Hoe bepalen welke client mail heeft verstuurd via Exchange?

maandag 21 juli 2008 19:04

Admin Devschuur®

^ Romeinse Ⅲ ja!

Heb je überhaupt je relaying al eens nagekeken? Komt het zéker van 'binnenuit'

My best guess is dat je gewoon lekker open relay aan 't spelen bent.

[ Voor 68% gewijzigd door RobIII op 21-07-2008 18:10 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

Acties:

maandag 21 juli 2008 19:05

Topicstarter

Sja, deze server heb ik niet ingesteld.... ik heb wat tests gedaan op relaying maar dit is niet duidelijk.

Ik heb logging aangezet op deze manier:
http://www.msexchange.org...ing_the_SMTP_Service.html

De relay-instellingen staan zoals door MS aanbevolen, en zoals hier:
http://www.msexchange.org/tutorials/MF005.html

Als ik deze test doe: http://www.abuse.net/cgi-bin/relaytest

... krijg ik bij de 8e test dit:

>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM:<spamtest@mail.mijndomein.nl>
<<< 250 2.1.0 spamtest@mail.mijndomein.nl....Sender OK
>>> RCPT TO:<"securitytest@abuse.net">
<<< 250 2.1.5 "securitytest@abuse.net"@mijndomein.nl

Of dit een open relay betekent is me niet duidelijk. Er wordt overigens spam verstuurd vanuit:

Received: from User ([217.118.0.121]) by mail.mijndomein.nl with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 21 Jul 2008 14:44:52 +0200
Reply-To: <service@acc-nationwide.co.uk>
From: "Nationwide Internet Banking"<service@acc-nationwide.co.uk>
Subject: Nationwide Internet Banking Alert
Date: Mon, 21 Jul 2008 14.48.29 +0200
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: service@acc-nationwide.co.uk
Message-ID: <SERVER1FRaqbC8wSA1X00000007@mail.mijndomein.nl>
X-OriginalArrivalTime: 21 Jul 2008 12:44:52.0765 (UTC) FILETIME=[922074D0:01C8EB2F]

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><head><META http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body><img alt="" hspace="0" src=" http://nationwide.co.uk/_common_images/NWlogo.gif" align="baseline" border="0"><img alt="" hspace="0" src=" http://nationwide.co.uk/_...images/headers/proud.gif" align="baseline" border="0">

Dear Nationwide Customer
 
We've made a commitment to keep your confidential information as safe as possible.We safeguards to protect the security and integrity of customers information financial account and personal identification information.
 (...)

Alle updates zijn geïnstalleerd.

Nu blijkt overigens inderdaad dat er van buiten smtp-sessies worden gestart (kon ik zien onder Current Sessions). Het IP-adres heb ik geblokkeerd. Dat is natuurlijk maar een tijdelijke oplossing.

Ik vermoed dat men zich kan aanmelden en zodoende mail kan versturen. Ik ga in ieder geval alle wachtwoorden wijzigen.

[ Voor 45% gewijzigd door pinockio op 21-07-2008 19:07 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

Acties:

maandag 21 juli 2008 20:31

Admin Devschuur®

^ Romeinse Ⅲ ja!

Zet gewoon je relaying alleen open voor interne IP's en je bent al een heel eind

Afbeeldingslocatie: http://tweakers.net/ext/f/DsZok2eWtiJ2oownZgu3h0wu/thumb.gif

Over dat laatste vinkje (rechtsonder): Mja, ik zet 't altijd aan maar wij gebruiken dan ook veilige (lees: fatsoenlijke, lastig te brute-forcen) wachtwoorden.

[ Voor 73% gewijzigd door RobIII op 21-07-2008 19:09 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

Acties:

maandag 21 juli 2008 21:08

ye olde farte

PS: let ook op dat dat vinkje 'computers' betreft, en geen useraccounts.
Een PC die domainmember is zal sowieso succesvol authenticeren, en daarmee heb je toch al snel een leuke blokkade.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

woensdag 23 juli 2008 10:03

Topicstarter

RobIII schreef op maandag 21 juli 2008 @ 19:05:
Zet gewoon je relaying alleen open voor interne IP's en je bent al een heel eind
[afbeelding]
Over dat laatste vinkje (rechtsonder): Mja, ik zet 't altijd aan maar wij gebruiken dan ook veilige (lees: fatsoenlijke, lastig te brute-forcen) wachtwoorden.

