NL ->

Printable Version of Topic
Click here to view this topic in its original format

Forums > Глюкодром > Exchange 5.5 как его проверить на вшивость?, relay, дыры.. кто знает?

Posted by: Lab on 04-10-2004, 16:39

сабж

может кто есть мастер по настройке Exchange

почтовый домен bnkoil.com, должен сидеть на IP 83.219.129.45, там стоит PIX который все пакеты с 25 порта транслирует внутрь локалки на машину с exchange

Update: я дурак и плохо помню свой IP - на самом деле IP 83.219.129.45

Posted by: Lab on 04-10-2004, 17:12

кто может протестить самостоятельно - пожалуйста, IP у вас есть.

Posted by: Uzaren on 04-10-2004, 17:14

Лаб, снеми вот эту штуку http://www.microsoft.com/downloads/details.aspx?familyid=DBAB201F-4BEE-4943-AC22-E2DDBD258DF3&displaylang=en (http://www.microsoft.com/downloads/details.aspx?familyid=DBAB201F-4BEE-4943-AC22-E2DDBD258DF3&displaylang=en она проверяет настройки. Правда я не знаю работает ли она с 5.5

Posted by: FiL on 04-10-2004, 17:59

лаб, а ты пробовал туда почту отправлять снаружи? С яхи какой-нить. Или с гмыла? А то твой сервер мне вообще как-то по-почтовому не отвечает. Один раз с трудом я от него получил вот такое и все. А далее на протокол он не рагирует

QUOTE:

220 ***00************************************************************************2*************

Posted by: Lab on 05-10-2004, 09:00

Брайт тоже такую фигню мне показывал, к сожалению я в ней нифига не понял, ктобы обьяснил и показал, что делать

Фил, честное слово - я могу послать письмо и я могу получать письма, проверено. Я также могу тенетом внутри локалки достучаться до exchang'a - он отвечает как положено.

Posted by: heineken man on 05-10-2004, 10:31

QUOTE (FiL @ 04-10-2004, 16:59):

QUOTE:

220 ***00************************************************************************2*************

В ПИКСЕ есть такая штука - SMTP Fixup, она частенько проделывает подобные фокусы. Отменяют ее на%%^&**((**))&%&^%* командой no fixup protocol smtp 25.

А вообще-то, в данную минуту на указанный адрес я вообще законнектиться не могу по 25 порту. newest/bad.gif

Posted by: Lab on 05-10-2004, 10:46

а попробуй еще раз, а?
а доступа к пиксу у меня нет... физический есть, но не паролей, ничего...

Posted by: heineken man on 05-10-2004, 13:17

C:\Documents and Settings\evgenyp>telnet 83.219.128.45 25
Connecting To 83.219.128.45...Could not open connection to the host, on port 25:
Connect failed

C:\Documents and Settings\evgenyp>

Posted by: hudysh on 05-10-2004, 14:58

Хмм, а я ваааще не могу до него достучаться... newest/bad.gif

Posted by: FiL on 05-10-2004, 15:54

ндааа... помер.
lab, а ты уверен, что письма напрямую получал извне, а не через вторичные МХ?

Posted by: Lab on 05-10-2004, 18:12

так, сегдня весь день мы действительно были в дауне - нам перекрывали крышу и сожгли наш инет кабель - суки, что касается писем, вот примерное письмо:

CODE

Received: from mproxy.gmail.com (rproxy.gmail.com [64.233.170.192]) by bnk001.bnkoil.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2653.13)
id 4JXYNVAG; Tue, 5 Oct 2004 18:11:24 +0300
Received: by mproxy.gmail.com with SMTP id 75so1050282rnl
for <aas@bnkoil.com>; Tue, 05 Oct 2004 08:11:18 -0700 (PDT)
Received: by 10.38.165.36 with SMTP id n36mr354128rne;
Tue, 05 Oct 2004 08:11:18 -0700 (PDT)
Received: by 10.38.88.46 with HTTP; Tue, 5 Oct 2004 08:11:18 -0700 (PDT)
Message-ID: <417880e80410050811324d204b@mail.gmail.com>
Date: Tue, 5 Oct 2004 18:11:18 +0300
From: Alex laborant <laborant@gmail.com>
Reply-To: Alex laborant <laborant@gmail.com>
To: aas@bnkoil.com
Subject: test
Mime-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit

