NetLab · Rules · Torrent Tracker · Have a problem? · Eng/Rus | Help Search Members Gallery Calendar |
Welcome Guest ( Log In | Register | Validation ) | Resend Validation Email |
Out(г)look c его безопасностью, я вас как сисадмин сисадмина спрашиваю! |
|
Posted: 10-12-2005, 15:36
(post 1, #508041)
|
||
Red Nightmare Group: Members Posts: 410 Warn:0% |
Есть OL 2003 (aka Microsoft Office Outlook 2003 SP2), и есть у него такая мерзкая особенность: если программа или скрипт (даже внутренний! который aka макрос) обращается через MAPI, дабы отправить законное письмо по законному адресу, OLшная безопасность заставляет выскакивать окно, типа "ткто-то хочет что-то отправить. разрешить/запретить". Задача избавиться от этого окна, ибо оно а)крайне мешает эднюзерам, б)иногда неприемлемо ввобще: нужно отправлять автоматом. Что я нагуглил: Вот тут родная Microsoftовская статья, где английским по-белому написано, как с этим справиться. Вот на этом форуме есть даже файлик с ужимкой из ork (aka Office Resource Kit). Но это все описанно для Exchange сервера! Т.е. когда толпа OLов и сервер Exchange. Как это сделать локально? Если кто сталкивался с этой задачей, есть ли решения, мысли по поводу (решения проблемы, а не корп. Майкрософт и OL в частности), прош высказываться. |
||
|
Posted: 10-12-2005, 19:16
(post 2, #508135)
|
||
Сварливый Мозг Клуба Group: Roots Posts: 22885 |
что значит локально? локально (без сервера) из оутлука письма посылать? кому? себе что-ли? |
||
|
Posted: 10-12-2005, 23:19
(post 3, #508296)
|
||||
Red Nightmare Group: Members Posts: 410 Warn:0% |
вот блин, столько писал, оказалось непонятно.... моя промашка....
Без Эксченджа! Т.е. без Exchange-сервера. Все то описание родного (майкрософтовского) обхода (ослабления) безопасности, что я нашел привязывают настройки к Эксченджу. На сервере устанавливаются политики, которые понимает OL (когда забирает с сервера). А как эти политики пристроить к локальной машине или самому OL в случае отсутствия Exchange сервера (стоит MDaemon) остается вопросом. |
||||
|
Posted: 11-12-2005, 11:39
(post 4, #508516)
|
||
Agent - Provocateur Group: Prestige Posts: 4565 Warn:0% |
Думаю, что понял что происходит. У человека Аутлук используется для работы не с EXCHANGE, а с MDAEMON, а поскольку последний в поддержке MAPI CLIENTS не замечен, то аутглюки видимо сконфигурированны читать почту по IPMAP/POP3, и посылать по SMTP. Во второй часто нашего повествования появляются некие скрипты или программы, которые для посылки емейлов (обычно административных) используют установленный локально OL. При попытке посылки мыла, OL выбрасывает окно с предложением разрешить/запретить посылку почты посторонним лицом. Решение находится видимо где-то глубоко в дебрях оутлуко-ексченжевой коммуникации, и не факт что решение существует вообще. Я бы пошел по пути наименьшего сопротивления. Поскольку важен конечный результат - посылка мыла, а до появления OL почта все же как-то посылалась, то логично предположить что в прогах и скриптах, желающих послать почту имеется и другая возможность посылки, кроме аутглюкных API - старый добрый SMTP. Вот например, во многих антивирусах и программах бекапа так. Останется только настроить контролируемый релеинг на MDAEMON, но это уже задача тривиальная, я бы сказал administrative-friendly. |
||
|
Posted: 12-12-2005, 12:06
(post 5, #509129)
|
||
Red Nightmare Group: Members Posts: 410 Warn:0% |
А если системные администраторы не шибко фрэндли по отношению к системным инженерам? И не желают открывать SMTP для локальных айпи на безаутентификационную доставку, а некоторые системы (ClearQuest) не имеют возможности аутентифицироваться на SMTP сервере? Это еще усугубляется тем, что OL введен на уровне корпоративного стандарта. Скрипты же написаны специально для OL и определенные письма обрабатывают и закидывают инфу в ClearQuest, или отсылают письма куда-то еще внутри сети... This post has been edited by bob3194 on 12-12-2005, 12:07 |