Handig! Ik was huiverig om het vinkje weg te halen omdat ik het netwerk niet ken. Misschien versturen clients nog iets via deze mailserver vanuit huis. Maar dan moeten ze voortaan maar hun ISP gebruiken of via een VPN inloggen.

Overigens heb ik nog nooit meegemaakt dat een Exchange server zomaar open relay was. Je denkt dus dat een wachtwoord gekraakt is? Het gekke is dat ik in de logboeken pas vanmorgen vanaf 10 uur of zo NDR's zag verschijnen, eerder niet. Het lijkt dus een recent lek. En toch staan alle updates erop.

alt-92 schreef op maandag 21 juli 2008 @ 20:31:
PS: let ook op dat dat vinkje 'computers' betreft, en geen useraccounts.
Een PC die domainmember is zal sowieso succesvol authenticeren, en daarmee heb je toch al snel een leuke blokkade.

Dit snap ik niet helemaal. Hoe kan een spammer dan authenticeren? Bedoel je via een gestolen PC? En wat bedoel je met blokkade?

[ Voor 12% gewijzigd door pinockio op 22-07-2008 08:57 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

Acties:

woensdag 23 juli 2008 12:32

Topicstarter

Heeft iemand enig idee hoe het kan dat de server een open relay was? Voor zover ik weet stond alles standaard en ik had niets gewijzigd. Zou het toch een onbekend lek zijn?

Welis waar heb ik het dus opgelost door relaying alleen vanuit het interne netwerk toe te staan, maar dit is normaal gesproken niet nodig. Voordat ik alle wachtwoorden wijzig etc. wil ik een idee hebben hoe men heeft kunnen inbreken.

Of anders gesteld: hoe kan een PC succesvol authenticeren en mail versturen via de smtp server van Exchange 2003 vanuit internet zonder dat men wachtwoorden kent?

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

Acties:

woensdag 23 juli 2008 14:09

ye olde farte

pinockio schreef op woensdag 23 juli 2008 @ 10:03:
Voordat ik alle wachtwoorden wijzig etc. wil ik een idee hebben hoe men heeft kunnen inbreken.

Waaruit leidt je dan af dat er ingebroken is?

Of anders gesteld: hoe kan een PC succesvol authenticeren en mail versturen via de smtp server van Exchange 2003 vanuit internet zonder dat men wachtwoorden kent?

Niet, tenzij je de bewuste useraccounts daarvoor toestemming geeft.
Heb je niet gewoon last van een gevalletje NDR-spam?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

woensdag 23 juli 2008 14:49

Topicstarter

Omdat er duizenden mails in de queue stonden, meest naar adressen in de UK, zonder NDR-inhoud, verzonden (zogenaamd) van één of andere bank (zie hierboven).

En er was dus een constante login op de virtual SMTP-server vanuit het genoemde IP-adres met als gebruiker "user".

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

Acties:

woensdag 23 juli 2008 15:15

Admin Devschuur®

^ Romeinse Ⅲ ja!

pinockio schreef op woensdag 23 juli 2008 @ 10:03:
Of anders gesteld: hoe kan een PC succesvol authenticeren en mail versturen via de smtp server van Exchange 2003 vanuit internet zonder dat men wachtwoorden kent?

Niet, tenzij passwords gebruteforced zijn. Maar gezien je dit hele scherm kennelijk nog nooit had gezien was je (of ben je) gewoon een open relay aan 't spelen en dan is het enkel een kwestie van tijd; er komen dagelijks allerlei poortscans van allerlei "bots" voorbij die zoeken naar open relays. Ik vermoed dus niet eens dat er gehackt is geweest maar dat je gewoon open relay was. En open relays doen niets met authenticatie en vreten doodleuk alle mail om 't vervolgens naar wens te gaan bezorgen. Sounds familiar?

