Re: Re: 4.0b6 bug with AUTH?

От: Dmitry Akindinov <dimak_at_mx_ru>
Дата: Fri 09 Aug 2002 - 13:00:46 MSD

Hello, on 09.08.2002 12:44, Anthon Nikolayev at a.nikolayev@energy.kz wrote:

> Dmitry Akindinov wrote:
> 

>>> Имеем след. ситуацию:
>>> adsl.user и dial-up.user не присутствуют в списке Client IP Addresses.
>>> В свойствах обоих юзеров стоит: AccessModes =
>>> (12,Mail,POP,WebMail,Relay,Mobile,TLS)
>>>
>>> У сервера:
>>> AUTH to: "everybody"
>>> When used by an Authenticated Mobile User: Process as a Client Address -
>>> checked
>>> Relay to Any IP Address: If Received from: "Clients" IP Address
>>>
>>> Почему в первом случае релей проходит (хотя не должен)? IP у adsl.user
>>> не изменяется.
>>>
>>>

>> 
>> "will relay mail from a client address" - все-таки, по какой-то причине
>> адрес adsl.user расценивается сервером как клиентский. Возможно, что недавно
>> с этого адреса была успешно выполнена аутентикация (POP3/IMAP/Webuser).
>> 
>> 
> Недавно это когда? Время жизни IP в таблице = 1 мин -  TempClientTime =  1m;
> Проверяют почту они не чаще одного раза в 10 минут, причём сразу на два
> аккаунта.

Так посмотрите по логам, не было ли такого доступа.

>> 
>> 

>>> И второй вопрос - почему клиентское ПО не посылает AUTH для версии
>>> сервера 4.0b6 (в 4.0b5 вроде работало)
>>>
>>>

>> 
>> Посылает - если Advertise AUTH установлено. Просто, в логах можно этого не
>> увидеть - лишь часть посылаемых сервером данных попадает в лог. Попробуйте
>> посмотреть, что отвечает сервер на команду EHLO в telnet'овской сессии.
>> 
>> 
> 220 kazngm.kz ESMTP CommuniGate Pro 4.0b6 is glad to see you!
> EHLO
> 250-kazngm.kz domain name should be qualified
> 250-HELP
> 250-PIPELINING
> 250-ETRN
> 250-DSN
> 250-TURN
> 250-ATRN
> 250-SIZE 10485760
> 250-STARTTLS
> 250-AUTH=NTLM
> 250-AUTH=LOGIN
> 250-AUTH LOGIN PLAIN CRAM-MD5 DIGEST-MD5 NTLM
> 250 EHLO
> 
> 220 kazngm.kz ESMTP CommuniGate Pro 3.5.9 is glad to see you!
> EHLO
> 250-kazngm.kz domain name should be qualified
> 250-HELP
> 250-PIPELINING
> 250-ETRN
> 250-DSN
> 250-TURN
> 250-ATRN
> 250-SIZE 10485760
> 250-STARTTLS
> 250-AUTH=LOGIN
> 250-AUTH LOGIN PLAIN CRAM-MD5 DIGEST-MD5
> 250 EHLO

Вот попробуйте в 4.0б6 отключить Advertise NTLM

>>> 16:33:14.48 4 SMTPI-00005([adsl.user]) got connection on [somehost.ip:25]
>>> 16:33:14.48 5 SMTPI-00005([adsl.user]) out: 220 somehost.ru ESMTP
>>> CommuniGate Pro 4.0b6 is glad to see you!\r\n
>>> 16:33:14.60 5 SMTPI-00005([adsl.user]) inp: HELO user
>>> 16:33:14.60 5 SMTPI-00005([adsl.user]) out: 250 somehost.ru we trust you
>>> user\r\n
>>> 16:33:14.72 5 SMTPI-00005([adsl.user]) inp: MAIL FROM: <user1@energy.kz>
>>> 16:33:14.72 5 SMTPI-00005([adsl.user]) out: 250 user1@somehost.ru sender
>>> accepted\r\n
>>> 16:33:14.84 5 SMTPI-00005([adsl.user]) inp: RCPT TO: <remuser@boeing.com>
>>> 16:33:14.84 5 SMTPI-00005([adsl.user]) out: 250 remuser@boeing.com will
>>> relay mail from a client address\r\n
>>>
>>>

