• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Непонятка с приходом внешнего сообщения.

  • Автор темы Morpeh
  • Дата начала
M

Morpeh

Добры день! дорогие лутосовики!


Прошу помощи у вас, разобраться в одной ситуаций, не знаю где копать, и почему так произошло.


Ситуация такова.



Работает одно правило по обработке размера сообщения, оно обробатывает следующие:установлен лимит сообщения 15 мб общий размер, правило настроено так что все юзверы которые отсылают сообщение в нутри домена и во вне больше 1,5 мб, то их сообщения не проходят, есть группа людей которым дан доступ на отсылку и принятия сообщений, как в нутри так и наружу.

Правило отрабатывает всё нормально, проверено, но оказалось такая вещь, один юзер с высоким чином прислал письмо и говорит что это письмо он не получил 29.10.07.

Начел копаться в логах и действительно что 29.10.07 письмо приходило с опозданием в 6 часов и было отклонено, в логах пишет следующие



29.10.2007 21:14:59 SMTP Server: релей сервер.my domain.ru (192.168.хх.ххх) connected
29.10.2007 21:14:59 SMTP Server: Originator: <j.j@data domain.com>
29.10.2007 21:14:59 SMTP Server: Recipient: <user@my domain.ru>
29.10.2007 21:15:01 SMTP Server: Message 0053C503 (MessageID: <D3180B6549DAB14BB0D9F859F07798FD1CD03837@elon14p32002b.csfp.co.uk>) received from релей сервер.my domain.ru (192.168.хх.ххх) size 2631994 bytes
29.10.2007 21:15:01 Router: Message 0053C503 rejected for policy reasons
29.10.2007 21:15:01 SMTP Server: релей сервер.my domain.ru (192.168.хх.ххх) disconnected. 1 message received
29.10.2007 21:15:01 Router: Transfer to server 192.168.xx.xxx is ready with 1 messages
29.10.2007 21:15:01 Router: Transfer thread 00000017 searching for work
29.10.2007 21:15:01 Router: [00000017] Transferring mail to domain 192.168.xx.xxx (host 192.168.xx.xxx [192.168.xx.xxx]) via SMTP
29.10.2007 21:15:11 Router: Updating values from Configuration document
29.10.2007 21:15:13 Router: Transferred 1 messages to 192.168.xx.xxx (host 192.168.xx.xxx) via SMTP
29.10.2007 21:15:16 Router: Message 0053C5BD transferred to 192.168.30.134 for j.j@data domain.com from j.j@data domain.com OF94833C7A:5B85DEEE ON46257383:0053C5BD Size: 1887K via SMTP



Что интересно что это же сообщение пришло с тогоже домена только от другого юзера 06.11.07 числа

Прошу помощи, не могу врубиться где загвостка? :(
 
C

collection

Насколько я понимаю:
Пользователь отправляет из внешнего инет домена(data domain.com) письмо с вложением себе на почтовый ящик своего корпоративного домена, которое приходит с опозданием на 6 часов, после которого сервер дает отлуп и отправляет сообщение о неудачной доставке домену data domain.com?!
1)Задержка на 6 часов возможна связана с настройкой маршрутизации больших сообщений в низкоприорететное время Send all messages as low priority if the message size is between:........
2)В настройках ограничений на размер сообщений вы используете только правила?
3) В конфигурационном документе сервера не выставлены ограничения размера?
4)До этого доставка больших сообщений проходила нормально?
5)В настройках расширений команд смтп отключите Size extension
 
M

Morpeh

Прошу прошения за шрифты, что то цитирование не проходит.


Насколько я понимаю:
Пользователь отправляет из внешнего инет домена(data domain.com) письмо с вложением себе на почтовый ящик своего корпоративного домена, которое приходит с опозданием на 6 часов, после которого сервер дает отлуп и отправляет сообщение о неудачной доставке домену data domain.com?!

Пользователю (use1) отправляют из внешнего инет домена другой юзер (user2). задершка не точто постоянно, просто именно это письмо было с задержкой


1)Задержка на 6 часов возможна связана с настройкой маршрутизации больших сообщений в низкоприорететное время Send all messages as low priority if the message size is between:........

Стоит: Send all messages as low priority if message size is between: Disabled

Стоит: Low priority delay notification: Disabled


2)В настройках ограничений на размер сообщений вы используете только правила?