[ Voor 54% gewijzigd door RobIII op 23-07-2008 14:54 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

Acties:

woensdag 23 juli 2008 15:19

Topicstarter

Ten eerste: wat ik al gezegd heb: deze server heb ik niet ingericht. Meestal gebruik ik trouwens bij SBS geen "eigen" smtp-server maar de smtp-server van de provider in combinatie met de SBS POP3-connector.

En: dit scherm heb ik wel degelijk eerder gezien, maar ik verwachtte niet dat de default instelling betekent dat je een open relay bent. Kan iemand dit bevestigen?

(Ik ga het straks nog eens nakijken met een SBS 2003 R2 met SP2 of dit standaard zo is.)

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

Acties:

lier

MikroTik nerd

pinockio schreef op woensdag 23 juli 2008 @ 15:15:
Ten eerste: wat ik al gezegd heb: deze server heb ik niet ingericht. Meestal gebruik ik trouwens bij SBS geen "eigen" smtp-server maar de smtp-server van de provider in combinatie met de SBS POP3-connector.

En: dit scherm heb ik wel degelijk eerder gezien, maar ik verwachtte niet dat de default instelling betekent dat je een open relay bent. Kan iemand dit bevestigen?

(Ik ga het straks nog eens nakijken met een SBS 2003 R2 met SP2 of dit standaard zo is.)

Met alle respect...de POP connector zuigt...

Default is de server (zowel SBS als Standard/Enterprise) geen open relay, dat moet je zelf in stellen.

Eerst het probleem, dan de oplossing

woensdag 23 juli 2008 15:19

Acties:

Verwijderd

Een default installatie van Exchange 2003 staat dicht voor relay.
How to troubleshoot mail relay issues in Exchange Server 2003 and in Exchange 2000 Server

woensdag 23 juli 2008 15:30

Acties:

woensdag 23 juli 2008 15:44

ye olde farte

pinockio schreef op woensdag 23 juli 2008 @ 14:09:

En er was dus een constante login op de virtual SMTP-server vanuit het genoemde IP-adres met als gebruiker "user".

En bestaat er een gebruiker 'user' in je AD dan?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

woensdag 23 juli 2008 15:50

Topicstarter

lier schreef op woensdag 23 juli 2008 @ 15:19:
[...]

Met alle respect...de POP connector zuigt...

Default is de server (zowel SBS als Standard/Enterprise) geen open relay, dat moet je zelf in stellen.

Well, liever een POP connector die zuigt dan dit soort fratsen. Eén voordeel is dat je geen DNS-truucjes uit hoeft te halen of te maken krijgt met een gesloten poort 25, een ander is dat je zelf de beveiliging niet in de gaten hoeft te houden.

Let op, SBS is voor het MKB en daar loopt niet altijd constant een systeembeheerder rond. Ook niet allen hebben een provider die poort 25 open zet. Sommigen willen ook geen supportcontract en bellen pas als het te laat is. Dan heb ik het liever wat minder perfect maar wel veiliger.

Verwijderd schreef op woensdag 23 juli 2008 @ 15:19:
Een default installatie van Exchange 2003 staat dicht voor relay.
How to troubleshoot mail relay issues in Exchange Server 2003 and in Exchange 2000 Server

Dat kon haast al niet anders..! MS staat bekend om de sloppy beveiliging maar dit is wel heel erg.

Vreemd vond ik ook dat het probleem niet opgelost werd door alle updates te installeren. Daarna had ik de queue meteen weer vol. Deels met NDR's, maar verder met duizenden scammails zoals hierboven. Het was pas over toen ik (eerst) het bovengenoemde IP had geblokkeerd en daarna relaying voor alle IP-adressen behalve het interne netwerk had geblokkeerd.

alt-92 schreef op woensdag 23 juli 2008 @ 15:30:
[...]

En bestaat er een gebruiker 'user' in je AD dan?

Nee. Dat heb ik inderdaad gecheckt.

Inmiddels ben ik daar even niet meer (andere zaken te doen) maar ik ga morgen ter plaatse nog even wat dingen nakijken. Ik kom daar trouwens als invaller van de normale (externe) systeembeheerder die nu op vakantie is.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

Acties:

woensdag 23 juli 2008 16:01

ye olde farte

pinockio schreef op woensdag 23 juli 2008 @ 15:44:

Dat kon haast al niet anders..! MS staat bekend om de sloppy beveiliging maar dit is wel heel erg.

