J'ai coupé sur mon serveur le service telnet. Je remarque que pour une
commande telnet basique c'est OK (le serveur bloque la connexion), par
contre il est possible de se connecer sur les ports 110 et 25, ce qui ne
m'arrange pas puisque sendmail tourne...
Ma question est : peut-on interdire l'acc-s par telnet sur ces ports, et
si oui comment?
Encore une question plus spécifique à sendmail et SMTP: pop-before-smtp
est-il utile pour sécuriser Sendmail en SMTP?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Rakotomandimby Mihamina
Jérémie Picaudé wrote:
Bonsoir à tous,
Bonsoir
contre il est possible de se connecer sur les ports 110 et 25, ce qui ne m'arrange pas puisque sendmail tourne... Ma question est : peut-on interdire l'acc-s par telnet sur ces ports, et si oui comment?
Soit arreter sendmail, soit filtrer avec un firewall. Mais le fait de filtrer avec un firewall empecherait les mails d'arriver. En effet, les "serveurs SMTP" font du telnet pour communiquer entre eux. Pareil, ton "client Mail" (MUA) comme thunderbird ou outlook, fait du telnet pour récupérer les mails. Empecher ce telnet empecherait tout ce beau monde de fonctionner.
C'est pour cela qu'il existe la possibilité de faire du imaps ou du pops qui rajoute une couche de cryptage pour éviter le transit en clair...
Encore une question plus spécifique à sendmail et SMTP: pop-before-smtp est-il utile pour sécuriser Sendmail en SMTP?
Le "pop before SMTP" est mis en oeuvre sur les MTA ou l'on ne veut pas forcément faire du SMTP AUTH. En effet, le fait que le gugus se soit authentifié par pop lui ouvre l'accès au smtp sans autre question. Sachant que c'est un mécanisme ip-based (du moins sur QMail, je ne saispas pour Sendmail) c'est un mécanisme qui a des limites.
Et sinon, il y a le groupe fr.comp.mail.serveurs qui est destiné à accueillir les discussions spécifiques au domaine en question.
-- Miroir de logiciels libres http://www.etud-orleans.fr
Jérémie Picaudé wrote:
Bonsoir à tous,
Bonsoir
contre il est possible de se connecer sur les ports 110 et 25, ce qui ne
m'arrange pas puisque sendmail tourne...
Ma question est : peut-on interdire l'acc-s par telnet sur ces ports, et
si oui comment?
Soit arreter sendmail, soit filtrer avec un firewall.
Mais le fait de filtrer avec un firewall empecherait les mails d'arriver.
En effet, les "serveurs SMTP" font du telnet pour communiquer entre eux.
Pareil, ton "client Mail" (MUA) comme thunderbird ou outlook, fait du
telnet pour récupérer les mails. Empecher ce telnet empecherait tout ce
beau monde de fonctionner.
C'est pour cela qu'il existe la possibilité de faire du imaps ou du pops
qui rajoute une couche de cryptage pour éviter le transit en clair...
Encore une question plus spécifique à sendmail et SMTP: pop-before-smtp
est-il utile pour sécuriser Sendmail en SMTP?
Le "pop before SMTP" est mis en oeuvre sur les MTA ou l'on ne veut pas
forcément faire du SMTP AUTH. En effet, le fait que le gugus se soit
authentifié par pop lui ouvre l'accès au smtp sans autre question.
Sachant que c'est un mécanisme ip-based (du moins sur QMail, je ne
saispas pour Sendmail) c'est un mécanisme qui a des limites.
Et sinon, il y a le groupe fr.comp.mail.serveurs qui est destiné à
accueillir les discussions spécifiques au domaine en question.
--
Miroir de logiciels libres http://www.etud-orleans.fr
contre il est possible de se connecer sur les ports 110 et 25, ce qui ne m'arrange pas puisque sendmail tourne... Ma question est : peut-on interdire l'acc-s par telnet sur ces ports, et si oui comment?
Soit arreter sendmail, soit filtrer avec un firewall. Mais le fait de filtrer avec un firewall empecherait les mails d'arriver. En effet, les "serveurs SMTP" font du telnet pour communiquer entre eux. Pareil, ton "client Mail" (MUA) comme thunderbird ou outlook, fait du telnet pour récupérer les mails. Empecher ce telnet empecherait tout ce beau monde de fonctionner.
C'est pour cela qu'il existe la possibilité de faire du imaps ou du pops qui rajoute une couche de cryptage pour éviter le transit en clair...
Encore une question plus spécifique à sendmail et SMTP: pop-before-smtp est-il utile pour sécuriser Sendmail en SMTP?
Le "pop before SMTP" est mis en oeuvre sur les MTA ou l'on ne veut pas forcément faire du SMTP AUTH. En effet, le fait que le gugus se soit authentifié par pop lui ouvre l'accès au smtp sans autre question. Sachant que c'est un mécanisme ip-based (du moins sur QMail, je ne saispas pour Sendmail) c'est un mécanisme qui a des limites.
Et sinon, il y a le groupe fr.comp.mail.serveurs qui est destiné à accueillir les discussions spécifiques au domaine en question.
-- Miroir de logiciels libres http://www.etud-orleans.fr
Nicolas George
Rakotomandimby Mihamina wrote in message <dahikn$27jh$:
En effet, les "serveurs SMTP" font du telnet pour communiquer entre eux.
