Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 4639 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL mail relay spoof

OfficeDefender
It appears that hackers have figured out how to use ASL as an illegal mail relay.  Spammers are sending mail as if it's coming from port 25 on a legitimate mail server (e.g. AOL), and into Astaro on a high ephemeral port (e.g. 43300) with ACK PSH.  The same packet is sent again, to the same port, as ACK FIN.  Astaro then turns that packet around and sends it back to the "source" (the spoofed IP address) and it appears to that mail server as a legitimate packet and it is processed.  The result is that ASL can become an open relay.  Somehow, ASL is absorbing these illegal packets and processing them rather than rejecting them by default.   


This thread was automatically locked due to age.
Parents
  • 0
    Sorry, but this is not true. While IP spoofing may cause ASL to send packets to the spoof victim (this is a general networking effect, not ASL specific), this has nothing to do with being an "open relay".

    If your ASL was or is an open relay, here are the possible reasons:

    - incorrectly configured proxies ("Any" in allowed networks)
    - using proxy auth with misconfigured SAM or RADIUS auth types
    - "creative" NAT rules (port bouncers)

    regards,

    /tom
      
  • 0 in reply to tom_01
    So Reed, from what Tom seems to be saying between the lines, the Astaro will in no way initiate a SYN sequence to the victim relay. So the following should not be possible:

    Hacker impersonating Spam Target=>???=>Victim Relay using Astaro
    (initially, and possibly again during any of the steps that follow)
    Victim Relay using Astaro=>SYN=>Spam Target (crucial step!)
    Spam Target=>SYN+ACK=>Victim Relay using Astaro
    Victim Relay using Astaro=>ACK=>Spam Target

    It might respond to spoofs with other sequences, but the spam target should not establish a TCP session based on those wacky packet responses.

    If you can get a network trace, I'm sure Tom would have a look. tcpdump or Windows Netowrk Monitor, on a mini-hub (my reseller CD has the tcpdump on the Linux by default, for just such short-notice surprises...)

    P.S. I (and Astaro, for that matter!) cannot account for software accepting TCP session creation without an initial SYN. So if there's a tcp stack out there that permits such a thing, it's not Astaro's but that software's problem (going by RFC). Of course if that was ever shown to be the problem in spades, Astaro would probably make some accomodation for an operating system not playing by the rules of the 'net.

Reply
  • 0 in reply to tom_01
    So Reed, from what Tom seems to be saying between the lines, the Astaro will in no way initiate a SYN sequence to the victim relay. So the following should not be possible:

    Hacker impersonating Spam Target=>???=>Victim Relay using Astaro
    (initially, and possibly again during any of the steps that follow)
    Victim Relay using Astaro=>SYN=>Spam Target (crucial step!)
    Spam Target=>SYN+ACK=>Victim Relay using Astaro
    Victim Relay using Astaro=>ACK=>Spam Target

    It might respond to spoofs with other sequences, but the spam target should not establish a TCP session based on those wacky packet responses.

    If you can get a network trace, I'm sure Tom would have a look. tcpdump or Windows Netowrk Monitor, on a mini-hub (my reseller CD has the tcpdump on the Linux by default, for just such short-notice surprises...)

    P.S. I (and Astaro, for that matter!) cannot account for software accepting TCP session creation without an initial SYN. So if there's a tcp stack out there that permits such a thing, it's not Astaro's but that software's problem (going by RFC). Of course if that was ever shown to be the problem in spades, Astaro would probably make some accomodation for an operating system not playing by the rules of the 'net.

Children
No Data