Хех. Правда, я злой?
Эк как народ поддело.
И замете, ни слова про гарнедуры

Такое ощущение, что двое из вышевысказавшихся пишут ядро осей MS... Ну или "генерально архенектируют" на крайний случай.

Но ядро то гораздо "реальнее", чем все лоховское предыдущие. Поэтому и шанс неслабый.

Цитата из комментария к партнерской презентации MS за безопасность:

Как защищаться: во-первых, нужно знать, что может быть. Надо пачить сервер путем наложения секьюрити бюллетеней, которые распространяет Microsoft (это все доступно в интернете).

rtfm. Сертификат придумали для идентификации хозяина ключей и определения доверия к нему
В сертификате в поле subject указывается IP/FQDN на который он выдан, соответственно для рассылки спама с других машин он использован быть не может.   Кроме того, в сертификате указывается для каких целей он может быть использован – например для ЭЦП или для SSL.
Если спамер закупит 10 mx сертификатов и начнет спамить с них, админ, не дожидаясь пока сертификат попадет в crl может принудительно его отозвать.
Если потом то же ip/fqdn купит хороший человек, то никому напрягаться не придется, поскольку пара ключей будет новая и он спокойно начнет работать.
Если его сломает спамер, то сертификат кидается в crl, хозяину ат-та-та и покупать новый сертификат, потому как нефиг.

То же самое что и ты собственно предлагается, только с аутентификацией. В твоем случае хост в лушчем случае идетифицуруется по IP, что сам понимаешь не является однозначным методом. Сертификат в этом случае надежней. Подменить его можно только издав похожий в доверенном CA, а задача это нетривиальная.
Кста, сертификаты может издавать и тот же росниирос, какая разница...

Я думаю кинтайцы начали писать свою ось, потому как Билли открыл им исходные коды виндовз

<Цытата>Еще раз напомню, что начальная трабла в обсуждении: "ПК захвачен спамером".</Цытата>

Об этом говорилось выше - напрягать провов.
Есть правда один очень хороший метод, я его иногда на курсах озвучиваю, но не все адекватно воспринимают.
Предложен роботом Бендером из Футурамы....

Приготовились?....

"УБИТЬ ВСЕХ ЛЮДЕЙ!"

"Если абоpт - это yзаконенное yбийство, а минет - людоедство,
то использование пpезеpватива - yзаконенное создание
концентpационных лагеpей для малолетних с тотальным последyющим
yничтожением заключенных, не говоpя yже о том что использование
спеpмицидных смазок - это легальное пpименение химического оpyжия массового
поpажения."

хулио: тебе для этого придётся стать утентифицированным пользователем данного сервака. пароль нада будет наисать, что бы подвердить что ты хулио@рамблер.ру а не вася@пупкин.нет. И он скорее всего не даст тебе отправить больше сотни писем от отдной учетки, так что "промышленный" спам обламывается.
От "авторегистрации" большинство систем сейчас защищены.
Но пугает вероятная массовая "охота" за учетками других пользователей со стороны спамерофф...

Кста, подход с цертификатами только "обезопасит" хождение почты и затруднит её перехват, ибо SSL/TLS и зашифровать всё.

PS. Давеча ковырялся в E2K3, там основной транспорт - smtp. Если ексчанг отправляет сообщение эксчангу, он спрашивает:

- ты типа есмтп держишь?  
- ага.  
- а ты расширения экчанговсик для утентификации дершишь?  
- ага.
- эй, контроллер домена, дай мне TGS керберовский для доступа к вонтаму эксчанг серверу.
- а ты кто?
- да вот, я компьютер где экчанг стоит, сам же мне TGT выдавал!
- ааа.. вах, совсем старый стал, точно, мой билетик, час погодь... ну на тебе TGS..
- ну тогда, друг эксчанг, вот тебе билетик, я хороший, я эксчанг из вашей организации!
- вах, дорогой, какой радость что в гости зашел, что принес показывай!

В России они есть, но работают на западные компании

А утечка кода, занешь ли - себе дороже.
Каждый из этих дядек подпишет NDA, наверняка в коде будут вставки, позволяющие идентифицировать, чья эта копия, и в случае утечки будешь ты сидеть в тюрьма очень и очень долго. Таки юристы у Билли очень и очень хорошие...