Dit comme ça, c'est complètement faux.
Le SMTP, le POP et telnet n'ont strictement rien à voir au delà du fait d'être tous les trois des protocoles bâtis au dessus de TCP. Il se trouve que si un client telnet se retrouve connecté à un serveur SMTP ou POP, il restera dans son mode par défaut et copiera le texte entre le terminal et le serveur, permettant ainsi à l'utilisateur de manipuler le protocole à la main. Mais c'est (presque) une coïncidence, et en particulier, certains mails pourraient le faire complètement changer de mode.
Rakotomandimby Mihamina wrote in message
<dahikn$27jh$1@cabale.usenet-fr.net>:
En effet, les "serveurs SMTP" font du telnet pour communiquer entre eux.
Dit comme ça, c'est complètement faux.
Le SMTP, le POP et telnet n'ont strictement rien à voir au delà du fait
d'être tous les trois des protocoles bâtis au dessus de TCP. Il se trouve
que si un client telnet se retrouve connecté à un serveur SMTP ou POP, il
restera dans son mode par défaut et copiera le texte entre le terminal et le
serveur, permettant ainsi à l'utilisateur de manipuler le protocole à la
main. Mais c'est (presque) une coïncidence, et en particulier, certains
mails pourraient le faire complètement changer de mode.
Rakotomandimby Mihamina wrote in message <dahikn$27jh$:
En effet, les "serveurs SMTP" font du telnet pour communiquer entre eux.
Dit comme ça, c'est complètement faux.
Le SMTP, le POP et telnet n'ont strictement rien à voir au delà du fait d'être tous les trois des protocoles bâtis au dessus de TCP. Il se trouve que si un client telnet se retrouve connecté à un serveur SMTP ou POP, il restera dans son mode par défaut et copiera le texte entre le terminal et le serveur, permettant ainsi à l'utilisateur de manipuler le protocole à la main. Mais c'est (presque) une coïncidence, et en particulier, certains mails pourraient le faire complètement changer de mode.
Rakotomandimby Mihamina
Nicolas George wrote:
Dit comme ça, c'est complètement faux. Le SMTP, le POP et telnet n'ont strictement rien à voir
Bon OK. Donc, pour etre plus précis dans ce que j'ai dans ma tête: quand je me connecte "en telnet" à un MTA qui fait du SMTP AUTH, que j'arrive à m'identifier (login/password) et que j'arrive à envoyer un mail, en fait c'est pas du telnet que j'ai fait?
-- Miroir de logiciels libres http://www.etud-orleans.fr
Nicolas George wrote:
Dit comme ça, c'est complètement faux.
Le SMTP, le POP et telnet n'ont strictement rien à voir
Bon OK. Donc, pour etre plus précis dans ce que j'ai dans ma tête: quand
je me connecte "en telnet" à un MTA qui fait du SMTP AUTH, que j'arrive
à m'identifier (login/password) et que j'arrive à envoyer un mail, en
fait c'est pas du telnet que j'ai fait?
--
Miroir de logiciels libres http://www.etud-orleans.fr
Dit comme ça, c'est complètement faux. Le SMTP, le POP et telnet n'ont strictement rien à voir
Bon OK. Donc, pour etre plus précis dans ce que j'ai dans ma tête: quand je me connecte "en telnet" à un MTA qui fait du SMTP AUTH, que j'arrive à m'identifier (login/password) et que j'arrive à envoyer un mail, en fait c'est pas du telnet que j'ai fait?
-- Miroir de logiciels libres http://www.etud-orleans.fr
Nicolas George
Rakotomandimby Mihamina wrote in message <daj3dt$2ner$:
en fait c'est pas du telnet que j'ai fait?
Non. C'est du SMTP, à la main, avec un client telnet utilisé de manière à faire passer uniquement le texte tapé. Et en particulier, si tu as un « ÿ » dans ton mot de passe, ça va mal se passer.
Rakotomandimby Mihamina wrote in message
<daj3dt$2ner$1@cabale.usenet-fr.net>:
en
fait c'est pas du telnet que j'ai fait?
Non. C'est du SMTP, à la main, avec un client telnet utilisé de manière à
faire passer uniquement le texte tapé. Et en particulier, si tu as un « ÿ »
dans ton mot de passe, ça va mal se passer.
Rakotomandimby Mihamina wrote in message <daj3dt$2ner$:
en fait c'est pas du telnet que j'ai fait?
Non. C'est du SMTP, à la main, avec un client telnet utilisé de manière à faire passer uniquement le texte tapé. Et en particulier, si tu as un « ÿ » dans ton mot de passe, ça va mal se passer.
Rakotomandimby Mihamina
Nicolas George wrote:
en fait c'est pas du telnet que j'ai fait? Non. C'est du SMTP,
Bon donc ça répond à la question originale: pas de Telnet si c'est Sendmail qui écoute.
-- Miroir de logiciels libres http://www.etud-orleans.fr
Nicolas George wrote:
en
fait c'est pas du telnet que j'ai fait?
Non. C'est du SMTP,
Bon donc ça répond à la question originale: pas de Telnet si c'est
Sendmail qui écoute.
--
Miroir de logiciels libres http://www.etud-orleans.fr
