> Out(г)look c его безопасностью, я вас как сисадмин сисадмина спрашиваю!
 bob3194 Member is Offline
   Posted: 10-12-2005, 15:36 (post 1, #508041)

Red Nightmare

Group: Members
Posts: 410
Warn:0%-----
Есть OL 2003 (aka Microsoft Office Outlook 2003 SP2), и есть у него такая мерзкая особенность: если программа или скрипт (даже внутренний! который aka макрос) обращается через MAPI, дабы отправить законное письмо по законному адресу, OLшная безопасность заставляет выскакивать окно, типа "ткто-то хочет что-то отправить. разрешить/запретить".
Задача избавиться от этого окна, ибо оно а)крайне мешает эднюзерам, б)иногда неприемлемо ввобще: нужно отправлять автоматом.


Что я нагуглил:
Вот тут родная Microsoftовская статья, где английским по-белому написано, как с этим справиться. Вот на этом форуме есть даже файлик с ужимкой из ork (aka Office Resource Kit).
Но это все описанно для Exchange сервера! Т.е. когда толпа OLов и сервер Exchange.

Как это сделать локально?

Если кто сталкивался с этой задачей, есть ли решения, мысли по поводу (решения проблемы, а не корп. Майкрософт и OL в частности), прош высказываться.
PM Email Poster
Top Bottom
 FiL Member is Offline
 Posted: 10-12-2005, 19:16 (post 2, #508135)

Сварливый Мозг Клуба
Group: Roots
Group: Roots
Posts: 22885
что значит локально? локально (без сервера) из оутлука письма посылать? кому? себе что-ли?
PM Email Poster ICQ AOL MSN
Top Bottom
 bob3194 Member is Offline
 Posted: 10-12-2005, 23:19 (post 3, #508296)

Red Nightmare

Group: Members
Posts: 410
Warn:0%-----
QUOTE (FiL @ 10-12-2005, 19:16)
вот блин, столько писал, оказалось непонятно.... моя промашка....

QUOTE
что значит локально? локально (без сервера) из оутлука письма посылать? кому? себе что-ли?
Без Эксченджа! Т.е. без Exchange-сервера. Все то описание родного (майкрософтовского) обхода (ослабления) безопасности, что я нашел привязывают настройки к Эксченджу. На сервере устанавливаются политики, которые понимает OL (когда забирает с сервера). А как эти политики пристроить к локальной машине или самому OL в случае отсутствия Exchange сервера (стоит MDaemon) остается вопросом.
PM Email Poster
Top Bottom
 heineken man Member is Offline
 Posted: 11-12-2005, 11:39 (post 4, #508516)

Agent - Provocateur

Group: Prestige
Posts: 4565
Warn:0%-----
Думаю, что понял что происходит.
У человека Аутлук используется для работы не с EXCHANGE, а с MDAEMON, а поскольку последний в поддержке MAPI CLIENTS не замечен, то аутглюки видимо сконфигурированны читать почту по IPMAP/POP3, и посылать по SMTP.
Во второй часто нашего повествования появляются некие скрипты или программы, которые для посылки емейлов (обычно административных) используют установленный локально OL. При попытке посылки мыла, OL выбрасывает окно с предложением разрешить/запретить посылку почты посторонним лицом. Решение находится видимо где-то глубоко в дебрях оутлуко-ексченжевой коммуникации, и не факт что решение существует вообще.

Я бы пошел по пути наименьшего сопротивления. Поскольку важен конечный результат - посылка мыла, а до появления OL почта все же как-то посылалась, то логично предположить что в прогах и скриптах, желающих послать почту имеется и другая возможность посылки, кроме аутглюкных API - старый добрый SMTP. Вот например, во многих антивирусах и программах бекапа так. Останется только настроить контролируемый релеинг на MDAEMON, но это уже задача тривиальная, я бы сказал administrative-friendly. :fear2: :w00t:
PM Email Poster
Top Bottom
 bob3194 Member is Offline
 Posted: 12-12-2005, 12:06 (post 5, #509129)