Posted by: Lab on 05-10-2004, 18:15

может это будет полезным:

домен нам держит мастерхост, я их просил настроить так, чтобы МХ записей было несколько:
83.219.129.45 с приоритетом 5
и mx1.masterhost.ru с приоритетом 10

в результате - если мы в дауне - письма идут в резервный ящик

Posted by: FiL on 05-10-2004, 18:30

Как-то все там запущенно:

тестируем релей:

QUOTE :

Your message Subject: test 2
did not reach the following recipient(s):
filonovd@gmail.com on Tue, 5 Oct 2004 18:22:49 +0300
The recipient name is not recognized
The MTS-ID of the original message is: c=ru;a= ;p=zao
?bnk?;l=BNK00104100515224JXYNVAK MSEXCH:IMS:ZAO "BNK":BNKOIL:BNK001 0 (000C05A6) Unknown Recipient

Кто посыал? Куда посылал?

lab, можешь через свой сервер выслать мне письмецо на куда-нибудь. например на fil@kpoxa.org.

Posted by: heineken man on 05-10-2004, 19:15

laborant:
Ты нам дал неправильный адрес - 83.219.128.45 newest/helpsmilie.gif

QUOTE:

The fixup protocol smtp command enables the Mail Guard feature, which only lets mail servers receive the RFC 821, section 4.5.1 commands of HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT. All other commands are rejected with the "500 command unrecognized" reply code. Microsoft Exchange administrators should take special note that by default their mail servers use the extended command set of ESMTP. The PIX SMTP fixup does not cover everything that may be needed for a transaction between two ESMTP servers. Therefore, be aware that the limited set of supported Mail Guard commands may be at the root of some mail flow problems. See the documentation for more details of getting PIX and Exchange to play well together.

Отмени его нафиг, а то замучаешься. Он даже EHLO не знает.

Posted by: Lab on 06-10-2004, 08:47

прошу прощения, я действительно лоханулся

- настоящий IP 83.219.129.45

Фил, я послал тебе письмо.

Posted by: Lab on 07-10-2004, 10:04

так что?

кто советывать будет?

Posted by: heineken man on 07-10-2004, 13:05

QUOTE (laborant @ 07-10-2004, 09:04):

так что?

кто советывать будет?

Так чего еще советовать? newest/bad.gif

По двум уже поднятым проблемам: открытый релей и неубраный fixup судя по приведенному тесту изменений не произошло. Неприятности только вопрос времени.

QUOTE:

Mail relay testing Connecting to 83.219.129.45 for anonymous test ...
<<< 220 ***00************************************************************************2*************>>>
HELO www.abuse.net
<<< 250 OK
Relay test 1
>>> RSET
<<< 250 OK - Reset
>>> MAIL FROM:<spamtest@abuse.net>
<<< 250 OK - mail from <spamtest@abuse.net>
>>> RCPT TO:<securitytest@abuse.net>
<<< 250 OK - Recipient <securitytest@abuse.net> Relay test result
Hmmn, at first glance, host appeared to accept a message for relay.

Posted by: Lab on 07-10-2004, 14:30

QUOTE (heineken man @ 07-10-2004, 13:05):

Так чего еще советовать?

Как закрыть релей? Честное слово, я exchange первый раз (втрой) в жизни вижу.

Posted by: heineken man on 07-10-2004, 15:27

Я тоже с Exchange знаком слабо, поскольку у нас никто в здравом уме не выставляет Exchange напрямую в инет, а я как раз отвечаю за внешние релейно-файервольно-диэнэсно-антивирусные части.

