[Security] Hoe gevaarlijk is Poort 25

tis alleen link als je 'relaying' aan hebt staan,

zwelgje: Uhmmmmm
Wat dacht je van exploits???
DUHHH

Op zaterdag 15 juni 2002 15:32 schreef Deleon het volgende:
zwelgje: Uhmmmmm
Wat dacht je van exploits???
DUHHH

tuurlijk heb je exploits, maar als je een mailserver hebt draaien op het internet, moet poort 25 gewoon open staan, daar ontkom je niet aan..

zou als je zelf een email deamon schrijft, het niet een stuk veiliger worden?

zou als je zelf een email deamon schrijft, het niet een stuk veiliger worden?

Hoeft niet perse. Ook jij kan bepaalde 'exploits' in je code ontwikkelen, per ongeluk dan natuurlijk. Het SMTP protocol is redelijk omvangrijk dus je hebt best wat code nodig om het geheel te laten werken als een RFC-compliant maildeamon ... en waar code geschreven wordt, worden blunders gemaakt.

Op zaterdag 15 juni 2002 15:41 schreef Pogostokje het volgende:

[..]

Hoeft niet perse. Ook jij kan bepaalde 'exploits' in je code ontwikkelen, per ongeluk dan natuurlijk. Het SMTP protocol is redelijk omvangrijk dus je hebt best wat code nodig om het geheel te laten werken als een RFC-compliant maildeamon ... en waar code geschreven wordt, worden blunders gemaakt.

just a thought

maar als je nou een klein progsel maakt, koppeld het aan port 25, en laat het reageren op de standaard commands, waar zou je dan een fout kunnen maken?

ben geen programmer, gewoon een gedachte..

Op zaterdag 15 juni 2002 15:49 schreef Cooliez het volgende:

[..]

just a thought

maar als je nou een klein progsel maakt, koppeld het aan port 25, en laat het reageren op de standaard commands, waar zou je dan een fout kunnen maken?

ben geen programmer, gewoon een gedachte..

vraag het eens na aan de makers van sendmail.

Een SMTP daemon maken zit iets complexer in elkaar dan alleen de basis commando's te accepteren.
In de standaard staan een aantal zaken die je zelf moet implementeren. Accepteer je bijvoorbeeld per default de naam achter het HELO command, of doe je een reverse lookup? En wat als de reverse lookup niet werkt?
En wat moet je doen als het email bericht niet klopt, of te groot is voor je buffer waar je het in ontvangt? En welke berichten wil je allemaal accepteren? RFC821 of RFC822.
En je moet ook rekening houden met de header & messageID generatie.
Oftewel, een eigen programma "even" schrijven zit er niet helemaal bij. Ja, er zijn standaard "SMTP" suites beschikbaar op de diverse ontwikkelomgevingen, echter die zijn allemaal bedoeld als client naar SMTP server.

In principe is poort 25 openzetten niet link, maar het hangt ervan af wat voor smtp server je eraan knoopt. Natuurlijk moet relay dichtstaan. Maar dat heb je al gedaan, maar er is een verschil tussen bijvoorbeeld MS Exchange draaien of sendmail. Exchange heeft nog aardig wat exploits erin zitten, terwijl sendmail dichter en dichter wordt gemaakt. Postfix is ook een vrij stabiel en betrouwbare mailserver.
Maar je kan ook te paranoia zijn hoor.. Als je een eigen smtp server wilt draaien, zal je poort 25 (tcp only) open moeten zetten. welke exploits er zijn, tsja.. dat is een kwestie van goed bijhouden van versies en de correcte versies implementeren.
Bijvoorbeeld niet een oude sendmail uit 1989 ofzo, daar zitten een paar leuke "features" in...

groeten,
PJ

Op zaterdag 15 juni 2002 15:53 schreef HermeS het volgende:

[..]

vraag het eens na aan de makers van sendmail.

Op zaterdag 15 juni 2002 15:32 schreef Deleon het volgende:
zwelgje: Uhmmmmm
Wat dacht je van exploits???
DUHHH

Wat dacht jij van patches

Als je het echt niet vertrouwd... trek dan de netwerkkabel uit.
Lekker veilig
Want andere keus heb je niet.

Op zaterdag 15 juni 2002 15:34 schreef zwelgje het volgende:

[..]

tuurlijk heb je exploits, maar als je een mailserver hebt draaien op het internet, moet poort 25 gewoon open staan, daar ontkom je niet aan..

indd

Lijkt mij redelijk ongevaarlijk mits:

• je mailserver wel geupdate wordt (zowel mailserverproggie als OS)
• een firewall vooraf hele IP reeksen blokkeerd (bijv. alleen 192.168.x.x [LAN] toestaan om poort 25 te gebruiken)
• er wel securelogin gebruikt wordt icm alleen login toestaan van geteste/ingelogde users in het netwerk
• mailprogramma's van users wel veilig zijn ingesteld (bijv. Outlook instellen als Untrusted Zone ipv op de standaard instelling)
• users antivirussoftware draaien - en of er ook op de mailserver wordt gekeken naar attachements van users
• en natuurlijk de eerder genoemde tips, over oa eigen daemons/relaying etc.

Gevaarlijk wordt het pas als je onbezonnen te werk gaat.

En wat betreft Windows systemen in het bijzonder: Nooit de standaard instellingen accepteren.

Op zaterdag 15 juni 2002 19:45 schreef Solosmots het volgende:
En welke standaard instellingen zouden dat in dit geval zijn (Win2k)?

ik zie dat je mail alleen voor lokale user hebt staan? dus alleen vanaf een intern ip adress zouden ze moeten kunnen mailen?

dan kun je beter een firewall installeren welke poort 25 helemaal blocked naar buiten toe, als je er toch geen mailserver op draait welke voor het internet toegankelijk moet zijn...

ben je nog veiliger ook

Sendmail heeft als mailserver echt een reputatie van nare bugs, maar QMail en Postfix hebben juist een hele goede reputatie, in deze mailservers zijn volgens mij nog nooit exploits ontdekt die rootacces geven, wel DOS-attacks, maar daar ontkom je natuurlijk ook erg moeilijk aan.

Kortom, als je een goede mailserver hebt die niet voor iedereen als relayer optreedt, dan kan er volgens mij weinig misgaan.

Hoe link het is om een poort open hebben te staan is altijd gewoon link !

Via vrijwel iedere poort is het binnenkomen op een pc mogelijk. Maar het is gewoon vrijwel noodzakelijk om een aantal poorten open te hebben. Hetzij voor mail, ftp, http, of andere...

Maargoed. Een firewall doet vaak alleen al wonderen. Probeer Tiny Professionall eens zou ik zeggen

Op zaterdag 15 juni 2002 18:00 schreef euss het volgende:
Lijkt mij redelijk ongevaarlijk mits:

• je mailserver wel geupdate wordt (zowel mailserverproggie als OS)
• een firewall vooraf hele IP reeksen blokkeerd (bijv. alleen 192.168.x.x [LAN] toestaan om poort 25 te gebruiken)
• er wel securelogin gebruikt wordt icm alleen login toestaan van geteste/ingelogde users in het netwerk
• mailprogramma's van users wel veilig zijn ingesteld (bijv. Outlook instellen als Untrusted Zone ipv op de standaard instelling)
• users antivirussoftware draaien - en of er ook op de mailserver wordt gekeken naar attachements van users
• en natuurlijk de eerder genoemde tips, over oa eigen daemons/relaying etc.

Gevaarlijk wordt het pas als je onbezonnen te werk gaat.

En wat betreft Windows systemen in het bijzonder: Nooit de standaard instellingen accepteren.

Punt 2 gaat niet op als je ook mail wilt ontvangen.

Klein detail; waarom, en voor wie moet poort 25 bij jou open staan ?

Mijn situatie: ik heb onder Linux een mailserver draaien voor het verzenden van mail (voor local users), maar (via SMTP) binnenkomende mail komt alleen van een bepaalde Demon mailserver.

Dus; op m'n ADSL-router staat poort 25 weliswaar open, maar slechts voor een bepaald IP-adres.

Op zondag 16 juni 2002 02:52 schreef Friedchicken het volgende:
Hoe link het is om een poort open hebben te staan is altijd gewoon link !

Via vrijwel iedere poort is het binnenkomen op een pc mogelijk. Maar het is gewoon vrijwel noodzakelijk om een aantal poorten open te hebben. Hetzij voor mail, ftp, http, of andere...

Maargoed. Een firewall doet vaak alleen al wonderen. Probeer Tiny Professionall eens zou ik zeggen

Als die service bereikbaar moet zijn voor iedereen dan heeft een firewall ook 0,0 nut.

Immers je kan niets blocken anders is je service niet meer voor iedereen bereikbaar.

Misschien leuk om te weten: in qmail is nog NOOIT een bug ontdekt die potentieel gevaarlijk kan zijn en er wordt behoorlijk actief naar gezocht ook (opensource)