>> (сервер считатет что adsl.user - клиент)
>> 
>> 
>> 

>>> 16:33:14.96 5 SMTPI-00005([adsl.user]) inp: DATA
>>>
>>> 19:08:38.32 4 SMTPI-00001([dial-up.user]) got connection on [somehost.ip:25]
>>> 19:08:38.32 5 SMTPI-00001([dial-up.user]) out: 220 somehost.ru ESMTP
>>> CommuniGate Pro 4.0b6\r\n
>>> 19:08:38.51 5 SMTPI-00001([dial-up.user]) inp: EHLO jscwv8gvj03fui
>>> 19:08:38.51 5 SMTPI-00001([dial-up.user]) out: 250-somehost.ru domain
>>> name should be qualified
>>> jscwv8gvj03fui\r\n250-HELP\r\n250-PIPELINING\r\n250-ETRN\r\n250-DSN\r\n250-T
>>> UR
>>> N\r\n250-ATRN\r\n250-SIZE
>>>
>>>

>> 
>> (AUTH может быть дальше в списке - но это просто не попало в лог.)
>> 
>> 
>> 

>>> 19:08:38.78 5 SMTPI-00001([dial-up.user]) inp: MAIL FROM:
>>> <user2@somehost.ru>
>>> 19:08:38.78 5 SMTPI-00001([dial-up.user]) out: 250 user2@somehost.ru
>>> sender accepted\r\n
>>> 19:08:39.00 5 SMTPI-00001([dial-up.user]) inp: RCPT TO: <dio_13@mail.ru>
>>> 19:08:39.00 4 SMTPI-00001([dial-up.user]) checking MX-record for mail.ru
>>> 19:08:39.14 4 SMTPI-00001([dial-up.user]) checking relay mxs.mail.ru
>>> 19:08:39.29 3 SMTPI-00001([dial-up.user]) Recipient dio_13@mail.ru
>>> rejected: relaying prohibited. You should authenticate first
>>> 19:08:39.29 5 SMTPI-00001([dial-up.user]) out: 473 dio_13@mail.ru
>>> relaying prohibited. You should authenticate first\r\n
>>>
>>>

>> 
>> Все верно - попыток аутентицироваться не было.
>> 
>> 
> Посмотрите на время.....я даже не отключал клиента (соседнюю машину).
> Просто вернулся к стабильной версии сервера, это заняло меньше минуты.......
> 
>> 
>> 

>>> 19:08:42.27 5 SMTPI-00001([dial-up.user]) inp: QUIT
>>> 19:08:42.27 5 SMTPI-00001([dial-up.user]) out: 221 somehost.ru
>>> CommuniGate Pro SMTP closing connection\r\n
>>> 19:08:42.27 4 SMTPI-00001([dial-up.user]) closing connection
>>> 19:08:42.27 4 SMTPI-00001([dial-up.user]) releasing stream
>>>
>>> Тут мы быстро откатились на версию 3.5.9 и сразу же получили AUTH от
>>> клиента (за время тестирования изменения в настройках клиентского ПО не
>>> проводились) .
>>>
>>>

>> 
>> А что за клиентское ПО используется?
>> Если это что-то от Майкрософт - поробуйте отключить оповещение о поддержке
>> AUTH NTLMна сервере - это может помочь.
>> 
>> 
> Да он включен, судя по ответу на EHLO.
> Как это сделать в 4.0b6? Это не помогает -  #cat SMTP.settings
> ---
> AdvertizeAUTH =  everybody;
> AdvertizeNTLM =  nobody;
> ---

В 4.0б6 это отключается на странице WebAdmin -> Settings -> Obscure -> Login security -> Advertise NTLM SASL method.

> А в 3.5.9 выключен.
> 
> Клиентское ПО - Microsoft Outlook и OE. Приемущественно первое.

-- 
Best regards,
Dmitry Akindinov -- Stalker Labs

Получено Fri Aug 09 09:00:47 2002