Но общие принципы ясны: Exchange или любой другой принимающий сервер с локальными юзерскими ящиками должен выполнять следующие основные функции:

1. ВХОДЯЩИЕ СООБЩЕНИЯ - Принимать SMTP почту для СВОИХ доменов и выдавать команду "550 - Relaing prohibited" при попытке послать через него почту на домейн, не числящийся в списке своих. При этом, для тех домейнов для которых существуют юзерские мейлбоксы на самом сервере, он должен проверить существование адресата и в случае несоответствия (правильный домен справа от @, но несуществующий мейлбокс слева) ответить что-то типа "Unknown user" в той же самой SMTP сессии. Для существующих получателей - доставить почту в локальный ящик. Для остальных "своих" - переслать почту далее, при этом в случае "отказа" от следующего в цепочке SMTP сервера - уведомить оригинального посылателя об невозможности пересылки (NDR - non-deleivery report) отдельной SMTP сессией.

2. ВЫХОДЯЩИЕ СООБЩЕНИЯ - Если есть почтовые клиенты, использующие POP3/IMAP/SMTP вместо MAPI - например Outlook Express или The Bat - то им нужно разрешить релеить через Exchange, возможно с аутентикацией через пасворд.

Я так понимаю, что домен у тебя только один - bnkoil.com, релеить больше ни на какие домейны не надо. И ящики тоже на самом Exchange, должно быть просто. Вот может тут (http://www.msexchange.org/tutorials/Preventing_Third_Party_Relaying_In_MS_Exchange_Server_55.html и тут, секция "A Better Option" (http://www.winnetmag.com/MicrosoftExchangeOutlook/Article/ArticleID/7696/MicrosoftExchangeOutlook_7696.html почитать. Во второй статье есть также разьяснения как сконфигурировать контролируемый релеинг для Аутлук Экспресов. newest/fear2.gif

Posted by: FiL on 07-10-2004, 15:32

heineken man,
там у него что-то хитрое. С одной стороны он вроде на релей принимает, а с другой - письма релейные к адресату не приходят.

Но все равно, сервер загружается лишней фигней. Так что закрывать надо. А вот как - не знаю

Не юзал я эксчейнджа.

Posted by: heineken man on 07-10-2004, 15:40

QUOTE (FiL @ 07-10-2004, 14:32):

heineken man, там у него что-то хитрое. С одной стороны он вроде на релей принимает, а с другой - письма релейные к адресату не приходят.

Но приходят NDR сендеру. Т.е. загружается, и еще как - переслать каждому спамеру уведомление о недоставке. newest/devil_2.gif

Что-то мне подсказывает, что там у них хотят чтобы Exchange принимал почту, посылал,а также был доступен для чтения и посылки почты из инета с любого адреса. Т.е. конфигурация по полной программе. newest/bad.gif

Posted by: Lab on 07-10-2004, 15:41

heineken man - спасибо, пошел читать.

что же касается того, что:

QUOTE:

у нас никто в здравом уме не выставляет Exchange напрямую в инет, а я как раз отвечаю за внешние релейно-файервольно-диэнэсно-антивирусные части

Я тоже был против постановки у меня Exchang'a, но ничего не поделаешь - корп. стандарт... блин и еще как назло старье - 5.5 версия :'(

С другой стороны мне Cisco PIX поставили - этого мало? чем еще надо закрыться?

Posted by: heineken man on 07-10-2004, 15:48

CISCO PIX служит для несколько других целей.
В вашем случае, можно было-бы предложить добавить еще один SMTP сервер - даже тот же MS SMTP сервис от IIS, задача которого быть чистым релеем и пересылать легитимные сообщения на Exchange. На нем же можно было-бы поставить OWA - Outlook Web Access для интернет-юзеров. При всех видимых недостатках такого похода, он все же предпочтительнее прямого доступа на внутренний Exchange отовсюду. newest/fear2.gif

Posted by: Lab on 07-10-2004, 15:50

heineken man - настроил согласно первой статье - на тест отвечает 550.

Posted by: Lab on 07-10-2004, 15:52

"CISCO PIX служит для несколько других целей." - это каких?

