アカウント名:
パスワード:
SMTPの認証が外しっぱなしでオープンリレーになっていたってことですかね
> SMTPの認証が外しっぱなしでオープンリレーになっていたってことですかね
たとえ SMTPの認証がなくても、正しく設定してればオープンリレーにはなりませんよ。SMTP認証が関連するようなケースもないわけじゃないけど、基本的には別問題。
SMTP認証に関しては、利用者の内誰か一人でも脆弱なアカウント名+パスワードになっていれば突破できるのだから、攻撃者にとっては大した問題じゃあないでしょうね。オープンリレーの原因について詳しくは書いていませんが、ローカルドメインの設定に間違えてアスタリスクを入れてしまった、とかですかねえ。
いや、submissionで認証なかったら普通はオープンリレーになりますね。
認証なくても自ドメイン宛メールは送れるようにする(それ以外は拒否する)設定はできなくもないけど、submissionでそれをやることは普通ではない。
smtpとsubmissionを分離せず同一ポートで運用する場合はそのように設定するのが当たり前だけど、10年前ならともかく、いまどき分離しないのは普通ではない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
オープンリレー (スコア:0)
SMTPの認証が外しっぱなしでオープンリレーになっていたってことですかね
Re:オープンリレー (スコア:0)
> SMTPの認証が外しっぱなしでオープンリレーになっていたってことですかね
たとえ SMTPの認証がなくても、正しく設定してればオープンリレーにはなりませんよ。
SMTP認証が関連するようなケースもないわけじゃないけど、基本的には別問題。
Re: (スコア:0)
SMTP認証に関しては、利用者の内誰か一人でも脆弱なアカウント名+パスワードになっていれば突破できるのだから、攻撃者にとっては大した問題じゃあないでしょうね。
オープンリレーの原因について詳しくは書いていませんが、ローカルドメインの設定に間違えてアスタリスクを入れてしまった、とかですかねえ。
Re: (スコア:0)
いや、submissionで認証なかったら普通はオープンリレーになりますね。
認証なくても自ドメイン宛メールは送れるようにする(それ以外は拒否する)設定はできなくもないけど、submissionでそれをやることは普通ではない。
smtpとsubmissionを分離せず同一ポートで運用する場合はそのように設定するのが当たり前だけど、10年前ならともかく、いまどき分離しないのは普通ではない。