Hallo

Welkom, Gast. Alsjeblieft inloggen of registreren.

Recent

229 gasten, 0 leden

Welkom, Gast. Alsjeblieft inloggen of registreren.

28 maart 2024, 16:55:31

Login met gebruikersnaam, wachtwoord en sessielengte

Nieuws

Welkom op het vernieuwde NL Computer Forum!

Auteur Topic: Tip: let op /etc/hosts.deny als je een eigen mailserver draait (ALL: PARANOID)  (gelezen 12787 keer)

0 leden en 1 gast bekijken dit topic.

Offline Ronald

  • Forum Manager
  • *****
  • Berichten: 1.856
  • Geslacht: Man
    • NL Computer Forum
Beste Forumleden,

Zo heel af en toe had ik de indruk dat mail mij niet bereikte. Maar ik deed dat maar af als iets incidenteels, want héél veel andere mails kwamen immers wél goed aan.

Vandaag had ik dat heel concreet bij de hand, bij het bestellen van kaarten van theater Carré. Je moet je daarvoor aanmelden, en na het ingeven van mijn mailadres kreeg ik maar geen e-mail. Dat werd langzaam toch wel wat vervelend, want de uitgezochte plaatsen werden maar 15 minuten vastgehouden en ze waren zo mooi... ;)

Toen maar een gmail.com adres geprobeerd en: bam, de mail was direct binnen! Toen eerst maar de bestelling van de kaartjes afgerond (first things first :) ) en vervolgens eens goed de header van de mail die ik op mijn gmail.com account had gekregen:

Received: by 10.52.186.72 with SMTP id fi8cs89253vdc;
        Fri, 4 Nov 2011 10:39:30 -0700 (PDT)
Received: by 10.14.12.193 with SMTP id 41mr209361eez.16.1320428368545;
        Fri, 04 Nov 2011 10:39:28 -0700 (PDT)
Return-Path: <www@x-com-vps7.web2all.nl>
Received: from x-com-web2.web2all.nl ([195.189.126.26])
        by mx.google.com with ESMTPS id 39si3071849eev.125.2011.11.04.10.39.28
        (version=TLSv1/SSLv3 cipher=OTHER);
        Fri, 04 Nov 2011 10:39:28 -0700 (PDT)
Received-SPF: neutral (google.com: 195.189.126.26 is neither permitted nor denied by best guess record for domain of www@x-com-vps7.web2all.nl) client-ip=195.189.126.26;
Authentication-Results: mx.google.com; spf=neutral (google.com: 195.189.126.26 is neither permitted nor denied by best guess record for domain of www@x-com-vps7.web2all.nl) smtp.mail=www@x-com-vps7.web2all.nl
Received: from x-com-vps7.web2all.nl (hosted-by.web2all.nl [195.189.126.122] (may be forged))
    by x-com-web2.web2all.nl (8.14.2/8.14.2) with ESMTP id pA4HdRqq020931
    for <xxxxxxxxxxxxxxxxxxxxxx@gmail.com>; Fri, 4 Nov 2011 18:39:27 +0100
Received: from x-com-vps7.web2all.nl (localhost [127.0.0.1])
    by x-com-vps7.web2all.nl (8.14.2/8.14.2) with ESMTP id pA4HdRFn004926
    for <xxxxxxxxxxxxxxxxxxxxxx@gmail.com>; Fri, 4 Nov 2011 18:39:27 +0100
Received: (from www@localhost)
    by x-com-vps7.web2all.nl (8.14.2/8.14.2/Submit) id pA4HdRaa004925;
    Fri, 4 Nov 2011 18:39:27 +0100

Hoewel Google de mail doorliet, kun je hierboven toch wel zien dat het niet helemaal jofel is met de door Carré gebruikte mailserver. Zo te zien hebben ze een virtuele server in gebruik met een rare servernaam (waarschijnlijk nog de defaultnaam): www@x-com-vps7.web2all.nl. Dat matcht natuurlijk nooit met het ip-nummer 195.189.126.26. Een echte domeinnaam heeft altijd de vorm xxx.naam.extensie (dus zónder apenstaartje ervoor; het is geen e-mailadres!).

