NL ->

Printable Version of Topic
Click here to view this topic in its original format

Forums > Глюкодром > Out(г)look c его безопасностью, я вас как сисадмин сисадмина спрашиваю!

Posted by: bob3194 on 10-12-2005, 15:36

Есть OL 2003 (aka Microsoft Office Outlook 2003 SP2), и есть у него такая мерзкая особенность: если программа или скрипт (даже внутренний! который aka макрос) обращается через MAPI, дабы отправить законное письмо по законному адресу, OLшная безопасность заставляет выскакивать окно, типа "ткто-то хочет что-то отправить. разрешить/запретить".
Задача избавиться от этого окна, ибо оно а)крайне мешает эднюзерам, б)иногда неприемлемо ввобще: нужно отправлять автоматом.

Что я нагуглил:
Вот тут родная (http://office.microsoft.com/en-us/assistance/HA011364471033.aspx Microsoftовская статья, где английским по-белому написано, как с этим справиться. Вот на этом форуме (http://forum.mazzy.ru/index.php?showtopic=337 есть даже файлик с ужимкой из ork (aka Office Resource Kit).
Но это все описанно для Exchange сервера! Т.е. когда толпа OLов и сервер Exchange.

Как это сделать локально?

Если кто сталкивался с этой задачей, есть ли решения, мысли по поводу (решения проблемы, а не корп. Майкрософт и OL в частности), прош высказываться.

Posted by: FiL on 10-12-2005, 19:16

что значит локально? локально (без сервера) из оутлука письма посылать? кому? себе что-ли?

Posted by: bob3194 on 10-12-2005, 23:19

QUOTE (FiL @ 10-12-2005, 19:16):

вот блин, столько писал, оказалось непонятно.... моя промашка....

QUOTE:

что значит локально? локально (без сервера) из оутлука письма посылать? кому? себе что-ли?

Без Эксченджа! Т.е. без Exchange-сервера. Все то описание родного (майкрософтовского) обхода (ослабления) безопасности, что я нашел привязывают настройки к Эксченджу. На сервере устанавливаются политики, которые понимает OL (когда забирает с сервера). А как эти политики пристроить к локальной машине или самому OL в случае отсутствия Exchange сервера (стоит MDaemon) остается вопросом.

Posted by: heineken man on 11-12-2005, 11:39

Думаю, что понял что происходит.
У человека Аутлук используется для работы не с EXCHANGE, а с MDAEMON, а поскольку последний в поддержке MAPI CLIENTS не замечен, то аутглюки видимо сконфигурированны читать почту по IPMAP/POP3, и посылать по SMTP.
Во второй часто нашего повествования появляются некие скрипты или программы, которые для посылки емейлов (обычно административных) используют установленный локально OL. При попытке посылки мыла, OL выбрасывает окно с предложением разрешить/запретить посылку почты посторонним лицом. Решение находится видимо где-то глубоко в дебрях оутлуко-ексченжевой коммуникации, и не факт что решение существует вообще.

Я бы пошел по пути наименьшего сопротивления. Поскольку важен конечный результат - посылка мыла, а до появления OL почта все же как-то посылалась, то логично предположить что в прогах и скриптах, желающих послать почту имеется и другая возможность посылки, кроме аутглюкных API - старый добрый SMTP. Вот например, во многих антивирусах и программах бекапа так. Останется только настроить контролируемый релеинг на MDAEMON, но это уже задача тривиальная, я бы сказал administrative-friendly. :fear2:

Posted by: bob3194 on 12-12-2005, 12:06

QUOTE (heineken man @ 11-12-2005, 11:39):

Останется только настроить контролируемый релеинг на MDAEMON, но это уже задача тривиальная, я бы сказал administrative-friendly. :fear2:

А если системные администраторы не шибко фрэндли по отношению к системным инженерам? И не желают открывать SMTP для локальных айпи на безаутентификационную доставку, а некоторые системы (ClearQuest) не имеют возможности аутентифицироваться на SMTP сервере? :angry:

Это еще усугубляется тем, что OL введен на уровне корпоративного стандарта. Скрипты же написаны специально для OL и определенные письма обрабатывают и закидывают инфу в ClearQuest, или отсылают письма куда-то еще внутри сети...

Posted by: heineken man on 12-12-2005, 12:57

Для локальных айпи (как и для всех остальных) обычно разрешена доставка на "свои" домены без аутентификации. Случаи когда это не так исключительно редки. Стоит попробовать. Telnet <SERVER IP> 25 и вперед. :fear2:

Posted by: bob3194 on 12-12-2005, 15:44

QUOTE (heineken man @ 12-12-2005, 12:57):

Случаи когда это не так исключительно редки.