Default uit de doos == potdicht.
Als er toch gerelayed kan worden heeft er iemand lopen faalhazen.
Duidelijker kan het niet.

Vreemd vond ik ook dat het probleem niet opgelost werd door alle updates te installeren.

Ik niet.
Een update hoort niks aan je config te (kunnen) veranderen, zonder ingrijpen van de beheerder.
Er zijn namelijk ook prima redenen te bedenken om wel relaying aan te hebben staan, al dan niet gelimiteerd.
Volgens jouw redenering zou dan iedereen weer met een default config opgescheept zitten en deze na elke hotfix weer moeten herstellen naar de gewenste situatie.

[ Voor 42% gewijzigd door alt-92 op 23-07-2008 15:56 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

woensdag 23 juli 2008 16:03

Admin Devschuur®

^ Romeinse Ⅲ ja!

pinockio schreef op woensdag 23 juli 2008 @ 15:44:
[...]

Well, liever een POP connector die zuigt dan dit soort fratsen. Eén voordeel is dat je geen DNS-truucjes uit hoeft te halen of te maken krijgt met een gesloten poort 25, een ander is dat je zelf de beveiliging niet in de gaten hoeft te houden.

Die POP connector heeft anders de nodige nukken, waaronder dat 'ie doodleuk berichten gaat doorsturen die niet afgeleverd kunnen worden (of iets dergelijks).* Pas nog het hele dorp mee platgelegd omdat een of ander reclamebureautje een mailing had verstuurd van 10Mb naar het hele dorp. Iedereen die de POP connector gebruikte stond die berichten naar elkaar te sturen -> in no time alle Exchange servers in de buurt plat wegens het ontbreken van een hotfix

(Overigens, thank God, niet in mijn beheer

)

pinockio schreef op woensdag 23 juli 2008 @ 15:44:
Let op, SBS is voor het MKB en daar loopt niet altijd constant een systeembeheerder rond. Ook niet allen hebben een provider die poort 25 open zet.

Beide geen excuus. Wel een server willen draaien maar 'm zelf niet in kunnen (laten) richten of beheren is voor een duppie op de eerste rang willen zitten en dus eigen schuld dikke bult. Verder zijn er zat mogelijkheden (BSTMP) om op andere poorten dan 25 mail te ontvangen.

pinockio schreef op woensdag 23 juli 2008 @ 15:44:
Sommigen willen ook geen supportcontract en bellen pas als het te laat is. Dan heb ik het liever wat minder perfect maar wel veiliger.

True, maar het is niet veiliger; als je relay open staat (en dan heeft er dus iemand lopen prutsen) boeit het niet of je je ISP's relay of de POP connector gebruikt en ben je dus net zo onveilig. Schijnveiligheid

pinockio schreef op woensdag 23 juli 2008 @ 15:44:
Dat kon haast al niet anders..! MS staat bekend om de sloppy beveiliging maar dit is wel heel erg.

Wat hierboven ook al gezegd wordt: het is precies andersom. Maar ga gerust door met op MS afgeven wat uiteindelijk door anderen veroorzaakt is/wordt

pinockio schreef op woensdag 23 juli 2008 @ 15:44:
Vreemd vond ik ook dat het probleem niet opgelost werd door alle updates te installeren.

Ja joh! Met alle updates geïnstalleerd ben je altijd veilig!

't Ding deed gewoon wat 'ie moest doen (van 'iemand'), en dan is het wéér niet goed

* Die update wordt overigens niet meegenomen in de automatische updates.

[ Voor 6% gewijzigd door RobIII op 23-07-2008 16:07 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

Acties:

lier

MikroTik nerd

pinockio schreef op woensdag 23 juli 2008 @ 15:44:
Well, liever een POP connector die zuigt dan dit soort fratsen. Eén voordeel is dat je geen DNS-truucjes uit hoeft te halen of te maken krijgt met een gesloten poort 25, een ander is dat je zelf de beveiliging niet in de gaten hoeft te houden.