Red Nightmare

Group: Members
Posts: 410
Warn:0%-----
QUOTE (heineken man @ 11-12-2005, 11:39)
Останется только настроить контролируемый релеинг на MDAEMON, но это уже задача тривиальная, я бы сказал administrative-friendly. :fear2: :w00t:
А если системные администраторы не шибко фрэндли по отношению к системным инженерам? И не желают открывать SMTP для локальных айпи на безаутентификационную доставку, а некоторые системы (ClearQuest) не имеют возможности аутентифицироваться на SMTP сервере? :angry:

Это еще усугубляется тем, что OL введен на уровне корпоративного стандарта. Скрипты же написаны специально для OL и определенные письма обрабатывают и закидывают инфу в ClearQuest, или отсылают письма куда-то еще внутри сети...

This post has been edited by bob3194 on 12-12-2005, 12:07
PM Email Poster
Top Bottom
 heineken man Member is Offline
 Posted: 12-12-2005, 12:57 (post 6, #509144)

Agent - Provocateur

Group: Prestige
Posts: 4565
Warn:0%-----
Для локальных айпи (как и для всех остальных) обычно разрешена доставка на "свои" домены без аутентификации. Случаи когда это не так исключительно редки. Стоит попробовать. Telnet <SERVER IP> 25 и вперед. :fear2: :w00t:
PM Email Poster
Top Bottom
 bob3194 Member is Offline
 Posted: 12-12-2005, 15:44 (post 7, #509201)

Red Nightmare

Group: Members
Posts: 410
Warn:0%-----
QUOTE (heineken man @ 12-12-2005, 12:57)
Случаи когда это не так исключительно редки.
Но бывают... :angry:
обнаружил не сразу. не мог поверить вначале, потом проверил telnetом, думал сервак съехал, проверил: письма ушли.
ситуация стала сильно напомнинать историю про 500 миль...
Затем пошел к админам - подтвердили мои опасения, и открывать не хотят...
PM Email Poster
Top Bottom
 ego Member is Offline
 Posted: 12-12-2005, 15:47 (post 8, #509203)

Бандюга

Group: Members
Posts: 3993
Warn:0%-----
QUOTE (bob3194 @ 12-12-2005, 01:06)

А если системные администраторы не шибко фрэндли по отношению к системным инженерам? И не желают открывать SMTP для локальных айпи на безаутентификационную доставку, а некоторые системы (ClearQuest) не имеют возможности аутентифицироваться на SMTP сервере? :angry:

хех,системный инженер это тот человек который говорит администратору что делать и как настроить а админ это помощник
PM Email Poster ICQ
Top Bottom
 heineken man Member is Offline
 Posted: 12-12-2005, 16:34 (post 9, #509234)

Agent - Provocateur

Group: Prestige
Posts: 4565
Warn:0%-----
QUOTE
потом проверил telnetом, думал сервак съехал, проверил: письма ушли.
А поподробнее об этом, желательно с приведением полного SMTP диалога. :rolleyes:
Я ведь почему спрашиваю: просто закрытие посылки без пароля для локальных адресов на свой домен вещь до недавнего времени не встречавшаяся вовсе, сегодня некоторые организации с HIGH SECURITY STANDARDS такое делают, но очень и очень редко. Для того, чтобы вводить принудительную аутентификацию для своих собственных внутренних адресов на свои же домены нужна либо веская причина, либо безоговорочное следование рекомендациям секьюрных консультантов, что обычно админы делают с большой неохотой - этот топик и есть наглядное следствие таких рекомендаций. :hi: :bad1:
PM Email Poster
Top Bottom
 bob3194 Member is Offline
 Posted: 12-12-2005, 16:51 (post 10, #509250)

Red Nightmare

Group: Members
Posts: 410
Warn:0%-----
QUOTE (ego @ 12-12-2005, 15:47)
хех,системный инженер это тот человек который говорит администратору что делать и как настроить а админ это помощник
я так тоже думал... до недавнего времени... но бывают ситуации, когда админы - общие, а инженеры - проектные...