Toen ging ik maar eens kijken in de logbestanden van mijn mailserver, want Carré had immers ook getracht om daar een mail naartoe te sturen. Daar zou ik toch iets van moeten kunnen terugzien... En jawel! Ik vond de volgende melding in \var\log\syslog:

Nov  4 18:44:01 server xinetd[32173]: warning: /etc/hosts.deny, line 19: host name/name mismatch: hosted-by.web2all.nl != xxx.yyy.zzz
Nov  4 18:44:01 server xinetd[32173]: libwrap refused connection to smtp (libwrap=tcp-env) from 195.189.126.26

(Ik heb hier de naam van mijn mailserver vervangen door xxx.yyy.zzz)

Aha! De mailserver van Carré probeerde dus contact te leggen met die van mij, en de deur werd direct dichtgegooid. En kennelijk staat op regel 19 van het /etc/hosts.deny bestand de reden. Dus ik kijken:

# The PARANOID wildcard matches any host whose name does not match its
# address.

# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
ALL: PARANOID

De laatste regel is precies nummer 19. ;)   Tja, die optie had ik ooit eens aangezet, om zo alles dat hackt of spamt het in ieder geval wat moeilijker te maken. Dergelijke figureren gebruiken immers heel graag ongeldige domein naam/ip-nummer combinaties. Ik heb die optie toch maar gedeactiveerd en direct kwamen de mailtjes van Carré wél binnen. :)

Moraal van dit verhaal is dus: té strenge beveiligingsinstellingen hebben soms ook nadelige gevolgen. En zouden een avondje theater in het roet kunnen gooien. ;)

Groeten,

Ronald
Forum Manager NL Computer Forum
Microsoft Certified Solutions Expert (MCSE) - Business Intelligence

Offline Stefan de Best
  • Wizop
  • *****
  • Berichten: 601
  • Geslacht: Man
    • Historisch-didactisch overzicht van 150 oude en minder bekende zwemslagen
Re: Tip: let op /etc/hosts.deny als je een eigen mailserver draait (ALL: PARANOID)
« Reactie #1 Gepost op: 4 november 2011, 19:41:38 »
Hoi Ronald,

Jij bent wel ERG paranoid, hoor.............en TERECHT! :D

Historisch-didactisch overzicht van 150 oude en minder bekende zwemslagen
     http://www.zwemslagen.nl

Offline Just Vecht

  • Sysop
  • *****
  • Berichten: 1.434
  • Geslacht: Man
Re: Tip: let op /etc/hosts.deny als je een eigen mailserver draait (ALL: PARANOID)
« Reactie #2 Gepost op: 4 november 2011, 22:15:02 »
Hallo Ronald,

Ik heb eens gekeken in /etc/hosts.deny in mijn Ubuntu 11.10 systeem. Die optie is daarin net zo aanwezig maar staat niet aan. Kwestie van het # teken ervoor weghalen (unquoten heet dat) en die bescherming staat WEL aan.

Bedankt voor het bericht. Ik vind het wel zo fijn te weten dat ik de voordeur van mijn computer desgewenst met dik pantser kan dichttimmeren.

Zo ken ik ook de firehol firewall voor Linux systemen. Het is al weer een hele tijd geleden dat ik daar mee bezig was. Maar als je die aanzet zit heel je systeem voor de buitenwacht potdicht. Het ding zit boordevol opties voor vanalles en nog wat, maar om een simpele PC dicht te timmeren was er iets eenvoudigs.

Bedankt voor de tip dus. Ik zet het niet aan, maar mocht de nood aan de man komen, dan klappen hier alle deuren dicht. Een Linux systeem is al heel aardig potdicht van huis uit.

met vriendelijke groeten,

Just Vecht
Ubuntu Steunpunt Zoetermeer e.o.- PC of laptop nog XP of Vista? Probeer Ubuntu!
GIMP cursusbundel, binnenkort 50 cursussen - Helpmij Magazine geen ads, 30.000 lezers