VZ | Falšování DNS - nefungují antirelay pravidla |
| Narazil jsem v logu na zvláštní informace o přeposílání mailů. Přestože jsou antirelay pravidla na inbound nastaveny pořád stejně, dnes něco po 4:00 se v logu objevily úspěšné SMTP pokusy o přeposlání e-mailů z cizí domény na jinou cizí doménu. Server, který se připojoval, měl jinou IP adresu, než SMTP server na Dominu, ale kupodivu v logu má stejné DNS jméno jako náš server. Veřejné IP adresy u serveru, který to zřejmě odesílá na náš SMTP, se mění, ale jeho DNS jméno je v logu vždy stejné jako DNS jméno našeho serveru. Že by došlo k nějakému napadení a zfalšování našich DNS záznamů? Domino pravděpodobně nějak vyhodnotí podle DNS jména, že to odesílá samo, a tím pádem asi neuplatní antirelay pravidla. Je takový scénář vůbec možný? | VZ | Přesnější popis | 13.01.2010 12:09:49
ID: 3089.1
| Po vyzkoušení několika různých relay testů z internetu (např. link1 ) se nastavení antirelay policy ukazuje ve všech testovaných případech v pořádku. Přesto zřejmě existuje výše uvedený způsob, jak obejít antirelay pravidla na Dominu. DNS záznamy jsou v pořádku, ale při kontrole posledního měsíce logů se ukázalo, že i v prosinci 2009 byly takové případy, kdy nastavená, zkontrolovaná a otestovaná antirelay pravidla nezafungovala. Scénář v logu je vždy stejný, ale poměrně obtížně vyhledatelný:
'správné DNS jméno serveru, ale cizí public IP address 12.01.2010 04:05:13 SMTP Server: nasMXserver.nasedomena.cz (222.254.67.103) connected
12.01.2010 04:05:21 SMTP Server: Recipient: <tygr.centrum@cizi-domena.cz>
12.01.2010 04:05:22 SMTP Server: Message 0010F89C (MessageID: <000b01ca9333$fad2bad0$00426158@yhiclsudkp>) received from nasMXserver.nasedomena.cz (222.254.67.103) size 759 bytes
12.01.2010 04:05:23 SMTP Server: nasMXserver.nasedomena.cz (222.254.67.103) disconnected. 10 message[s] received
12.01.2010 04:05:58 Router: [0000000E] Transferring mail to domain CIZI-DOMENA.CZ (host server.CIZI-DOMENA.CZ [217.31.61.210]) via SMTP
12.01.2010 04:05:59 Router: Transferred 1 messages to CIZI-DOMENA.CZ (host server.CIZI-DOMENA.CZ) via SMTP
12.01.2010 04:05:59 Router: Message 0010F89C transferred to server.CIZI-DOMENA.CZ for tygr.centrum@cizi-domena.cz from cbalrokqf@sound-events.be OFDC434F92:8D1FFC83 ONC12576A9:0010F89C Size: 1K via SMTP
Často ten relay na cizí domény neprošel, buď cílový server nefungoval anebo odmítl přijmout takový spam na základě svých antirelay pravidel. V některých případech to však prošlo.
Pokud bylo na začátku SMTP komunikace cizí DNS jméno a cizí adresa, např.: dd.mm.yyyy hh:mm:ss SMTP Server: nejakyserver.nejakadomena.com (nejakaIPadresa) connected tak se antirelay pravidla uplatnila bez problémů. | VZ | Prozatímní opatření | 13.01.2010 12:21:09
ID: 3089.2
| Je nepravděpodobné, že MX server bude odesílat SMTP zprávy sám sobě pod svým DNS jménem. Takže jsem přidal do antirelay pravidel ještě jedno. V Configuration dokumentu jsem do "Router/SMTP" - "Restrictions and Controls" - "SMTP inbound controls" - pole "Deny messages from the following internet hosts to be sent to external internet domains:(* means all)" zadal jeho DNS jméno (např. nasMXserver.nasedomena.cz ).
Na další MX serverech se stejnými antirelay pravidly jsem takové chování zatím nezaznamenal. Asi bude nutné napsat podle výše uvedeného scénáře nějaký vlastní SMTP test, který by průběh toho chování s vyřazením antirelay pravidel ověřil. | VZ | Jiné políčko | 13.01.2010 13:07:20
ID: 3089.3
| Předchozí prozatímní opatření nefungovalo. Přesunul jsem to DNS jméno do pole "Deny connections from the following SMTP internet hostnames/IP addresses:". Tam to podle "Miscellaneous Events" v logu funguje. Doufám, že to nebude mít nějaké nechtěné vedlejší účinky. |
|