Но, вроде все, открыли...
PM Email Poster
Top Bottom
 bob3194 Member is Offline
 Posted: 12-12-2005, 16:58 (post 11, #509258)

Red Nightmare

Group: Members
Posts: 410
Warn:0%-----
QUOTE (heineken man @ 12-12-2005, 16:34)
QUOTE
потом проверил telnetом, думал сервак съехал, проверил: письма ушли.
А поподробнее об этом, желательно с приведением полного SMTP диалога. :rolleyes:
Я ведь почему спрашиваю: просто закрытие посылки без пароля для локальных адресов на свой домен вещь до недавнего времени не встречавшаяся вовсе, сегодня некоторые организации с такое делают, но очень и очень редко. Для того, чтобы вводить принудительную аутентификацию для своих собственных внутренних адресов на свои же домены нужна либо веская причина, либо безоговорочное следование рекомендациям секьюрных консультантов, что обычно админы делают с большой неохотой - этот топик и есть наглядное следствие таких рекомендаций. :hi: :bad1:
На самом деле нет у нас "HIGH SECURITY STANDARDS", и как я выяснял нет и небыло аудитов, порсто админы решили подстраховаться...

SMTP открыли, но вопрос еще не закрыт...

Всякие софты радосно стали рассылать все что им хочется внутри доменна.
А вот OLовские скрипты, через самого себя (т.е. OL) работают по MAPI, и их все так же поджидает OL с нескромным вопорсом разрешить/запретить...
PM Email Poster
Top Bottom
 FiL Member is Offline
 Posted: 12-12-2005, 18:47 (post 12, #509328)

Сварливый Мозг Клуба
Group: Roots
Group: Roots
Posts: 22885
QUOTE (heineken man @ 12-12-2005, 08:34)
QUOTE
потом проверил telnetом, думал сервак съехал, проверил: письма ушли.
А поподробнее об этом, желательно с приведением полного SMTP диалога. :rolleyes:
Я ведь почему спрашиваю: просто закрытие посылки без пароля для локальных адресов на свой домен вещь до недавнего времени не встречавшаяся вовсе, сегодня некоторые организации с HIGH SECURITY STANDARDS такое делают, но очень и очень редко. Для того, чтобы вводить принудительную аутентификацию для своих собственных внутренних адресов на свои же домены нужна либо веская причина, либо безоговорочное следование рекомендациям секьюрных консультантов, что обычно админы делают с большой неохотой - этот топик и есть наглядное следствие таких рекомендаций. :hi: :bad1:
Вообще-то на свой домен просто обязаны принимать без пароля. Ибо иначе почта извне не придет. Хотя при многоуровневой почтовой системе внутренний exchange может и не пускать. Что, по сути вполне законно. Именно в плане насаждения стандарта ОL+exchange. Чтоб ничего другого не юзали.
PM Email Poster ICQ AOL MSN
Top Bottom
 Fellow Member is Offline
 Posted: 12-12-2005, 19:20 (post 13, #509353)

Advanced

Group: Members
Posts: 250
Warn:0%-----
Возвращаясь обратно к Outlook ...

Когда гуглил, ссылки на "Outlook Redemption" совсем не попадались? Примерно год назад он мне помог в такой же ситуации с Outlook 2000.

А вот еще серьезная статья, обсуждающая разные подходы
www.outlookcode.com/d/sec.htm
PM Email Poster Users Website
Top Bottom
 bob3194 Member is Offline
 Posted: 12-12-2005, 20:04 (post 14, #509396)

Red Nightmare

Group: Members
Posts: 410
Warn:0%-----
QUOTE (Fellow @ 12-12-2005, 19:20)
Когда гуглил, ссылки на "Outlook Redemption" совсем не попадались? Примерно год назад он мне помог в такой же ситуации с Outlook 2000.
Вот "Outlook Redemption" я и искал. И ссылки, что я разместил в первом посте как раз по теме, но то что я нашел относится к связке Exchange+OL

За ссылку спасибо, буду изучать
PM Email Poster
Top Bottom
Topic Options