||
|
Posted: 12-12-2005, 12:57
(post 6, #509144)
|
||
Agent - Provocateur Group: Prestige Posts: 4565 Warn:0% |
Для локальных айпи (как и для всех остальных) обычно разрешена доставка на "свои" домены без аутентификации. Случаи когда это не так исключительно редки. Стоит попробовать. Telnet <SERVER IP> 25 и вперед. |
||
|
Posted: 12-12-2005, 15:44
(post 7, #509201)
|
||
Red Nightmare Group: Members Posts: 410 Warn:0% |
Но бывают... обнаружил не сразу. не мог поверить вначале, потом проверил telnetом, думал сервак съехал, проверил: письма ушли. ситуация стала сильно напомнинать историю про 500 миль... Затем пошел к админам - подтвердили мои опасения, и открывать не хотят... |
||
|
Posted: 12-12-2005, 15:47
(post 8, #509203)
|
||
Бандюга Group: Members Posts: 3993 Warn:0% |
хех,системный инженер это тот человек который говорит администратору что делать и как настроить а админ это помощник |
||
|
Posted: 12-12-2005, 16:34
(post 9, #509234)
|
||
Agent - Provocateur Group: Prestige Posts: 4565 Warn:0% |
А поподробнее об этом, желательно с приведением полного SMTP диалога. Я ведь почему спрашиваю: просто закрытие посылки без пароля для локальных адресов на свой домен вещь до недавнего времени не встречавшаяся вовсе, сегодня некоторые организации с HIGH SECURITY STANDARDS такое делают, но очень и очень редко. Для того, чтобы вводить принудительную аутентификацию для своих собственных внутренних адресов на свои же домены нужна либо веская причина, либо безоговорочное следование рекомендациям секьюрных консультантов, что обычно админы делают с большой неохотой - этот топик и есть наглядное следствие таких рекомендаций. |
||
|
Posted: 12-12-2005, 16:51
(post 10, #509250)
|
||
Red Nightmare Group: Members Posts: 410 Warn:0% |
я так тоже думал... до недавнего времени... но бывают ситуации, когда админы - общие, а инженеры - проектные... Но, вроде все, открыли... |
||
|
Posted: 12-12-2005, 16:58
(post 11, #509258)
|
||||
Red Nightmare Group: Members Posts: 410 Warn:0% |
На самом деле нет у нас "HIGH SECURITY STANDARDS", и как я выяснял нет и небыло аудитов, порсто админы решили подстраховаться... SMTP открыли, но вопрос еще не закрыт... Всякие софты радосно стали рассылать все что им хочется внутри доменна. А вот OLовские скрипты, через самого себя (т.е. OL) работают по MAPI, и их все так же поджидает OL с нескромным вопорсом разрешить/запретить... |
||||
|
Posted: 12-12-2005, 18:47
(post 12, #509328)
|
||||
Сварливый Мозг Клуба Group: Roots Posts: 22885 |
Вообще-то на свой домен просто обязаны принимать без пароля. Ибо иначе почта извне не придет. Хотя при многоуровневой почтовой системе внутренний exchange может и не пускать. Что, по сути вполне законно. Именно в плане насаждения стандарта ОL+exchange. Чтоб ничего другого не юзали. |
||||
|
Posted: 12-12-2005, 19:20
(post 13, #509353)
|
||
Advanced Group: Members Posts: 250 Warn:0% |
Возвращаясь обратно к Outlook ... Когда гуглил, ссылки на "Outlook Redemption" совсем не попадались? Примерно год назад он мне помог в такой же ситуации с Outlook 2000. А вот еще серьезная статья, обсуждающая разные подходы www.outlookcode.com/d/sec.htm |
||
|
Posted: 12-12-2005, 20:04
(post 14, #509396)
|
||
Red Nightmare Group: Members Posts: 410 Warn:0% |
Вот "Outlook Redemption" я и искал. И ссылки, что я разместил в первом посте как раз по теме, но то что я нашел относится к связке Exchange+OL За ссылку спасибо, буду изучать |
||