• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Обратный адрес интернет почты

  • Автор темы Oksana
  • Дата начала
O

Oksana

Доброго дня всем!

Вот заинтерсовал такой момент.
В документе "место вызова" в личной АК, есть поле "Обратный адрес интернет-почты", который при установке клиента автоматически заполняется из соответствующего поля документа персоны данного пользователя.
Но в дальнейшем мне ни чего не помешает поменять это поле ручками. Что при этом я получаю, отправляя письмо на внешинй адрес, получатель письма видит мое имя, но чужой емайл. А если кто-то немного подшаманит, то может и получится, что возможно отправить почту из лотуса от чужого имени? Что явно чревато нежелательными последствиями.

Пожалуйста, проясните мне этот момент и можно ли вообще избежать подстановки чужого обратного адреса?
 
P

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
<!--QuoteBegin-Oksana+28:08:2007, 23:25 -->
<span class="vbquote">(Oksana @ 28:08:2007, 23:25 )</span><!--QuoteEBegin-->Что явно чревато нежелательными последствиями.
[snapback]76664" rel="nofollow" target="_blank[/snapback]​
[/quote]
А какими?

Я этим часто пользуюсь, если надо отправить почту от моего другого адреса.
 
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
Oksana сказал(а):
В документе "место вызова" в личной АК, есть поле "Обратный адрес интернет-почты"
...
Пожалуйста, проясните мне этот момент и можно ли вообще избежать подстановки чужого обратного адреса?
Нажмите, чтобы раскрыть...
Это поле используется при автономной работе Notes-а как pop3/smtp-клиента. Т.е. в то время, когда Доминошный сервер м.б. и не доступен ВОВСЕ (т.е. из АК "правильный" адрес не возьмешь). Потому - поле в Личной АК.
С др. стороны автономная работа клиента допускает общение с разными серверами (вы, примеру, имеете account не только на mail.ru, но и на gmail - не считая корпоративного сервера). Соответственно для каждого из них д.б. СВОЙ обратный адрес.
Ы?
 
P

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
<!--QuoteBegin-Constantin A Chervonenko+29:08:2007, 05:48 -->
<span class="vbquote">(Constantin A Chervonenko @ 29:08:2007, 05:48 )</span><!--QuoteEBegin-->Это поле используется при автономной работе Notes-а как pop3/smtp-клиента.
[snapback]76704" rel="nofollow" target="_blank[/snapback]​
[/quote]

Почему только при автономной работе? У меня оно отрабатывает всегда.
 
O

Oksana

puks сказал(а):
А какими?

Я этим часто пользуюсь, если надо отправить почту от моего другого адреса.
Нажмите, чтобы раскрыть...

Да речь как раз не о благонадежном использовании, а наоборот.
Например, найдется кадр, который напишет какую-нибудь ерунду от имени ген.дира кому-нибудь из клинетов (ну это пример, ситуаций может быть масса). В ответ ген. дир. получит ответ опять же в вариациях от недоразумений до возмущений по поводу полученного.
Я, конечно, проверила как ходит почта при этом. Действительно обратный адерс можно поставить любого из сотрудников, но в полученном письме присутвует ваше имя, что вроде бы исключает желание позабавится таким образом.
Но хотелось бы знать, возможно ли технически исключить подобные попытки. В параметрах письма, есть возможность указать адрес, на который вы хотели бы чтобы был отправлен ответ, вполне достатоно.
То что импользуется адрес для поп3, тоже понятно. Вопрос, о том чтобы он соответсвовал адресу в документе персона.
 
P

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
В свое время мы так позабавились. Создали напрямую письмо в mail.box и отправили от имени одного товарища начальнику. Ну он был в курсе и спросил у этому товарища. Ты, мол, зачем мне такие письма пишешь? Но мы просто решали тех.задачу.
За всю мою многолетнюю практику я ни разу не встретился с тем, чтобы кто-то внутри организации захотел так пошуть всерьез. Хорошие айтишники быстро его выведут на чистую воду, и последствия будут плачевными. Так что не забивай себе голову.
 
