sslug-teknik team mailing list archive

[Rasmus Andersen <rasmus@xxxxxxxxx>]

On Fri, Apr 27, 2001 at 01:53:25PM +0200, Hans-Henrik T. Ohlsen wrote:
 
> > Som postfix-foretraekker kan jeg jo ikke sidde dette overhoerigt :)
> 
> Fyr løs. :-)

...and thus the battle begun :)

[...] 
> > 1) Du lader til at blande sikkerhed sammen med
> > konfiguration/realy'ing.
> 
> Nej. Det er MTA'er, som du foretrækker at kalde det, som diskuteres 
> her, og deres meritter. Så er sikkerhed i høj grad også fx relay'ing.

OK her debatterer vi definitionen af 'sikkerhed' i forbindelse med
MTA'er og som med saa mange andre orddefinitioner kan vi putte i det
hvad vi (selv) vil. Men i den traad du oprindeligt svarede paa var 
sikkerhed brugt i konteksten 'root-compromise' etc (som jeg laeste det). 
<...taenke...> Selvfoelgelig har du ret i, at hvis der er en program-
meringsmaessig fejl i postfix som tillader det du beskriver, kan
den maaske ogsaa udnyttes til kompromittering (i en eller anden
grad. Postfixs modulaere opbygning vil sandsynligvis begraense skaden).
Saa OK, maaske var jeg for hurtigt ude.

> 
> >    At din spamven skulle have
> >    gennemskuet en konfigurationsfejl hos din ISP lyder mere rimeligt
> >    end at han skulle have gennemskuet en kode-/funktions- fejl i
> >    postfix.
> 
> For let riposte. Human Error vil man altid kunne henvise til, uanset 
> hvad der sker. Og tro mig - ISP-folkene tager det som en personlig 
> fornærmelse at de ikke har kunnet stoppe hans brug af deres 
> server. Tro mig, http://www.orbs.org/ og http://mail-abuse.org/ har 
> været grundigt inddraget i forsøget på at stoppe ham.

Hvis din ISP tager det saa tungt (og fedt at de goer) kan de saa ikke
saette en tcpdump op og greppe loggen igennem naar du melder vagt
i gevaer? Det ville sikkert give en rimeligt god indikation af hvad
der sker. Det kan sagtens vaere, at det ville vaere en ganske volumi-
nioes log, men teknisk er det trivielt hvis man er sur nok. Og de
lader jo til at have identificeret maskinen?

> 
> >    Ikke mindst fordi han i sidstnaevnte tilfaelde kunne
> >    saelge denne viden for gode penge til sine kollegaer og vi alle
> >    derpaa ville se en masse spam i en overgang.
> 
> "Min gode ven" spammeren synes at være en "lone wolf" fra Austin-
> området i Texas, som ikke synes at samarbejde med nogensomhelst 
> - netop fordi vi så muligvis ville se en masse spam komme fra Postfix-
> ISP'en. Men at fortælle de andre at der er et hul hos min ISP ville 
> under alle omstændigheder formentlig give et "Doh - og hvad så?" 
> svar fra de andre, da det er utroligt hvor mange "åbne" relays - du 
> skulle se, hvor mange tydeligt Amerikanske spams der sendes fra 
> servere i fx Korea og Kina.

Hmm. Her tilbageviser du mit argument for at det ikke er et postfix-
problem men et postfix-konfigurationsproblem med at grunden til at
vi ikke har set mere af denne type spam er at det er et postfix-
konfigurationsproblem?? Er det mig der ikke kan laese dig korrekt
ovenfor eller giver du mig ret mens du pakker det anderledes ind?

I oevrigt maa en spammers drivkraft vaere oensket om penge. Saa
hvis din spamfjende i Texas kendte til en fejl postfix ville det
ikke vaere relevant om han arbejder sammen med nogen. Han ville
stadig sagtens kunne afsaette den viden til en masse mennesker
uden at skulle arbejde/have arbejdet sammen med dem. Derfor maa
min pointe om, at hvis den fejl du mener er i postfix virkelig
er der og en spammer kender den, saa ville den blive solgt og
udnyttet pronto, stadig gaelde </run-on sentence galore>.

I oevrigt er jeg paa postfix mailinglisten og har ikke set din
ISP bringe dette problem op der. Hvilket virker som et ganske
logisk traek? En log a la det jeg skitserede ovenfor plus deres
konfiguration og en fortaelling om problemet ville helt sikkert
koebe dem en masse opmaerksomhed paa listen. Og en afklaring
om deres problem er konfiguration eller program.

Rasmus