да, в правилах обрабатывается разрешение определенной группе юзеров отсылать и получат почьту выше 1,5 мб.

3) В конфигурационном документе сервера не выставлены ограничения размера?

выставлено, 15360 Kb

4)До этого доставка больших сообщений проходила нормально?

да, она и сечас проходит нормально, в чём и изюминка, что имено это сообщение отклонилось.

5)В настройках расширений команд смтп отключите Size extension

выключил в Inbound SMTP Commands and Extensions и Outbound SMTP Commands and Extensions

вот только как теперь проверить то, если вроде все письма проходили с большим рамером?, только это не прошло и как эти опция повлиять могли на то что писмо отклонилось?
 
C

collection

Просто не совсем понятно почему письмо было доставлено только спустя 6 часов, судя по логу
получено вашим сервером
29.10.2007 21:15:01 SMTP Server: Message 0053C503 (MessageID: <D3180B6549DAB14BB0D9F859F07798FD1CD03837@elon14p32002b.csfp.co.uk>) received from релей сервер.my domain.ru (192.168.хх.ххх) size 2631994 bytes
тут же отработано и получен отлуп
29.10.2007 21:15:16 Router: Message 0053C5BD transferred to 192.168.30.134 for j.j@data domain.com from j.j@data domain.com OF94833C7A:5B85DEEE ON46257383:0053C5BD Size: 1887K via SMTP
т.е. никаких видимых задержек на вашем сервере нет
При маршрутизации по смтп с использованием Size extension соединяющийся хост передает информацию о размере сообщения и если это значение превышает Size extension оно не передается, вне зависимости от вхождения получателя в группы Vip, т.е. роутер не обрабатывает его своими правилами. При маршрутизации внутренней почты ессно все будет номално т.к. отправлять или нет решает роутер при помощи правил. Для проверки сей изюменки отправьте с нета письмо на адреса випа размером больше 1,5 мегабайт :(

The SMTP SIZE extension was introduced in RFC 1427 (published in 1993). RFC 1427 was superseded by RFC 1653 (published in 1994) and then by RFC 1870, SMTP Service Extension for Message Size Declaration (published in 1995).
Choose one:
Enabled - (default) Domino declares its maximum message size to connecting hosts and checks the sending host's estimates of message size before accepting transfer. If the sender indicates that a message to be transferred is larger than the maximum size, Domino returns an error indicating that it will not accept the message.
Disabled - Domino does not advertise its maximum message size or check inbound message size before transfer.
 
M

Morpeh

Это значит если я выключил SIZE extension:в Inbound SMTP Commands and Extensions и в Outbound SMTP Commands and Extensions то все пользователи смогут отправлять сообщения во вне минуя лимита указанного в правиле? и также приходящая почта из внешнего домена не будет обрабатываться правилом, и почта на пример в 10 мб будет доходить до юзера, которому в правиле запрошено получать выше 1,5мб?
 
C

collection

Вообщем чтобы не заниматься телепартацией воспроизвел полностью вашу ситуацию, вот рабочая конфигурация:
1)В конфиге сервера удаляем запись Maximum message size
2)Для смтп disable SIZE extension
3)Для правила определяем ограничения размера, в качестве исключения по отправителям и по получателям указываем vip пользоватлей
tell router update config
tell smtp update config
set rules
В итоге vip могут и отправлять и получать почту большего размера, в отличие от остальных, проверено работает.....

Суть в том что отключая SIZE extension, мы предоставляем право приема или отклонения почты роутеру, а тот в свою очередь руковдствуется правилами, недостаток данной технологии в том что роутер полюбому сначала принимает сообщение вне зависимости от размера и только потом начинает его обрабатывать, а при использовании SIZE extension обработка сообщения идет до его передачи на сервер :(
 
M

Morpeh

collection сказал(а):
Вообщем чтобы не заниматься телепартацией воспроизвел полностью вашу ситуацию, вот рабочая конфигурация:
1)В конфиге сервера удаляем запись Maximum message size
2)Для смтп disable SIZE extension
3)Для правила определяем ограничения размера, в качестве исключения по отправителям и по получателям указываем vip пользоватлей
tell router update config
tell smtp update config
set rules
В итоге vip могут и отправлять и получать почту большего размера, в отличие от остальных, проверено работает.....

