Lemat, strona prywatna

Dlaczego Exchange ssie

o! i to jest ciekawe - co ma wspólnego biedny gryzoń z jakością serwera? Okazuje się, że bardzo dużo. Admini serwerów Exchange to są klikacze, których głównym zadaniem jest dodawanie/usuwanie/edycja użytkowników. Nie interesują się spamem i wirusami, bo to im załatwia komercyjne oprogramowanie, którego opcje konfiguracyjne ograniczają się do możliwości włączenia / wyłączenia i wpisania numeru licencji. Admini serwerów Exchange nie mają możliwości zareagowania na konkretny spamrun - wychwycenia jakiejś cechy szczególnej dla tego spamu i zablokowania całego spamruna dzięki właśnie tej charakterystycznej dla niego właściwości. Zresztą oni się tym nie interesują - oni wierzą, że to dobre wróżki załatwią wszystkie takie problemy. Tymczasem jak wiadomo dobre wróżki nie istnieją a producenci oprogramowania reagują na nowości spamerów z wielkim opóźnieniem. I serwer mieli niepotrzebnie spam.

Istotnym problemem jest też integracja haseł. Hasło do poczty i hasło do windowsa jest identyczne. Co to oznacza? To, że user logując się codziennie do sieci korporacyjnej nie używa skomplikowanego hasła. Skomplikowane hasło to przecież jest kolec w dupie usera a admin, który takie hasła ustawia to jakiś sadysta jest. I potem na taki serwer z hasłami typu "123456" wjeżdża chińczyk z atakiem słownikowym. Zaczyna wysyłać spam.

I teraz jest najciekawsze: admin serwera exchange nie ma narzędzi aby wykryć,  że coś takiego się dzieje z jego serwerem. Może to wykryć dopiero jak Prezes wyśle pocztę i mu się odbije komunikatem, że IP jest listowany w jakimś RBLu. A w tym momencie to już jest po ptakach...

Usługi, które chodzą w sieci korporacyjnej i nie ma do nich dostępu ze świata zewnętrznego - mogą być zabezpieczone słabszym hasłem. Ale każda usługa, którą widać z Internetu prędzej czy później zostanie przebadana atakiem słownikowym a następnie każda znaleziona luka zostanie wykorzystana.


Data utworzenia : 2012-05-16

Skomentuj ten tekst

Komentarze:

DM
2013-07-07 23:10:47
ipman lejku, w linku ponizej masz przyklad niekompetencji takich ladminów jak ty
http://zaufanatrzeciastrona.pl/post/wlamanie-do-polskich-linii-kolejowych/
ipman
2013-05-28 00:43:00
Co ja (a)pacze?
Czytam sobie parę artów i myślę fajna stronka...czytam dłużej...a tu leci $hit i advocacy jakiego dawno nie widziałem. Stereotypy, stereotypy i jeszcze raz stereotypy...co bardzo podkopuje wiarygodność reszty serwisu.

Zajmuję się Linuxem od 12 lat, ale nie są mi też obce technologie M$. Nigdy nie rozumiałem tych wojen między dystrybucjami czy też systemami. Każdy używa co chce (to się nazywa wolność oprogramowania) i nie można nikogo uszczęśliwiać na siłę. Ktoś chce płacić, niech płaci. W GPL też można zarabiać. Czy tu chodzi o kasę? Ktoś by pomyślał, że tak, bo w newsie widać $$ jest piętnowane.

To co Kolega tu wypisuje trąci już nieźle myszką. Argumenty (bo płatne, bo ma GUI) na poziomie nastolatka z IRC, nie mające przełożenia na rzeczywistość. I w jednym i w drugim systemie można to robić z poziomu GUI i CLI (ale ci co robią z GUI są trędowaci - z obu obozów). Bo lepiej przeglądać logi "ogonkiem" z -f niż robić to w OSSIM.

Wycinanie spamu na poziomie MTA to lata 90-te. Fakt, że działa to do dziś nie znaczy, że jest najlepsze. Są rozwiązania takie jak ASSP czy DSPAM, które robią to o wiele lepiej. Celowo nie wspominam SA, bo SA to już powinien odejść do lamusa.

