сообщение внутри соответственно шифрованное.

с конечным ГВ-почтовиком

если, сервак чисто smtp-ный, то smtp-шифрования не происходит, насколько я знаю

У меня gw <-> sendmail шифрует.

и линух расшифровывает ГВ-траф?

[Иван Иванов]

Он поддерживает все основные стандарты, включая Secure Sockets Layer (SSL), Secure Multipurpose Internet Mail Extension (S/MIME), Public Key Infrastructure (PKI) и Transport Layer Security (TLS).
Взято отсюда: http://www.novell.com/russia/products/g ... rview.html
Скорее всего когда говорится между гв и сендмейл то это что-то вроде Smime шифрования.
Но эти все протоколы сейчас считаются ненадежными.

[Резников Максим]

По поводу Recipient unknown.

У меня почта сначала приходит на POSTFIX на SLES10 (с антиспамом), а потом релеется на GW.
Я разрешаю релей только по списку (кому разрешена переписка через GWIA).

В двух словах: в main.cf задан
relay_recipient_maps = hash:/etc/postfix/relay_recipients

В этом хэше перечень реальных адресатов. Его, кстати, формирую перловым скриптом из перечня адресатов Kaspersky Anti-Spam.

После введения такой меры кол-во сообщений в пиках упало с 11000 в час до 2000 в час. GW зря не напрягается (и по поводу отлупов тоже).

[Сулейменов Олжас]

Он поддерживает все основные стандарты, включая Secure Sockets Layer (SSL), Secure Multipurpose Internet Mail Extension (S/MIME), Public Key Infrastructure (PKI) и Transport Layer Security (TLS).
Взято отсюда: http://www.novell.com/russia/products/g ... rview.html
Скорее всего когда говорится между гв и сендмейл то это что-то вроде Smime шифрования.
Но эти все протоколы сейчас считаются ненадежными.

Весь процесс шифрования электронной почты проводится с помощью системы TLS (Transport Layer Security - безопасность на транспортном уровне). В основу ее работы положена аутентификация пользовательских сертификатов, позволяющая гарантировать целостность сообщений и предотвратить несанкционированный доступ к почтовому серверу. Кроме того, TLS помогает выявлять подозрительную почту и изымать ее из общего потока.

http://www.pcweek.ru/themes/detail.php?ID=53891

[pgorvalev]

В качестве антиспама использую ASSP на SLES 10.
Не сразу нашел в нем возможность проверки получателя по списку, но уже сделал. Странно что сквозь него все равно пролазит какое-то колличество писем с неправильным получателем. Пробовал включить логи в Verbos - нет посторонних подключений, все только черезе ASSP идет.

С шифрованием так и не понял.
Счас прошерстю приведенные ссылки (кстати, спасибо заранее за них ) потом если не разбирусь напишу еще