qmail 被人利用发邮件。。堵了队列

刘五十三

原帖由 ruochen 于 2009-10-15 16:47 发表



我做的企业邮箱一般是初始一个和公司名字相关的密码！

这样还行，很多人喜欢用名字和密码一样，还有用特别简单的123，abc之类密码，如果名字再简单那很容易被人猜到。

ruochen

原帖由 刘五十三 于 2009-10-16 09:09 发表

这样还行，很多人喜欢用名字和密码一样，还有用特别简单的123，abc之类密码，如果名字再简单那很容易被人猜到。

是的呀
很多企业邮箱的默认密码太简单了

半边糖果

原帖由 刘五十三 于 2009-10-16 09:06 发表

我说的是用破解的帐号认证，发信的时候from地址可以乱填的。你自己是试一下，from地址随便填一个，outlook express中认证不选和收发信一样的设置而是填你的用户名字和密码看看能不能发信出去。

谢谢老兄。。我刚才用express测试了。的确是这样。那我怎么解决了。因为系统里面有几百个人的邮箱。我也不知道是谁的用户和密码被破解了。。。mail log里面from 的地址都是乱写的地址，最好是能查到IP ，我直接封IP。或者根据IP 找用户，这个IP 怎么查呢？

[ 本帖最后由 半边糖果 于 2009-10-16 10:04 编辑 ]

思一克

有无OPEN RELAY?

半边糖果

没有吧。

刘五十三

原帖由 半边糖果 于 2009-10-16 09:58 发表



谢谢老兄。。我刚才用express测试了。的确是这样。那我怎么解决了。因为系统里面有几百个人的邮箱。我也不知道是谁的用户和密码被破解了。。。mail log里面from 的地址都是乱写的地址，最好是能查到IP ， ...

qmail我不太清楚，如果是sendmail,查找log中认证的行和发信行，比如发信行
from live.com.cn 是 1.2.3.4 ip发出的，然后根据1.2.3.4ip查这个ip的认证log行应该可以看出使用那个用户认证的。不过如果你那上面用户多的话可能别人破解了不止一个帐号。要有思想准备。比较彻底的解决办法是通过milter之类的东西，要求认证同时还要求from地址和认证用户匹配。比如abc认证用户发出的邮件from地址必须是abc@你的域名发出的。

cuci

from可以乱写，mail from可是不能的，而且可以设置mail from和from不一致禁止发信

半边糖果

是的。必须比较from address 和author address 是否一致才是根本解决之道。
谢谢 刘五十三   和 cuci  

我翻了以前论坛的帖子。 按照以前网友的打的补丁， 修改了 netqmail 下面的qmail 的源代码，在qmail-smtp.c 加了两个地址的比较。从新编译qmail-smtp . 解决了

  
  if (relayclient)
  {
          if(case_diffs(authusername.s,mailfrom.s)) {
          out("username does't equal mailfrom\r\n");
                  err_noauth();
                  return;
                 }

   }

[ 本帖最后由 半边糖果 于 2009-10-20 12:21 编辑 ]

ruochen

我查看了我邮件的认证方式是全名的（带domain）, 这样的有没有LZ一样的风险？
MTA是postfix
MDA是dovecot

认证的信息如下：
pop3-login: Login: user=<test@example.com>, method=PLAIN, rip=::ffff:10.1.1.79

半边糖果

你可以按照刘五十三  说的方法用outlook express 试试。 如果不能发，就应该没这个漏洞吧。POSTFIX 好像没这个漏洞吧。不太清楚。你要自己试试才知道