Подключаешь ты почтовый сервак. Для того что бы он стал "хорошим", закупаешь cert предположим у verysign или как там получится, на его fqdn (mx.dom.net).
Логично было бы сделать распределенную систему, что бы выдавать cert регистратор доменного имени.
Получил, значит.
Сервер коннектится к другому, его спрашивают - ТЫ ХТО?
Он грит - я mx.dom.net... Ему грят, это понятно, а цертификат у тебя есть? Он грит, есть - вот он. Сертификат проверяется на валидность (доверие выдавшему центру сертификации, соответсвие имени узла, дата, отсутсвие в crl). НУ ладна. Цертификат хороший. А чем ты докажешь, что он именно твой, может ты его украл по сетке? Ну и дальше варианты - либо просят подписать какой текст случайный, либо зашифровывают текст и просят расшифровать. Если подпись нормальная или текст расшифрован корректно, значит молодечик, можешь почту посылать.

Ну вот и все собственно. Мы будем уверенны в том, кто отсылает письмо (какой сервак). "Затрояниваение" клиенстких машин отпадает, поскольку у них подобных сертификатов нет.
Технологии все уже существуют (TLS сейчас держит практически весь почтовый софт), осталась фигня - построить PKI масштаба Internet
Я думаю, что так оно и будет когда случится IPv6.

Извините за большой объем, рука не поднялась выкидывать...


From: Schmehl, Paul L [mailto:pauls@utdallas.edu]
Sent: Wednesday, October 22, 2003 6:12 PM
To: full-disclosure@lists.netsys.com
Subject: [Full-Disclosure] RE: Linux (in)security

> -----Original Message-----
> From: Peter Busser [mailto:peter@adamantix.org]
> Sent: Wednesday, October 22, 2003 3:10 AM
> To: full-disclosure@lists.netsys.com
> Subject: Linux (in)security (Was: Re: [Full-Disclosure] Re:
> No Subject)
>
> In general people seem to believe that Linux is either secure
> or can be made secure by removing packages and unused
> services. This believe that Linus is already secure makes
> people uninterested in security. Why improve something that
> is already sufficient? Besides that, it is more rewarding to
> write a new window manager providing more and faster flashy
> eye candy than to fix potential memory allocation problems
> that noone ever notices. Well, until it becomes a problem that is.

Is it any wonder?  With thousands of rabid slash dotters cajoling their
friends into switching to Linux because "it's secure out of the box" and
"it can't be infected like Windows", what would anyone expect?  The same
idiots that can't keep a Windows box from being owned are now using
Linux.  And the result is the same.

Now, lest you get your hopes up and think it's possible to change the
world, read this:

http://www.ukauthority.com/articles/story898.asp

After reading this, I had a good cry and then took some aspirin.  

Paul Schmehl (pauls@utdallas.edu)
Adjunct Information Security Officer
The University of Texas at Dallas
AVIEN Founding Member
http://www.utdallas.edu/~pauls/

Для того, что бы почта начала ходить тебе надо:
1. разрешить ексчангу коннектится внаружу по смтп
2. разрешить внешним гадам коннектится к эксчангу по смтп

Опубликуй сервер экчанг во внешней сети через ису.
Визард даже есть спецальный для почты.
как это делается, см тут: http://www.networkdoc.ru/files/insop/isa/isa-net.html
а лучше тут
http://www.isaserver.org/tutorials/Publishing_A_Mail_Server_With_ISA_Server.html

Перед этим убедись, что все вслужбы Exchange (smtp/pop3/imap4/http) висят на IP адресе внутреннего интерфейса.

Я бы посоветовал юзать месадж скринер (http://www.tacteam.net/isaserverorg/exchangekit/2003isafilteringsmtprelay/2003i­safilteringsmtprelay.htm), но с ним возникнут головняки, если isa на той же машине что и exchange, хотя головняки решаемые.

Michael, отправлять почту может не только почтовый, который содержит ящики пользователей (имеено на него показывает mx). Так что фильтруя по этому признаку ты отсечешь кучу-кучу хорошоих, ни в чем неповинных людёв

я в свое время рулил кисами через rsh вполне.
основная граблю которую нашел - имена пользователей чувствительны к регистру (если используешь виндовый rsh шлётся пазворд того юзверя, от кого запускается, соответсвенно пазворд на кисе надо синхрить или юзать радиус (IAS)).
Кста, вспомнил, мож кому пригодится:

Скриптовалка телнетовская

на халяву только уксус, тфу, нессус (http://www.nessus.org/)

Согласен. Но для этого нужен внешний сундук.
Кроме того, читать и анализировать SSL вполне можно (см. http://www.securitylab.ru/40051.html).

PS. Буржуи таки забабахали подобную фигню. См. например

http://www.webwasher.com/enterprise/news/press/press_releases/pm_21_08_03.html?lang=de_EN

4 satana - а есчо лучше, выдавать каждому почтовому серверу сертификат открытых ключей, и не пущать к себе на сервер те сервера, у которых этот цертификат ёк.
и ежели кто скампрамитировал свой сервер\цертификат - убивать его.