O

Oksana

puks сказал(а):
За всю мою многолетнюю практику я ни разу не встретился с тем, чтобы кто-то внутри организации захотел так пошуть всерьез. Хорошие айтишники быстро его выведут на чистую воду, и последствия будут плачевными. Так что не забивай себе голову.
Нажмите, чтобы раскрыть...
Я за свою практику с таким сталкивалась, в другой компании.
И в даннйо ситуации голову не я себе забиваю, а ко мне обратились по поводу этой ситуации. Предварительный ответ я уже дала, то что имя исходное там присутвует и действительно можно знать кто отправил.
Но всегда лучше предотвратить ситуацию, чем разгребать последствия.
 
P

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Единственное, что я вижу, это скрывать это поле в Location. Можно еще журналирование включить, чтобы почту отслеживать.
 
N

NiK Plet

Оксана, спасибо! Пригодилось:blink:
 
O

Oksana

Поднимаю свою старую тему.
Опять безопасники с ножом к горлу пристали :)
Как можно сделать чтобы при отправке почты инет-адрес брался только из документа персоны общей АК, а не из локэйшена?
У нас сервер 6.5.5, но интересно как это реализовано и в более высоких версиях.

И поясните, пожалуйста, как работает параметр SMTPVerifyAuthenticatedSender в нотес.ини, не очень по хелпу поняла
 
A

Akupaka

ребята изучайте и используйте электронную подпись!
фиктивное письмо можно отправить и по обычной почте, представившись чужим именем.
в электронке этого сделать нельзя, без наличия id-файла (и доступа к нему)
Оксана, рекомендую самой изучить этот вопрос и безопасников подтолкнуть для утверждения использования электронной подписи :)
 
O

Oksana

Akupaka сказал(а):
ребята изучайте и используйте электронную подпись!
фиктивное письмо можно отправить и по обычной почте, представившись чужим именем.
в электронке этого сделать нельзя, без наличия id-файла (и доступа к нему)
Оксана, рекомендую самой изучить этот вопрос и безопасников подтолкнуть для утверждения использования электронной подписи :)
Нажмите, чтобы раскрыть...
И все-таки вопрос о другом. Неужели нельзя настройками запретить подстановку инет адреса и личной АК, а указать чтобы всегда шел адрес из документа персоны?
 
O

Oksana

Oksana сказал(а):
И все-таки вопрос о другом. Неужели нельзя настройками запретить подстановку инет адреса и личной АК, а указать чтобы всегда шел адрес из документа персоны?
Нажмите, чтобы раскрыть...
всем спасибо, кажется решение найдено, будем проверять в понедельник
всем отличных выходных! :)
Ссылка скрыта от гостей
 
V

vvlad

Hi ALL!

У меня противоположная ситуация - не могу заставить R8.5 при отправке почты в поле From вставлять данные из места вызова.

Имеется два домена domain1.ru и domain2.ru,
Создан документ Global Domain, в котором прописан alias domain1.ru=domain2.ru
В настройках MIME установлено: RFC822 phrase handling: Use CN as phrase
У пользователя в NAB internet address=user@domain1.ru.
Настроено два места вызова с разными "internet mail address" - user@domain1.ru и user@domain2.ru

В итоге почта из любого места вызова уходит с "From:user@domain1.ru"

Пробовал изменять RouterUseFromAsSMTPOriginator в notes.ini - не помогло.

Подскажите куда копать?

Спасибо!
 
P

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
vvlad

Проверь свой notes.ini . Может у тебя там слишком много наворочено?

Ссылка скрыта от гостей
 
V

vvlad

Спасибо разобрался.

RouterTranslateSpecial=0 - обратный адрес берется из места вызова
RouterTranslateSpecial=1 - обратный адрес берется из каталога Domino
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