29-05-07

vlaanderen.be zijn zelf spamservers......

Indien mailservers niet goed zijn ingesteld kunnen ze worden gebruikt als spamservers. Dit betekent dat uw mailservers kunnen gebruikt worden voor het verzenden van een email van iemand anders die vertrekt vanop een andere mailserver en die toekomt op de mailserver en in de mailbox (als die door filters geraakt) van iemand anders.

 

Zo vb stuur ik email van server c;c;c;c;c  met een ander emailadres in het slechtste geval mark@tino.be naar de server van Vlaanderen.be om te versturen naar pieter@hoeke.be  Omdat de meeste servers dit gelukkig niet zullen toelaten (een emailserver verstuurt slechts mail van haar eigen klanten en niet voor het hele internet) worden er nu veel meer samengestelde emailadressen gemaakt waardoor de emailserver indien ze niet goed is ingesteld en geen domeinkeys of spf gebruikt niet controleert of de email die de indruk geeft te komen van hun eigen klanten (vlaanderen.be) wel echt van het eigen domein komt.

 

Je hebt simpele open relay testen en je hebt er die veel dieper gaan en meer samengestelde testen doen. Op 10 testen hebben de mailservers van Vlaanderen.be 2 maal gefaald en dat is dan op de meer ingewikkelde nieuwe technieken om simpele antirelayverdedigingen te omzeilen (doorsturen, copies, bcc,...)

 

Relay test 17

>>> RSET
<<< 250 reset
>>> MAIL FROM: <rlychk@mx1.vlaanderen.be>
<<< 250 sender <rlychk@mx1.vlaanderen.be> ok
>>> RCPT TO: <"rlytest%rep.rbl.jp"@vlaanderen.be>
<<< 250 recipient <rlytest%rep.rbl.jp@vlaanderen.be> ok
relay accepted!!

Relay test 18

>>> RSET
<<< 250 reset
>>> MAIL FROM: <rlychk@mx1.vlaanderen.be>
<<< 250 sender <rlychk@mx1.vlaanderen.be> ok
>>> RCPT TO: <"rlytest@rep.rbl.jp"@vlaanderen.be>
<<< 250 recipient <rlytest@rep.rbl.jp@vlaanderen.be> ok
relay accepted!!

Relay test 19

>>> RSET
<<< 250 reset
>>> MAIL FROM: <rlychk@localhost>
<<< 250 sender <rlychk@localhost> ok
>>> RCPT TO: <rlytest@rep.rbl.jp>
<<< 550 #5.1.0 Address rejected.
relay NOT accepted!!

Closing connection ...

>>> QUIT
<<< 221 mx3.vlaanderen.be

Relay test result

All tests performed, 2 relays accepted.

bron http://www.rbl.jp/cgi-bin/svcheck.cgi?hostname=193.191.13...

 

Ze mogen dus nog van geluk spreken dat ze nog niet in een blacklist zitten, want indien je emaildomein of je mailservers daarin geraken (en Vlaanderen.be heeft er maar twee) dan duurt het maanden om daar helemaal uit te geraken. Ook juridisch gezien lopen ze grote risico's indien het zo zou zijn dat hun mailservers door spammers gebruikt zou worden om spam te versturen naar anderen die klacht zouden kunnen neerleggen op basis van de Europese wetgeving.

 

Ligt het probleem dus nog altijd bij meer servers ?

 

UPDATE 30/05 De servers van Vlaanderen.be zijn nu wel afgesloten voor dit soort relay-scripts. Test het misschien maar eens tegen het uwe en sluit uw server dan ook maar af.

01:02 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (7) |  Facebook |

Commentaren

goede voorbeeld Ik vind het echt frappant dat de overheid zo vaak faalt om het goede voorbeeld te geven. Dit is slechts een van de vele domeinen, maar toch...

Gepost door: Joris | 29-05-07

Zever Doe uw test maar opnieuw want die servers accepteren geen karakters zoals %, ! en andere. Een scriptje laten lopen kan iedereen, echt security testen is iets anders.

Gepost door: Wim | 30-05-07

Werkt niet Het voorbeeld werkt niet en bewijst niets.

Dit is sensatie journalistiek zonder onderbouw...

Gepost door: Buzzman | 30-05-07

idd zever het is niet omdat ne server dat accept, dat het die ook doorstuurt. Een anti-spam oplossing is meer dan een anti-relay.

Gepost door: franky | 30-05-07

Beste ekz,

Die test kijkt enkel of de mailserver iets aanvaardt, niet of het dat ook effectief doorstuurt. Daarnaast hebben een aantal mensen de server getest vóór ze de server die mails ook lieten weigeren, en hun mails werden *niet* doorgestuurd (wel aangenomen).

Je hebt je m.a.w. een beetje belachelijk gemaakt.

Maar erger is dat journalisten van een magazine dat zich "IT Profesional" noemt het bericht van een willekeurige blogger zonder kennis van zake gewoon overnemen zonder dat eerst zelf te controleren.

Gepost door: JanC | 30-05-07

een aantal mensen vindt het dus nodig om op de man te spelen en dit is spijtig want

* als die test niets betekent, waarom werden de servers nadien dan wel toegesmeten ?

* u antwoord ook niet op de vaststelling dat er op het internet een hele serie emailadressen staan van ambtenaren staan zonder enige bescherming

* u antwoordt ook niet op de vaststelling dat er geen domainkeys of spf wordt gebruikt om de servers te identificeren en dus misbruik te voorkomen

* u antwoordt ook niet op de vaststelling dat er in België nog altijd geen Internet Storm Center is die in dergelijke gevallen kan tussenkomen en coördineren.

Gepost door: ekz | 30-05-07

"""een aantal mensen vindt het dus nodig om op de man te spelen en dit is spijtig want"""

Jij beschuldigde toch ook onterecht de mensen die verantwoordelijk zijn voor de vlaanderen.be mailservers?

"""als die test niets betekent, waarom werden de servers nadien dan wel toegesmeten ?"""

Het betekent wel _iets_, het is echter gewoon geen bewijs dat het een open relay is. En mogelijk is het beter als die meer toe staat (op voorwaarde dat ze die functionaliteit niet nodig hebben). Maar ik gok dat ze dat voornamelijk vanwege public relation gedaan hebben ("kijk we doen iets").

"""u antwoord ook niet op de vaststelling dat er op het internet een hele serie emailadressen staan van ambtenaren staan zonder enige bescherming"""

Zoals reeds gezegd bij je andere artikel: hoe moet je die ambtenaren anders bereiken?

"""u antwoordt ook niet op de vaststelling dat er geen domainkeys of spf wordt gebruikt om de servers te identificeren en dus misbruik te voorkomen"""

Domainkeys & SPF zijn (nog) geen standaard, en een aantal specialisten hebben al manieren gevonden om het op zich weer te misbruiken...

"""u antwoordt ook niet op de vaststelling dat er in België nog altijd geen Internet Storm Center is die in dergelijke gevallen kan tussenkomen en coördineren."""

Dat er aan het BIPT & co. veel moet veranderen voor ze hun werk kunnen doen zoals het hoort, dat zeg ik al bijna zo lang als ik op internet zit.

Gepost door: JanC | 30-05-07

De commentaren zijn gesloten.