Суть в том что отключая SIZE extension, мы предоставляем право приема или отклонения почты роутеру, а тот в свою очередь руковдствуется правилами, недостаток данной технологии в том что роутер полюбому сначала принимает сообщение вне зависимости от размера и только потом начинает его обрабатывать, а при использовании SIZE extension обработка сообщения идет до его передачи на сервер ;)
Нажмите, чтобы раскрыть...


Понятненько, большое спасибо будемс проверять :(
 
M

Morpeh

Всё таки, почему же письмо не прошло, если другие проходили с большим размером к этому юзеру, желательно хоть как то понять? :( :)
 
C

collection

чтобы понять нужно отделить внутреннюю и внешнюю почту, если отправителем явл-ся внутренний пользователь все было ок, если внешний не проходило

или я ваще ничего не понимаю :(
 
M

Morpeh

Отправитель являлся внешним, с другой конторы, получатель получал письма нормально с большим размером, но вот енто не прошло, через пару дне пришло письмо это же только от другого отправителя но с того же домена что и от первого, оно прошло. так внутрений пользователь и узнал что он не получил это письмо 29,10,2007 :)

Что грустно, так это что это письмо было оказывается сильно важным, вот теперь с меня просят отчет почему имено в этот день и именно это письмо не пришло, а пришло по же и от другого отправителя но с того же домена? :(

вот я и озадачился, если всё отрабатывалось нормально, а здесь дык и теперь разбор полетов. :( :)
 
C

collection

С вашими настройками (Maximum message size:1024 и SIZE extension:enabled) письмо от внешнего адресата размером больше мегабайта не могло быть получено не прикаких обстоятельствах! Он мог получать почту большего размера только при пустом поле maximum message size, следовательно Вы либо что то не договариваете, либо не понимаете о чем говорите...
И давайте наконецто внесем ясность:

07.11.2007 16:07:36 Router: Message 00481BA5 rejected for policy reasons - Это когда отлуп дает правило

07.11.2007 15:57:56 SMTP Server: Message size 4800308 exceeds fixed maximum size 1048576 set by administrator -Это когда отлуп идет на основании size extention

<!--QuoteBegin-Morpeh+7:11:2007, 11:56 -->
<span class="vbquote">(Morpeh @ 7:11:2007, 11:56 )</span><!--QuoteEBegin-->29.10.2007 21:15:01 Router: Message 0053C503 rejected for policy reasons
[snapback]84578" rel="nofollow" target="_blank[/snapback]​
[/quote]
Значит в Вашем случае smtp extention не сработало, следовательно сие
<!--QuoteBegin-Morpeh+7:11:2007, 13:55 -->
<span class="vbquote">(Morpeh @ 7:11:2007, 13:55 )</span><!--QuoteEBegin-->В конфигурационном документе сервера не выставлены ограничения размера?
выставлено, 15360 Kb
[snapback]84595" rel="nofollow" target="_blank[/snapback]​
[/quote]
не совсем похоже на правду :)
Не получил он это письмо согласно правилу, следовательно не отработали exception для пользователя, почему вопрос именно Вам, видимо роутер не смог определить вхождение пользователя user@my domain.ru в группу vip пользователей, имя отправителя сдесь роли не играет
Наводящие вопросы:
1)как вы определяете exception для группы пользователей
2)Увашего пользователя по которому письмо не прошло несколько имен
3)Recipient при недоставке и получении письма одинаков
PS Я в чудеса не верю я ими пользуюсь...
 
M

Morpeh

<!--QuoteBegin-collection+8:11:2007, 11:44 -->
<span class="vbquote">(collection @ 8:11:2007, 11:44 )</span><!--QuoteEBegin-->Значит в Вашем случае smtp extention не сработало, следовательно сие
Цитата(Morpeh @ 7:11:2007, 13:55 )

В конфигурационном документе сервера не выставлены ограничения размера?
выставлено, 15360 Kb
*


[snapback]84700" rel="nofollow" target="_blank[/snapback]​
[/quote]


Прошу прошения по запарке написал не правильно.
1560576 byte это значение стоит в правиле,
а в конфигурационном документе сервера стояло Maximum message size:10240 КБ


<!--QuoteBegin-collection+8:11:2007, 11:44 -->
<span class="vbquote">(collection @ 8:11:2007, 11:44 )</span><!--QuoteEBegin-->С вашими настройками (Maximum message size:1024 и SIZE extension:enabled) письмо от внешнего адресата размером больше мегабайта не могло быть получено не прикаких обстоятельствах! Он мог получать почту большего размера только при пустом поле maximum message size, следовательно Вы либо что то не договариваете, либо не понимаете о чем говорите...
И давайте наконецто внесем ясность:
[snapback]84700" rel="nofollow" target="_blank[/snapback]​
[/quote]

