| / домой \ | \ темы / |
| 10/09/2006 11:08 RA: |
| Максим, сложно ли сделать авторизацию по SMTP (помимо доступа после авторизации по POP3). Я, например, довольно часто отправляю почту из локалок своих клиентов, мой почтовый адрес, а соответственно имя пользователя известны там многим. Народ достаточно сообразительный у нас, догадываететсь, что дальше может произойти ? Спам от моего имени - это не самое ещё неприятное, думаю... SHTTPS стоит дома, то есть эти локалки для него видны каждая под одним своим IP, поэтому по ip не отсечёшь левых пользователей из них. Плодить адреса и ящики тоже не хочется. В результате SMTP-сервер использую другой :(. |
| 10/09/2006 15:39 Max: |
| Не то что сложно, -- дурная она. Протокол дурной и не дает ничего. Ничего не может произойти. Спам и просто письма от вашего имени можно отправить по любому поставив у себя точно такой же сервер. Для того чтобы не спамили именно из вашей локалки есть ограничения по IP. |
| 11/09/2006 06:13 RA: |
| >Для того чтобы не спамили именно из вашей локалки есть ограничения по >IP Это понятно, но я могу ограничить левых пользователей, когда сервер внутри локалки, а когда я пришёл, авторизовался по pop3, чтобы затем отправить почту через свой внешний по отношению к этой локалке сервер, и тем самым открыл дорогу и всем остальным на свой SMTP, это всё-таки не есть хорошо, согласитесь ? Мне в конце концов и трафик так могут съедать. >Cпам и просто письма от вашего имени можно отправить по любому поставив у себя точно такой же сервер. Можно, но вряд ли это будут делать, потому что практически любая антиспам-система (только что смотрел gmail и ещё несколько почтовых провайдеров) сразу режет письма, в которых домен отправителя и реальный ip отправителя не соответствуют друг другу. Так что такой трюк не пройдёт, а вот мой открытый на какое-то время для всей чужой локалки (до перезапуска, верно ?) SMTP-сервер - просто находка для любителей за чужой счёт поживиться. |
| 11/09/2006 06:18 RA: |
| Максим, вот честно, рискнули бы оставить свой SMTP в свободный доступ для локалки с пятьюдесятью машинами ?
|
| 12/09/2006 02:21 Max: |
| Т.е. всем из своей локалки выходящий через общий NAT доступ на ваш внешний сервер? Там время после POP3 дается небольшое, ну если за это время вдруг кто-то прознает что вы только что почту проверяли... Ну уж тогда не пользуйтесь, отправляйте через внутрений сервер той локалки в которой вы находитесь. Вообще говоря проснифить трафик можно только если у вас локалка на каоксиале или вместо свичей какие-либо старые хабы кидающие все всем... Мне кажется на 10Мбит, а тем более на 50 компов таких не бывает. Реально проснифить трафик может админ на гетвее или на промежуточных роутерах. Про антиспам системы, -- ничего подобного. Совершенно не обязательно чтобы IP отправителя соответствовал домену, отправлять можно через любой SMTP, в частности вы можите завести десяток почтовых ящиков, а слать со всех этих адресов, через SMTP своей локалки. Вообще есть spf1 записи в DNS. В этих записях можно указать с каких IP от этого домена можно слать, но редкие сервера на эти записи смотрят и еще более редкие сервера жестко запрещают принимать с каких-то IP |
| 12/09/2006 03:31 Max: |
| Про то что рискнул бы, у меня так и оставлен. Хотя компьютеров немного меньше 50, но дело не в этом, в локалке все люди известные, начнут безобразничать с них и спрос будет. От mail-вирусов на линуксовом файрволе iptables посталены лимиты на количество TCP содеинений на 25 порт для каждого IP локалки, но вирусы как правило шлют не через SMTP сервер локалки (о котором они ничего не знают), а либо напрямую либо через внешний известный им сервер так, что тут защититься можно только на файрволе.
|
| 16/09/2006 23:30 RA: |
| Это всё хорошо, но мне-то что делать ? :) Всё-таки это ЯВНАЯ потенциальная уязвимость SMTP-сервера. Я хочу использовать только SHTTPS у себя, а пока приходится для почты отдельный сервер и для ФТП тоже (см. проблему с ограничением на upload). Максим, устраните пожалуйста эти досадные вещи ! Хорошая и удобная программа, но в бочке мёда ложка дёгтя... |
| 16/09/2006 23:41 RA: |
| а какое, кстати, время после pop3-авторизации, ip держится в списке разрешённых для SMTP ?
|
| 17/09/2006 17:29 Max: |
| Достаточное для отправки письма, меньше получаса. Что делать, -- если у вас такая локалка что вы боитесь, не отправляйте через внешний сервер, отправляйте через SMTP сервер локалки. |
| 17/09/2006 22:56 RA: |
| >Достаточное для отправки письма, меньше получаса. Хорошо, но можно тогда сделать хотя бы изменение этого времени в настройках и сделать необходимой авторизацию по POP3 перед отправкой КАЖДОГО письма (с возможностью отключения). Это хоть как-то прикроет несанкционированное использование SMTP другими людьми, если с реализацией smtp-авторизации имеются трудности. |
| 17/09/2006 23:35 Max: |
| Не то что реализация авторизации вызывает трудности, просто дурной там протокол, большая часть клиентов его не поддерживают, и я не думаю, что это действительно нужно. Она на самом деле ничего не дает. Защищать свой SMTP от спамеров нужно другими методами. Ну а то, что от вашего имени кто-то может отправить письмо, это всегда так, и для этого не нужно как-то сложно заморачиваться, можно отправить через любой другой SMTP сервер. |
| 18/09/2006 07:36 RA: |
| Разумеется, не вопрос. Просто хотелось весь функционал в одном продукте иметь. В общем-то у меня есть несколько рабочих комплектов софта, что называется "на все случаи жизни". Так что буду использовать другой SMTP-сервер. До лёгкости SHTTPS ему далеко, но, ничего не поделаешь, мне нужна SMTP-авторизация. SHTTPS будет другую работу выполнять :)
|
| 08/05/2008 14:11 Cerber: |
| Максим я все никак не могу понять про какие клиенты Вы говорите? Даже в мобильниках поддерживается как минимум AUTH PLAIN!
|
| 12/05/2008 12:33 Max: |
| В мобильниках клиенты как раз, как правило, поддерживают все, что только можно, (по понятным причинам.)
|
| 12/05/2008 14:56 Cerber: |
| Ну а какие не поддерживают авторизацию? Я, конечно, не специалист в POP3/SMTP-клиентах, но из тех, которыми пользовался (Outlook Express, Windows Mail, The Bat!) все поддерживают.
|