[LUGA] Mit freundlicher Unterstützung von:
WSR

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[luga] Re: erotiwebscheisse || how to prohibit the abuse of the EXPN command



> Ist es das? Ich habe es auch bekommen (2 mal daheim, vermutlich noch
> mindestens 3 mal ins Büro), aber nicht über die Luga-Mailinglist. Es ist
> aber möglich, daß die zur Luga-Adreßliste gekommen sind (ist nicht
> wirklich schwierig) und die weiterverwendet haben. Das ist sogar recht

Was dafuer spricht ist, dass ich diese Mails nicht bekommen habe (ich hab die luga mailinglist erst
vor ein paar Tagen Subscribed)

Sich die Adressliste zu holen geht ganz einfach (man kann ,und sollte das aber abdrehen)):

Variante 1:

echo -e "Subject: \n\nWHO luga\nEND" | sendmail majordomo@luga.or.at

-> um dies zu verhindern muss man einfach in der listen config die Variable
  who_access auf closed stellen.

Variante 2:

hannes@door2inet:~$ tn spirit.luga.or.at 25
Trying 143.130.40.1...
Connected to spirit.luga.or.at.
Escape character is '^]'.
220 spirit.luga.or.at ESMTP Sendmail 8.8.5/8.8.5; Sun, 24 Aug 1997 22:30:43 +0200
EXPN luga
250 <"|/usr/local/majordomo-1.93/wrapper resend -p bulk -l luga -f Luga-Owner -h luga.or.at -s luga-outgoing"@spirit.luga.or.at>
EXPN luga-outgoing
[..]
   hier stehen alle Adressen
[..]
QUIT

Loesung:
Ihr solltet die luga-outgoing in luga-outgoing-[randomseed] umbenennen und in der Sendmail config folgende
Zeile einfuegen/aendern:
O PrivacyOptions=authwarnings,noexpn

ausserdem solltet ihr auf die neueste Version von sendmail umsteigen.

VRFY geht damit weiterhin aber EXPN wird verhindert.

Fuer einen Listserver ist das ein Mindeststandard den man einhalten sollte.


###
Werden diese beiden Varianten unterbunden, kann man nur mehr ueber den Majordomo an die Liste schicken.
Dieser kann dann mittels taboo_headers und taboo_body bestimmte Absender Adressen bzw. Subjects filtern
(zb: Subjects mit mehr als 4 Dollarzeichen alla "$$$ make money fast $$$")

Aber auch wenn man nicht filtert, was ich fuer besser halte (keine Zensur im Netz) , sind mit diesem
Setup die Adressen geschuetzt.

MfG

   Hannes R. Boehm

-- 
!------------------------------------------------------------------!
  Hannes R. Boehm
        email   : hannes@boehm.org
        www     : http://hannes.boehm.org
        PGP-key : http://hannes.boehm.org/hannes-pgp.asc
!------------------------------------------------------------------!

Attachment: pgp7AyGZYmYmc.pgp
Description: PGP signature



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010