Но бывают... :angry:

обнаружил не сразу. не мог поверить вначале, потом проверил telnetом, думал сервак съехал, проверил: письма ушли.
ситуация стала сильно напомнинать историю про 500 миль...
Затем пошел к админам - подтвердили мои опасения, и открывать не хотят...

Posted by: ego on 12-12-2005, 15:47

QUOTE (bob3194 @ 12-12-2005, 01:06):

хех,системный инженер это тот человек который говорит администратору что делать и как настроить а админ это помощник

Posted by: heineken man on 12-12-2005, 16:34

QUOTE:

потом проверил telnetом, думал сервак съехал, проверил: письма ушли.

А поподробнее об этом, желательно с приведением полного SMTP диалога. :rolleyes:

Я ведь почему спрашиваю: просто закрытие посылки без пароля для локальных адресов на свой домен вещь до недавнего времени не встречавшаяся вовсе, сегодня некоторые организации с HIGH SECURITY STANDARDS такое делают, но очень и очень редко. Для того, чтобы вводить принудительную аутентификацию для своих собственных внутренних адресов на свои же домены нужна либо веская причина, либо безоговорочное следование рекомендациям секьюрных консультантов, что обычно админы делают с большой неохотой - этот топик и есть наглядное следствие таких рекомендаций. :hi:

Posted by: bob3194 on 12-12-2005, 16:51

QUOTE (ego @ 12-12-2005, 15:47):

я так тоже думал... до недавнего времени... но бывают ситуации, когда админы - общие, а инженеры - проектные...

Но, вроде все, открыли...

Posted by: bob3194 on 12-12-2005, 16:58

QUOTE (heineken man @ 12-12-2005, 16:34):

QUOTE:

потом проверил telnetом, думал сервак съехал, проверил: письма ушли.

А поподробнее об этом, желательно с приведением полного SMTP диалога. :rolleyes:

Я ведь почему спрашиваю: просто закрытие посылки без пароля для локальных адресов на свой домен вещь до недавнего времени не встречавшаяся вовсе, сегодня некоторые организации с такое делают, но очень и очень редко. Для того, чтобы вводить принудительную аутентификацию для своих собственных внутренних адресов на свои же домены нужна либо веская причина, либо безоговорочное следование рекомендациям секьюрных консультантов, что обычно админы делают с большой неохотой - этот топик и есть наглядное следствие таких рекомендаций. :hi:

На самом деле нет у нас "HIGH SECURITY STANDARDS", и как я выяснял нет и небыло аудитов, порсто админы решили подстраховаться...

SMTP открыли, но вопрос еще не закрыт...

Всякие софты радосно стали рассылать все что им хочется внутри доменна.
А вот OLовские скрипты, через самого себя (т.е. OL) работают по MAPI, и их все так же поджидает OL с нескромным вопорсом разрешить/запретить...

Posted by: FiL on 12-12-2005, 18:47

QUOTE (heineken man @ 12-12-2005, 08:34):

QUOTE:

потом проверил telnetом, думал сервак съехал, проверил: письма ушли.

А поподробнее об этом, желательно с приведением полного SMTP диалога. :rolleyes:

Вообще-то на свой домен просто обязаны принимать без пароля. Ибо иначе почта извне не придет. Хотя при многоуровневой почтовой системе внутренний exchange может и не пускать. Что, по сути вполне законно. Именно в плане насаждения стандарта ОL+exchange. Чтоб ничего другого не юзали.

Posted by: Fellow on 12-12-2005, 19:20

Возвращаясь обратно к Outlook ...

Когда гуглил, ссылки на "Outlook Redemption" совсем не попадались? Примерно год назад он мне помог в такой же ситуации с Outlook 2000.

А вот еще серьезная статья, обсуждающая разные подходы
www.outlookcode.com/d/sec.htm (http://www.outlookcode.com/d/sec.htm

Posted by: bob3194 on 12-12-2005, 20:04

QUOTE (Fellow @ 12-12-2005, 19:20):

Когда гуглил, ссылки на "Outlook Redemption" совсем не попадались? Примерно год назад он мне помог в такой же ситуации с Outlook 2000.

Вот "Outlook Redemption" я и искал. И ссылки, что я разместил в первом посте как раз по теме, но то что я нашел относится к связке Exchange+OL

За ссылку спасибо, буду изучать