Let op, SBS is voor het MKB en daar loopt niet altijd constant een systeembeheerder rond. Ook niet allen hebben een provider die poort 25 open zet.

DNS trucjes...? Je mail zal altijd ergens naar toe gestuurd moeten worden, dus dit trucje doe je altijd (één keer).

Beveiliging staat hier volledig los van, alleen zorgen dat de server zijn updates krijgt.

Alle providers die poort 25 sluiten hebben een oplossing om (bijvoorbeeld via bSMTP) alsnog mail te ontvangen.

Blijft bijzonder dat de server open staat voor relaying, maar ja...gebruikers

Eerst het probleem, dan de oplossing

woensdag 23 juli 2008 16:31

Acties:

woensdag 23 juli 2008 16:37

Topicstarter

Er zijn er hier nogal wat die mijn woorden verkeerd begrijpen en heel wijsneuzerig wat dingen gaan roepen.

Ik ga niet iedereen quoten maar wat ik bedoelde met "het was niet opgelost met een patch" was natuurlijk niet dat ik verwacht dat MS een verkeerd (onveilig) geconfigureerd systeem "corrigeert".

Voor de duidelijkheid: ik heb - volgens mij al gemeld - de logs doorgekeken, en de aanvallen begonnen pas rond 9:30 afgelopen maandag. Daarvoor géén meldingen in de logs. Daarom vermoedde ik dus een recent ontdekt lek (bijvoorbeeld in de smtp-server van Exchange). Het is toch wel bekend dat voor sommige hackers de nieuwste uitgebrachte patches juist een bron van inspiratie zijn, simpelweg omdat niet iedereen ze meteen installeert.

Over één ding kan volgens mij iedereen het eens zijn: MS staat JUIST niet bekend om zijn potdichte beveiliging (in het algemeen, niet specifiek qua smtp-instellingen) maar om zijn voorgebakken configuraties die vaak eenvoudig te gebruiken en backwards compatible zijn, maar niet waterdicht. (Voor dat laatste: zie OpenBSD.)

Verder: ik kom op heel wat plekken waar men voor het domein een provider heeft die geen custom dns ondersteunt. Bovendien ga ik niet van alles overhoop maken als het met wat simpele informatie (popserver, user name, password) ook lukt.

Mensen schijnen mijn gebrek aan ervaring met sommige dingen (die ik niet ken omdat ik ze niet zelf heb ingesteld of niet heb hoeven instellen) voor domheid te verslijten, erg spijtig! Maar bedankt allemaal voor de feedback.

[ Voor 0% gewijzigd door pinockio op 23-07-2008 16:32 . Reden: aaarghh... ik moet mezelf verdedigen tegen een horde nerds ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

pinockio schreef op woensdag 23 juli 2008 @ 16:31:
Over één ding kan volgens mij iedereen het eens zijn: MS staat JUIST niet bekend om zijn potdichte beveiliging (in het algemeen, niet specifiek qua smtp-instellingen) maar om zijn voorgebakken configuraties die vaak eenvoudig te gebruiken en backwards compatible zijn, maar niet waterdicht. (Voor dat laatste: zie OpenBSD.)

Nou wordt 'ie mooi! Jij komt hier omdat je niet zeker weet of je server nu wel of niet goed is geconfigureerd maar hebt wel een grote mond over de beveiliging van MS producten? Dat hoor ik liever van een security goeroe (waarna ik de discussie op inhoudelijke gronden zal aangaan) dan van iemand die niet 100% zeker weet hoe open relay werkt.

Als je het gevoel hebt dat je verkeerd wordt begrepen, dan kan dat komen doordat je met zo'n houding een beetje eigenwijs over komt. En dat zal vast niet je bedoeling zijn.

Exchange en Office 365 specialist. Mijn blog.

woensdag 23 juli 2008 16:51

Acties:

woensdag 23 juli 2008 16:54

ye olde farte

pinockio schreef op woensdag 23 juli 2008 @ 16:31:
Over één ding kan volgens mij iedereen het eens zijn: MS staat JUIST niet bekend om zijn potdichte beveiliging (in het algemeen, niet specifiek qua smtp-instellingen) maar om zijn voorgebakken configuraties die vaak eenvoudig te gebruiken en backwards compatible zijn, maar niet waterdicht. (Voor dat laatste: zie OpenBSD.)

