Díra ve Windows pro spammery

.......proboha to je tam u Vás tam málo lidí znalých detailně problematiku, že musím pokaždé číst odpovědi, které chtějí dohnat autora k tomu aby vzal vidle a změnil obor.

Martin

No snad tohle nechces po panu Holcikovi.

Stačí se podívat do popisu chyby MS01-037 - Authentication Error in SMTP Service Could Allow Mail Relaying a vidíme, že jde o chybu, která umožní přihlášení k SMTP serveru s použitím nesprávných "credentials", tj. nejspíš hesla.

Jak se v MS01-037 dále píše, k použití SMTP služby se je nutno autentikovat - "přihlásit". Kvůli popsané chybě se však autentikuje kdokoliv. A tudíž může také kdokoliv SMTP službu používat, resp. v tomto případě zneužívat. A Microsoft považuje za nejpravděpodobnější druh zneužití mail-relay, tedy odeslání zprávy prostřednictvím (zneužitého) serveru s cílem zabránit zjištění jejího původu.

Takže hlavní výtka směřuje na několik chybějící slov v úvodní větě článku, která by měla znít

Díra v autentikaci SMTP služby Windows 2000 umožňuje využít Windows 2000 Sever mj. pro mail relaying.

Podle toho, co jsem přečetl na tom odkazu, znamená to, že lze obejít autentizaci SMTP podle uživatelů Win2000. To ovšem není mail-relay! Mail-relay je, když server propouští maily od uživatelů, které nejsou uživateli tohoto serveru. Tahle chyba umožňuje tvářit se, že někdo z uživatelů Win2000 posílá poštu, a on to nebyl. Právě ta druhá věta ukazuje, že si autor myslí, že je to totéž. Zřejmě se nikdy nezkusil připojit na port 25 a posílat pár jednoduchých SMTP příkazů, hned by bylo vidět, jak je to doopravdy.

Co myslel autor timto spojenim hned ze zacatku clanku:

"Mail relaying v podstatě není chybou, pouze se v souvislosti s útoky spammerů za chybu začal považovat. Servery se zapnutým mail relaying umožňují především změnit identitu uživatele ..."

Ani jedna z tech dvou vet nedava smysl.