Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1312 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

smtp bounce as a security hole?!

mortred
If a mail is received by the asl smtp proxy, thats destination is *not* one of the allowed forwarding domains, qmail bounces the mail back to the "sender". If I fake the "senders"-mail address with the address of a person whom I want to receive spam, I think I could use any astaros smtp-proxy as a open-spam-relay - is that right? Is there a fix? Or a workaround?

regards
mortred


This thread was automatically locked due to age.
  • 0
    I think you are right. Look at this bounce notification message my admin account received:

    Hi. This is the qmail-send program at asl.egcsd.ca.gov.
    I tried to deliver a bounce message to this address, but the bounce bounced!

    :
    192.168.100.200 does not like recipient.
    Remote host said: 501 5.5.4 Invalid Address
    Giving up on 192.168.100.200.

    --- Below this line is the original bounce.

    Return-Path: <>
    Received: (qmail 15004 invoked from network); 5 Mar 2002 02:08:20 -0000
    Received: from unknown (HELO mitch) (209.142.57.199)
      by 192.168.0.100 with SMTP; 5 Mar 2002 02:08:20 -0000
    From: Hahaha 
    Subject: Snowhite and the Seven Dwarfs - The REAL story!
    MIME-Version: 1.0
    Content-Type: multipart/mixed; boundary="--VERC9IR0PYNC9IJ4L2NS5230P"

    (snip)
  • 0 in reply to Jack1
    Hi all,

    sorry but you are not right and there is no open-spam-relay or other issue!
     
    If you send a email from a IP which is not listed in Mail relay for: to the smtp proxy with a recipient domain which is not listed in Accept incoming domains: you got:

     
    Otherwise if your sender IP is listed in Mail relay for: the proxy will deliver your email via MX routing or configured SMTP routes:.
     
    So everything is like it should be.
    I think you wrote about the problem to deliver 'virus found' notification to the sender of the virus email which doesn't exist...

    [ 05 March 2002: Message edited by: Markus Hennig ]
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Markus Hennig
					
									
    
	
    

		
		
    
					
    The trick is to address the spam message to a non-existant name on the ACCEPTED mail relay list (internal mail server) and the bounce message, including the spam will be sent to the faked return address.  The spam is a bounce message from the admin of your server.  Astaro is not at fault though.  I think if you accept mail for a domain, you need to have the internal server take care of the non-existant address bounce problem.
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	





	
			








































			






















Unfiltered HTML