Posted by: heineken man on 07-10-2004, 16:05

QUOTE (laborant @ 07-10-2004, 14:52):

"CISCO PIX служит для несколько других целей." - это каких?

Файерволы не предназначены для защиты серверов на апликационном уровне, в вашем случае от неправильной конфигурации SMTP сервиса. У них если и есть подобные модули (тот-же злополучный fix-up), то они то что называется рудиментарные, и чаще от них больше вреда чем пользы.

Их основная задача - защита на уровне сети (до 4-го уровня включительно), т.е. кто и куда у вас в сети входит и выходит, включая Интернет и возможно VPN.

Posted by: heineken man on 07-10-2004, 16:18

QUOTE:

220 bnk001.bnkoil.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5
.2653.13) ready
helo sd.com
250 OK
mail from:<>
250 OK - mail from <>
rcpt to:ХХХХХХХХ%hotmail.com
250 OK - Recipient <ХХХХХХХХ%hotmail.com>
data
354 Send data. End with CRLF.CRLF
HUJNJA
.
250 OK
quit
221 closing connection

Простые тесты он уже проходит, но вот знак процента вместо собаки ему мозги переворачивает влет. Известный баг Exchange, кажется ничего поделать нельзя.

Теперь попробуй послать самому себе из инета и ответить туда же. Я тебе послал тест-сообщение, если получил - ответь мне.

Posted by: Lab on 07-10-2004, 16:20

fixup protocol по моей просьбе отключили

Posted by: heineken man on 07-10-2004, 16:26

QUOTE (laborant @ 07-10-2004, 15:20):

fixup protocol по моей просьбе отключили

QUOTE:

220 bnk001.bnkoil.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5

Видишь как теперь выглядит SMTP промпт? newest/punk.gif

Posted by: Lab on 07-10-2004, 16:26

fixup protocol по моей просьбе отключили, на письмл я ответил... что же с процентом делать? ставить SMTP релей?

Posted by: Lab on 07-10-2004, 16:28

QUOTE (heineken man @ 07-10-2004, 16:26):

QUOTE:

220 bnk001.bnkoil.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5

Видишь как теперь выглядит SMTP промпт? newest/punk.gif

я его из локалки (в обход пикса ведь) и раньше видел и удивлялся почему у вас кракозябры

Posted by: Lab on 07-10-2004, 16:29

QUOTE (heineken man @ 07-10-2004, 16:05):

Их основная задача - защита на уровне сети (до 4-го уровня включительно), т.е. кто и куда у вас в сети входит и выходит, включая Интернет и возможно VPN.

блин, да мне опять в школу пора :'( что это за 4-й уровень, где ему учат?

да - VPN у меня есть

Posted by: heineken man on 07-10-2004, 16:33

QUOTE (laborant @ 07-10-2004, 15:26):

fixup protocol по моей просьбе отключили, на письмл я ответил... что же с процентом делать? ставить SMTP релей?

Пока можно ничего не делать, если беспокоить не будет.
Твой ответ получил - вроде как можно констатировать успешное первоначальное функционирование. Поздравляю. newest/wub2.gif

Не забудь попросить того кто владеет вашими адресами определить DNS имя на 83.219.129.45 (Reverse DNS).

Я бы релей поставил, но решать вам.

Жена гонит убирать квартиру - сорри за уклонение от процесса. newest/helpsmilie.gif

Posted by: FiL on 07-10-2004, 17:10

А патчен на процент нет? Вообще как там с патчами дела обстоят? Все что нашел поставил?

Relay отдельный - это хорошо. Но как-то насчет IIS'a я очень сомневаюсь

В нем тоже дырок как в сыре от izanoza. Все-таки лучше-бы какой писюк с linux/bsd и постфиксом. Но это уже от местных полисей зависит.

Posted by: Lab on 07-10-2004, 17:45

из всех патчей что я успел поставить - SP4 и все пока.. надо завтра глубже копать этот вопрос.