Да я не корректно выдал ситуацию, блин надо в отпуск, уже бошка вообще не варит :) :(




<!--QuoteBegin-collection+8:11:2007, 11:44 -->
<span class="vbquote">(collection @ 8:11:2007, 11:44 )</span><!--QuoteEBegin-->1)как вы определяете exception для группы пользователей
[snapback]84700" rel="nofollow" target="_blank[/snapback]​
[/quote]

Вот текст правила

When size is more than 1560576 bytes don't deliver message - send NDR full Except when sender contains Лотус имя(user1) OR sender contains Лотус имя(user2) OR sender contains Лотус имя(user3) To contains Интернет адрес(user1)@my domain.ru OR To contains Интернет адрес(user1)@my domain2.ru OR To contains Интернет адрес(user2)@my domain.ru OR To contains Интернет адрес(user2)@my domain2.ru OR To contains Интернет адрес(user3)@my domain.ruOR To contains Интернет адрес(user3)@my domain2.ru


<!--QuoteBegin-collection+8:11:2007, 11:44 -->
<span class="vbquote">(collection @ 8:11:2007, 11:44 )</span><!--QuoteEBegin-->2)Увашего пользователя по которому письмо не прошло несколько имен
[snapback]84700" rel="nofollow" target="_blank[/snapback]​
[/quote]


Да, два интернет адреса, потому и в правиле написано что Интернет адрес(user1)@my domain.ru и Интернет адрес(user1)@my domain2.ru






<!--QuoteBegin-collection+8:11:2007, 11:44 -->
<span class="vbquote">(collection @ 8:11:2007, 11:44 )</span><!--QuoteEBegin-->Recipient при недоставке и получении письма одинаков
[snapback]84700" rel="nofollow" target="_blank[/snapback]​
[/quote]

да одинаковы, но есть один момент,не знаю мог ли он повлиять, у этого пользователя в правиле прописан интернет адрис с маленькой буквы user1@my domain.ru, а в не доставленном письме в поле кому указан адрес с большой User1@my domain.ru, это я к тому =>
<!--QuoteBegin-collection+8:11:2007, 11:44 -->
<span class="vbquote">(collection @ 8:11:2007, 11:44 )</span><!--QuoteEBegin-->видимо роутер не смог определить вхождение пользователя user@my domain.ru в группу vip пользователей,
[snapback]84700" rel="nofollow" target="_blank[/snapback]​
[/quote]
:huh:
 
C

collection

Регистр значения не имеет, а тперь представим ситуацию, что особо умный отправитель помещает вашего пользователя в скрытую копию, т.е. поля СС, BCC оказываются в правиле не рпописанными ессно роутер даст отлуп такому письму :)

и еще не проще ли указать имя User1(если конечно нет повторяющихся имен) роутер ищет вхождения ....
<!--QuoteBegin-Morpeh+8:11:2007, 08:47 -->
<span class="vbquote">(Morpeh @ 8:11:2007, 08:47 )</span><!--QuoteEBegin-->в конфигурационном документе сервера стояло Maximum message size:10240 КБ
[snapback]84713" rel="nofollow" target="_blank[/snapback]​
[/quote]
МОй Вам совет, работаете с правилами, не используете эту опцию :huh:
 
M

Morpeh

<!--QuoteBegin-collection+8:11:2007, 13:33 -->
<span class="vbquote">(collection @ 8:11:2007, 13:33 )</span><!--QuoteEBegin-->Регистр значения не имеет, а тперь представим ситуацию, что особо умный отправитель помещает вашего пользователя в скрытую копию, т.е. поля СС, BCC оказываются в правиле не рпописанными ессно роутер даст отлуп такому письму
[snapback]84720" rel="nofollow" target="_blank[/snapback]​
[/quote]


Да в первом отлупном письме получатель был в CC. :huh:
Да блин промах :D , это значит мне надо добавить в правило OR To or Cc и OR Bcc, просто я основываля на том что в логах нашего релея сервера (send mail) пишется TO, не зависимо от того был получатель в CC,BCC.