Dan heb je denk ik toch te weinig meegekregen van de laatste paar jaren denk ik

Secure by default is zeg maar de standaard sinds 2003, wat zich uit in een 'eerst updaten en firewall aan' procedure bij het installeren van je R2 Servers en (aan de client kant) een XP SP2 die vergeleken met vorige SP's de boel aardig dichtspijkerde.

Stokpaardjes van begin 2000 mag je inmiddels wel achterwege laten vind ik.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

Verwijderd

En dan nog maar even het Technet artikel mbt Exchange:

http://technet.microsoft....y/bb123843(EXCHG.65).aspx

Disable open relaying on all SMTP virtual servers. The default relay restrictions prevent unauthorized users from using your Exchange server to send mail to external locations. If your server is open for relaying, unauthorized users can use your server to send spam. As a result, your server may become known to other organizations as a source for open relay and, as a consequence, blocked from sending legitimate mail.

woensdag 23 juli 2008 16:59

Acties:

woensdag 23 juli 2008 17:16

Topicstarter

Jazzy schreef op woensdag 23 juli 2008 @ 16:37:
[...]
Nou wordt 'ie mooi! Jij komt hier omdat je niet zeker weet of je server nu wel of niet goed is geconfigureerd maar hebt wel een grote mond over de beveiliging van MS producten? Dat hoor ik liever van een security goeroe (waarna ik de discussie op inhoudelijke gronden zal aangaan) dan van iemand die niet 100% zeker weet hoe open relay werkt.

Als je het gevoel hebt dat je verkeerd wordt begrepen, dan kan dat komen doordat je met zo'n houding een beetje eigenwijs over komt. En dat zal vast niet je bedoeling zijn.

Als je dit topic (helemaal) leest, zul je tot een andere conclusie komen. (Geldt ook voor de anderen.)

En (helemaal offtopic): er zijn LEGIO voorbeelden waaruit blijkt dat MS producten NIET out-of-the-box veilig zijn (Sasser worm anyone?) Dat is nog een reden waarom ik - trouwens zonder enige klacht - op een aantal systemen de POP3-connector gebruik, blijkbaar tot verbazing of ergernis van sommigen. En dat is ook de reden waarom ik een Windows 2003-server niet direct aan internet hang (alleen via NAT). Niet zozeer omdat het niet veilig KAN zijn maar omdat de kans op problemen met beveiliging vrij groot is.

Deels is dit omdat ik niet de ervaring en kennis heb om een MS product volledig dicht te timmeren. Maar ook wie dat wel heeft kan altijd voor verrassingen komen te staan, juist vanwege het feit dat er zoiets bestaat als "vulnerabilities".
Recent voorbeeld:
Microsoft Security Advisory: A vulnerability in RPC in the Windows DNS Server service could allow remote code execution

Maar ik stel voor dat we deze welles-nietes discussie laten rusten.

En, absoluut ten overvloede: ik kom ergens bij een server die ik zelf niet heb ingesteld. De systeembeheerder is op vakantie, en is iemand met 20 jaar ervaring. Opeens, out of the blue, wordt er spam verstuurd. Vind je het dan vreemd dat ik een lek vermoed? Er is namelijk niet recent een aanpassing aan de configuratie gedaan (dat ik weet).

Er lijkt hier een soort air te heersen van: "als je hier wilt komen moet je alles al weten".

Let op dat dit niet PNS is.
Maar goed... iedereen bedankt weer $_/-\o_$

[ Voor 24% gewijzigd door pinockio op 23-07-2008 17:19 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Sasser had niets te maken met een configuratie die standaard niet veilig was, maar met een lek wat inmiddels gedicht was door een update.

SBS 2003 en Exchange 2003 zijn standaard veilig, mits je updates installeert en niet zelf dingen open gaat zetten.

Er lijkt hier een soort air te heersen van: "als je hier wilt komen moet je alles al weten".

Nee hoor, als je maar bereid bent om te leren. En dat ben jij blijkbaar niet. Er is je door een aantal ervaren mensen verteld dat je POP Connector zuigt en waarom die zuigt en jij gaat doodleuk herhalen dat je de POP Connector gebruikt omdat dat veiliger zou zijn...

