1 234 / 4 页下一页

[Mail] qmail 被人利用发邮件。。堵了队列 [复制链接]

ruochen

版主

论坛徽章:: 8

21楼 [报告]

发表于 2009-10-20 16:20 |只看该作者

原帖由 半边糖果 于 2009-10-20 13:07 发表
你可以按照刘五十三说的方法用outlook express 试试。如果不能发，就应该没这个漏洞吧。POSTFIX 好像没这个漏洞吧。不太清楚。你要自己试试才知道

还好，没有！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

刘五十三

富足长乐

论坛徽章:: 0

22楼 [报告]

发表于 2009-10-21 10:22 |只看该作者

其实检查mail from 和auth一致也不能完全解决，如果对方编程就用你的email地址做mail from邮件头，然后还是可以发垃圾邮件的，最彻底的办法是自己定期检查自己的服务器用户是否有弱密码，强制用户改密码。等于是定期扫描用户密码了。不过现在我见到的破解了用户密码的都是只用auth认证，from地址乱填的，将来就不一定了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

中年改行

白手起家

论坛徽章:: 0

23楼 [报告]

发表于 2009-10-29 10:23 |只看该作者

原帖由 半边糖果 于 2009-10-20 12:16 发表
我翻了以前论坛的帖子。按照以前网友的打的补丁，修改了 netqmail 下面的qmail 的源代码，在qmail-smtp.c 加了两个地址的比较。从新编译qmail-smtp . 解决了


  if (relayclient)
  {
      if(case_diffs(authusername.s,mailfrom.s)) {
      out("username does't equal mailfrom\r\n");
               err_noauth();
               return;
               }

}

请教一下，这行代码应该加在qmail-smtp.c哪里？还需要做别的设置吗？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

半边糖果

白手起家

论坛徽章:: 0

24楼 [报告]

发表于 2009-10-30 14:47 |只看该作者

回复 #23 中年改行的帖子

本帖最后由半边糖果于 2011-01-23 15:06 编辑

在qmail-smtp.c 中
增加

stralloc authusername={0}; //全局变量用于记录认证的email地址

在认证成功后将mailfrom存入上面的authusername中,也就是在函数
int authenticate(void)最后return 0;语句前插入下面的语句
      /*将用户名存入全局变量 authusername*/
      if(!stralloc_copy(&authusername,&user)) return 1;

在void smtp_rcpt(arg)函数里面大约599行下面增加一个判断
If (relayclient) {
         if(case_diffs(authusername.s,mailfrom.s)) {
                  err_noauth(); //认证用户名与mailfrom中的地址不符
                  /*在这儿加入log代码*/
                  return; //出错返回
         }

我的是这样写的：
  if (relayclient)
  {
   if(case_diffs(authusername.s,mailfrom.s)) {
      out("username does't equal mailfrom\r\n");
   err_noauth();
   return;
   }

}

这是夜未眠以前提出的修改方法。注意你的netqmail 的版本号。

从新编译下 qmail-smtpd 然后覆盖之前的可以了。

[ 本帖最后由半边糖果于 2009-10-30 14:55 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

半边糖果

白手起家

论坛徽章:: 0

25楼 [报告]

发表于 2009-10-30 14:50 |只看该作者

原帖由 刘五十三 于 2009-10-21 10:22 发表
其实检查mail from 和auth一致也不能完全解决，如果对方编程就用你的email地址做mail from邮件头，然后还是可以发垃圾邮件的，最彻底的办法是自己定期检查自己的服务器用户是否有弱密码，强制用户改密码。等于是 ...

确实是这样。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

中年改行

白手起家

论坛徽章:: 0

26楼 [报告]

发表于 2009-11-02 12:23 |只看该作者

原帖由 半边糖果 于 2009-10-30 14:47 发表
在qmail-smtp.c 中
增加

stralloc authusername={0}; //全局变量用于记录认证的email地址

在认证成功后将mailfrom存入上面的authusername中,也就是在函数
int authenticate(void)最后return 0;语句前 ...

多谢指点！！

我用的是netqmail1.05，好像没有安验证补丁，或者是1.05是否解决了这个问题呢？这样修改代码是不是有效？