SMTP e telnet 25

[hell_bd]

Salve a tutti,
Volevo sottoporre un problema che non sono ancora stato in grado di risolvere: come impedire a qualcuno di telnettare sul mio mailserver passando dalla porta 25 e inserendo comandi ESMTP !

La mia struttura è la seguente:
firewall ASTARO V4 con SMTP proxy attivo
le richieste vengono filtrare dal firewall e poi inoltrate al mailserver ( win2000 server sp4 con winupdate al 5/2/05 )
sistema di posta utilizzato DOMINO 6.5.3

A prescindere dal fatto che non posso bloccare la porta 25 sul firewall, volevo sapere come posso impedire a qualche "simpaticone" di iniziare a telnettare sull'ip pubbllico passando dalla porta 25 e iniziando a spedire mail sfruttando i comandi ESMTP

tutto quello che potevo fare sul firewall l'ho fatto; domino accetta solo mail per il miodominio e non sono un servr openrelay.

vi sottopongo la questione ...

[Habanero]

"telnettare" a mano sulla porta 25 del tuo smtp non mi sembra una cosa così grave se il server è ben configurato. In fin dei conti sono tutti comandi che i vari client di posta spediscono in modo trasparente. Se il tuo server fosse un openaraley serebbe sfruttabile anche con un normale client opportunamente configurato, non serve scomodare telnet.
Se sei quindi sicuro che il tuo SMTP sia ben configurato stai pure tranquillo.

Piccola curiosità:
Ne approfitto per una digressione sull'argomento: "è possibile distinguere una normale sessione SMTP di un client da una sessione Telenet 'manuale'"?

In effetti è possibile, ma è necessario operare a basso livello. In genere questo è il compito di un sistema IDS.
Una "normale Sessione" avrà dei segmenti TCP che contengono molte informazioni... in genere l'intero comando SMTP. Telnet invece prevede l'invio immediato di ogni singolo carattere digitato (è per questo motivo che con telnet non si possono fare correzioni se si sbaglia a digitare). Il sistema di destinazione quindi si vedrà recapitare tanti singoli segmenti di un singolo carattere. Questo è in genere è proprio la spia che è stato usato telnet.

[satyro]

ho cercato nell'help dell'Administration di notes, ho trovato come gestire una lista di accesso al server, prova a cercare nell'help queste parole
Allow_Access_nomeporta=nomi
Deny_Access_nome_porta=nomi
tutte e 2 da inserire nel notes.ini.
prova pure a dare un occhiata al forum di notes www.notes.net

[hell_bd]

In domino ho verificato i setting di allow_ e deny_
ho abilitato l'accesso a "all user listed in trusted directories"

pensando che ciò significasse tutte le persone nella mia domino address book..

a tutti gli effetti però, sapendo dell'esistenza dell'utente Mario Rossi nel mio server di posta, come posso impedire che qualcuno ( in tenet sulla 25 o con altro modo ) FALSIFICHI il mittente e cerchi di inviare mail coi comandi ESMTP

es:
helo xxdominio.com
mail from: mario.rossi@xxdominio.com
rcpt to: mario.bruni@xxdominio.com
data
blablabla
.

E' possibile perchè ci ho sbattuto contro durante i miei test su sistemi di posta altrui...
Però non ho mai preso in considerazione il discorso IDS !!
é l'unica via d'uscita ?

[satyro]

a sto punto non so, prova a guardare con l'administrator in
messages > configuration > router/smtp > restrictions & controls > SMTP Inbound Controls

[hell_bd]

Nulla !
qualcuno sa darmi maggiori informazioni su come lavorano gli IDS ?

e se effettivamente può tornarmi utile ???

Quello che vorrei ottenere è impedire che venga falsificato una account del mio dominio direttamente dal mio sistema di posta ( quindi col mio IP pubblico )...
in queste circostanze non sono in grado di applicare un filtro adeguato..

tnks to all !

[Habanero]

scusa ma invece di stare a complicarti al vita non ti basta richiedere l'autenticazione sull'SMTP?


ma il tuo SMTP deve essere usato solo dalla tua rete interna o anche da persone che stanno fuori? Nel primo caso mi sembra banale risolvere il problema.

[hell_bd]

il mio mailserver riceve e inoltra mail dai miei domini verso l'esterno.

I miei utenti non si collegano direttamente al server ( non è in DMZ ) ma al firewall che fa natting sul server interno

come premesso in prima battuta sul firewall è attivo un servizio di proxy smtp che fa da filtro e da primo antivirus

sistema di posta usato Domino 6.5... tornando a noi, che vantaggi mi darebbe l'autenticazione e come viene attivata lato client e lato server??
Da non dimenticare che se si tratta di una funzionalità del client notes, circa il 60% dei miei utenti usano webmail con Ie6 o firefox
...

[Habanero]

Un IDS non c'entra col tuo "problema", la mia era solo una digressione.

L'autenticazione funziona in modo simile a quella per il pop3. Prima di accedere ai comandi SMTP devo autenticarmi con username e password. In questo modo non è sufficiente conoscere il nome dell'utenza per spedire posta.
Non è una funzionalità di un particolare client ma fa parte del protocollo.

I client di posta permettono questa impostazione. Outlook express per esempio possiede una voce:

codice:

Server della posta in uscita:
Autenticazione del server necessaria.

con a fianco un pulsante per le impostazioni in cui impostare user e pass. Altrimenti viene chiesto in modo interattivo.

Per quanto riguarda le webmail... suppongo che sia tu a fornire l'accesso webmail. Qui dipende da come interagisce la webmail con la mailbox. Devi occupartene tu in base alla webmail che usi.

Per il server specifico non ti so aiutare. Ti devi documentare.

[satyro]

per abilitare l'autenticazione sul SMTP apri l'amministrator vai sulla linguetta canfigurazione e apri il documento server, poi fai clic su porte quindi clicca sulla linguetta porte internet qui scegli la linguetta mail a questo punto scegli si nel campo Nome e password nella sezione TCP/IP, poi prova.
cosi per autenticarsi bisogna mettere il proprio userid(ShortName) e come pass la pass di quell'id