Но момент теперь такой,что бы проверить из-за этого ли письмо не прошло,не меняя конфигурации правила, я попробовал выслать письмо с внешнего адреса, типа mail.ru, с параметрами ТО и Cc, ТО и Bcc. На получателя указанного в Cc,Bcc письмо пришло, ну и соотвественно на получателя указанного в TO, возможно оно приходит из-за того что я отключил

Inbound SMTP Commands and Extensions
SIZE extension: Disabled ?? :huh:


Извините если что за мой вопросы, я с домино только более менее стал осваиваться :D
 
C

collection

Искренне надеюсь что при проверке получатели в полях ТО и Cc,ТО и Bcc разные иначе смысл проверки не совсем понятен. И еще проверять нужно на письме размером большим чем установлено в правилах, иначе в этом так же нет смысла. По идее при отправке ипсьма more than 1560576 bytes с полями To:User1 CC:User2, пользователь user1 письмо получит user2 нет...
ps или возмите выходные за свой счет :D
 
M

Morpeh

<!--QuoteBegin-collection+8:11:2007, 17:38 -->
<span class="vbquote">(collection @ 8:11:2007, 17:38 )</span><!--QuoteEBegin-->Искренне надеюсь что при проверке получатели в полях ТО и Cc,ТО и Bcc разные иначе смысл проверки не совсем понятен
[snapback]84783" rel="nofollow" target="_blank[/snapback]​
[/quote]

Конечно же получатели в полях ТО и Cc,ТО и Bcc разные :)

<!--QuoteBegin-collection+8:11:2007, 17:38 -->
<span class="vbquote">(collection @ 8:11:2007, 17:38 )</span><!--QuoteEBegin-->И еще проверять нужно на письме размером большим чем установлено в правилах, иначе в этом так же нет смысла.
[snapback]84783" rel="nofollow" target="_blank[/snapback]​
[/quote]

Да так и делал.

<!--QuoteBegin-collection+8:11:2007, 17:38 -->
<span class="vbquote">(collection @ 8:11:2007, 17:38 )</span><!--QuoteEBegin-->По идее при отправке ипсьма more than 1560576 bytes с полями To:User1 CC:User2, пользователь user1 письмо получит user2 нет...
[snapback]84783" rel="nofollow" target="_blank[/snapback]​
[/quote]

у меня пришло к обоим получателям, To:User1 CC:User2, To:User1 Bcc:User2 :(


на верное что то в правиле не так я на тыкал, вот блин попал так попал.


<!--QuoteBegin-collection+8:11:2007, 17:38 -->
<span class="vbquote">(collection @ 8:11:2007, 17:38 )</span><!--QuoteEBegin-->ps или возмите выходные за свой счет
[snapback]84783" rel="nofollow" target="_blank[/snapback]​
[/quote]


Сказали пока не отчитаешь почему!, не о каком виде отпуска даже не думай :D
 
C

collection

Ну чтож помогу Вам уйти на заслуженный отдых :) :
Итак задача
Дано:
When size is more than 1560576 bytes don't deliver message - send NDR full Except when sender contains Лотус имя(user1) OR sender contains Лотус имя(user2) OR sender contains Лотус имя(user3) To contains Интернет адрес(user1)@my domain.ru OR To contains Интернет адрес(user1)@my domain2.ru OR To contains Интернет адрес(user2)@my domain.ru OR To contains Интернет адрес(user2)@my domain2.ru OR To contains Интернет адрес(user3)@my domain.ruOR To contains Интернет адрес(user3)@my domain2.ru
Решение:
Отправляем письмо c полями To:user1@my domain.ru CC:novip@my domain.ru
Письмо действительно получают оба
Отправляем письмо c полями TO:novip@my domain.ru
письму идет отлуп
Отправляем письмо c полями CC:novip@my domain.ru
письму идет отлуп
Вывод: Если в заголовке письма присутствет пользователь удовлетворяющий критериям правила письмо доставляется всем указанным получателям :(

<!--QuoteBegin-Morpeh+8:11:2007, 14:16 -->
<span class="vbquote">(Morpeh @ 8:11:2007, 14:16 )</span><!--QuoteEBegin-->Сказали пока не отчитаешь почему!, не о каком виде отпуска даже не думай
[snapback]84796" rel="nofollow" target="_blank[/snapback]​
[/quote]
Валите на антиспамовую защиту, блек листы и т.д. :D
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