Exchange en Office 365 specialist. Mijn blog.

woensdag 23 juli 2008 17:27

Acties:

woensdag 23 juli 2008 18:04

Topicstarter

Jazzy schreef op woensdag 23 juli 2008 @ 17:16:
Sasser had niets te maken met een configuratie die standaard niet veilig was, maar met een lek wat inmiddels gedicht was door een update.

SBS 2003 en Exchange 2003 zijn standaard veilig, mits je updates installeert en niet zelf dingen open gaat zetten.
[...]
Nee hoor, als je maar bereid bent om te leren. En dat ben jij blijkbaar niet. Er is je door een aantal ervaren mensen verteld dat je POP Connector zuigt en waarom die zuigt en jij gaat doodleuk herhalen dat je de POP Connector gebruikt omdat dat veiliger zou zijn...

Ja, tuurlijk, ik ga er nu heen rennen om die pop connector eruit te halen, de firewall in te stellen, de hosting provider te bellen, etc. etc.

Schijnbaar is alleen een "vermoeden" dat MS een eventueel wat minder veilig product uitbrengt voldoende om hier als een ketter te worden gezien? Het is (insert_verwensing) een simpel levensfeit: software is niet perfect, hackers bestaan, virusscanners falen zo nu en dan.

Nog even dit over de zogenaamde "nukken" van de pop-connector (niet dat ik bij het gebruik ervan zweer): die zijn al in 2004 en 2007 opgelost met patches, net zoals vulnerabilities ook gepatcht worden. Verder: als in dit geval de pop-connector was gebruikt..... was er géén spam verstuurd! QED.

En.... bijna had ik het vergeten, maar kijk eens hier:
Spam via mijn SBS 2003 server

Bijna hetzelfde verhaal, ik heb daar zelfs al eens gereageerd, naar aanleiding van mijn ervaring met een SBS 2003 server met een client waar een rootkit op stond. In dat topic: eveneens spam verstuurd door ene "user". Misschien toch een configuratie die out-of-the-box niet veilig is????

Ik heb nu even geen tijd om dat topic helemaal door te lezen, maar je vertelt mij niet dat het eerste wat iemand doet na het installeren van 2003 SBS het aanzetten van een open relay is. Interessante zaak in ieder geval. Ik houd jullie op de hoogte, o grote Kahns, goeroe's en wijsneuzen van WSS...

[ Voor 32% gewijzigd door pinockio op 23-07-2008 17:54 . Reden: "eigenwijs" zijn en een open mind hebben lijken soms op elkaar schijnbaar ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

Acties:

woensdag 23 juli 2008 20:07

ye olde farte

pinockio schreef op woensdag 23 juli 2008 @ 17:27:

Bijna hetzelfde verhaal, ik heb daar zelfs al eens gereageerd, naar aanleiding van mijn ervaring met een SBS 2003 server met een client waar een rootkit op stond.

Wat heeft een rootkit te maken met een default dichte Exchange config?

Anyways: IP staat inmiddels op de blacklist dus?
Er zijn bovendien robuustere alternatieven voor de standaard POP3 connector in SBS, die ook wat flexibeler zijn in hun mogelijkheden.
Misschien kun je daar ook nog eens naar kijken.

Ik heb nu even geen tijd om dat topic helemaal door te lezen, maar je vertelt mij niet dat het eerste wat iemand doet na het installeren van 2003 SBS het aanzetten van een open relay is. Interessante zaak in ieder geval.

Ach, ik denk dat je zelf ook wel weet hoe vaak er in het MKB iets opengezet wordt zonder boe of ba 'omdat het dan lekker makkelijk werkt' niet?

En soms is dat niet eens de beheerclub maar de eigenaar die maar wat klikt vanaf een artikeltje wat ie ergens gegoogled heeft.

Ik houd jullie op de hoogte, o grote Kahns, goeroe's en wijsneuzen van WSS...

Jij bent dol op vrienden maken zie ik

[ Voor 35% gewijzigd door alt-92 op 23-07-2008 18:12 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties: