Stroj v "mail-send-only" konfiguraci.

Pav Lucistnik pav at oook.cz
Thu Feb 6 19:14:12 CET 2003


On čt, 2003-02-06 at 18:56, Dan Lukes wrote:
> 	Mam stroj, ktery obcas odesila postu za pomoci prikazu 'mail' (to dela 
> treba crontab, nebo 'periodic'), zejmena na adresu 'root'. Pritom ale na 
> tomto stroji nechci zadnou postu prijimat a zejmena tam nechci zadny 
> trvale bezici sendmail, to znamena, ze vsechno, co patri rootovi chci 
> preposlat nekam jinam.
> 
> 	V defaultnim nastaveni to probiha tak, ze 'mail' zavola 'sendmail' v 
> 'msa' modu a ten se nasledne pokusi spojit na 'localhost' port 25 (mta) 
> a tomu postu predat k vyslednemu doruceni. MTA zjisti, ze posta je 
> lokalni, takze se podiva do aliasu, zjisti, ze ve skutecnosti se ma 
> posta pro 'root' preposlat kamsi do padous a take to udela.
> 
> 	Hacek je, ze to vyzaduje funkcni MTA na portu 25 a to je to, cemu se 
> chci vyhnout.
> 
> 	Napada me nekolik reseni jak to udelat, ale vsechna mi pripadaji 
> relativne slozita na to, jak jednoduchy a patrne casty pozadavek jde 
> (driv rozhodne nebylo "normalni" aby na kazde stanici bezel trvale MTA).
> 
> 	Muzete mi nekdo nadhodit tip (muze jich byt i nekolik ruznych) jak to 
> co nejednoduseji a s co nejmensimi pripadnymi side-efekty udelat ?
> 
> 	Neni treba rozepisovat se do prilisnych detailu a travit tim 
> neprimerene mnoho casu - napad uz si rozpracuju sam nebo se zeptam 
> znovu. Jsem si jisty, ze nejake jasne a jednoduche reseni existuje, ale 
> mam zrovna nejake zatmeni ...
> 
> 				Diky
> 						Dan

Na pocitaci o ktery ti jde:

$ ps ax | grep sendmail
  146  ??  Ss     8:12.36 sendmail: accepting connections (sendmail)
  149  ??  Is     0:06.99 sendmail: Queue runner at 00:30:00 for
/var/spool/clientmqueue (sendmail)

$ telnet localhost 25
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 xxx.xxx.cz ESMTP Sendmail 8.12.6/8.12.6; Thu, 6 Feb 2003 19:12:27
+0100 (CET)

Na jinem pocitaci (nikde zadny firewall):

comp2$ telnet xxx.xxx.cz 25
$ telnet chat.volny.cz 25
Trying 111.111.111.11...
telnet: connect to address 111.111.111.11: Connection refused
telnet: Unable to connect to remote host


Takze to neni uplne presne to co chces, je tam stale MTA na portu 25,
ale jen na localhostu (lo0), ne na sitovem interface. 

-- 
Pav Lucistnik <pav at oook.cz>
Stupidity got us into this mess -- why can't it get us out?




More information about the Users-l mailing list