Dlaczego MS się dobrze sprzedaje? Bo się dobrze integruje. Z innymi technologiami? Niekoniecznie, ale na pewno z sobą samym. Logowanie do kont w MSSQL w domenie jest z marszu. A do MySQL? Trzeba kompilować na boku wtyczkę ldap i męczyć się z kofiguracją. Na tym panie nie polega administrowanie. Ale są i linuksowi ortodoksi co masochizm kompilowania wszystkiego od zera przedkładają nad system paczkowania (jaki by nie był) dystrybucji.

Na koniec komentarz do tego co news ze sobą niesie:

"Admini serwerów Exchange to są klikacze[...]"
FUD. Widziałem takich co ustawiają open realy na exim i postfix, a żaden z tych MTA nie działa na MS.

"Admini serwerów Exchange nie mają możliwości zareagowania na konkretny spamrun[...]"
Kolejny FUD.

"Zresztą oni się tym nie interesują[...]"
Stereotyp.

"Istotnym problemem jest też integracja haseł. Hasło do poczty i hasło do windowsa jest identyczne. Co to oznacza? To, że user logując się codziennie do sieci korporacyjnej nie używa skomplikowanego hasła."
Słyszał o AD+GPO i czymś takim jak SSO?

"I teraz jest najciekawsze: admin serwera exchange nie ma narzędzi aby wykryć, że coś takiego się dzieje z jego serwerem."
FUD, FUD, FUD.

"Usługi, które chodzą w sieci korporacyjnej i nie ma do nich dostępu ze świata zewnętrznego - mogą być zabezpieczone słabszym hasłem."
Że co??? Chyba już źle czytam. Słabszym? Czyli jakim?

Więc jeśli Lemat pisze prawdę w komentarzu, cytuję: "ja tu porównuję ludzi używających narzędzi" (czego nie uraczyłem czytając newsa) to podsumowanie newsa powinno wyglądać inaczej:
Nie ważne na czym pracujesz i przy pomocy czego osiągasz takie wyniki. Ważne żebyś to robił dobrze(bezpiecznie), skutecznie i wydajnie.

A exchange ssie, ale z innych powodów, które akurat przez autora nie zostały wymienione. Ale autor ich nie zna, bo nie widział exchange, bo omija M$ i jego wytwory z daleka. Blame FUD?

Z wpisu wynika, że exchange ssie, bo nie sprzedają go z antyspamem/antywirusem, dobrym adminem i mocnymi hasłami w pakiecie :) exima, postfixa czy qmaila też nie :)

Z pozdrowieniami: less cut, more touch.
Odpowiedź Lemata:
"co bardzo podkopuje wiarygodność reszty serwisu."
i to też jest stereotyp
"Wycinanie spamu na poziomie MTA to lata 90-te. Fakt, że działa to do dziś nie znaczy, że jest najlepsze. Są rozwiązania takie jak ASSP czy DSPAM, które robią to o wiele lepiej. Celowo nie wspominam SA, bo SA to już powinien odejść do lamusa."
FUD
"open realy na exim i postfix"
W tej chwili Open Relaye prawie nie istnieją, dostrzegli to twórcy ORDB i zamknęli RBLa.

"Ale autor ich nie zna, bo nie widział exchange"
widział. I statystycznie widział więcej zjebanych Exchange przez niedouczonego admina niż innych MTA. Statystyka oparta na próbce kilkuset serwerów/adminów - oczywiście jeżeli masz własną statystykę "zjebany-dobry" serwer MTA to zapraszam. Ta strona powstała nie bez powodu - ta strona powstała ponieważ w pewnym momencie dostrzegłem narastający problem źle administrowanych serwerów Exchange w Internecie.
Malik
2012-11-30 01:03:23
Dlaczego m$ exchange ssie
Rusz kamyk a poleci lawina... Pracowałem kiedyś w firmie, w której serwer poczty był właśnie na exchange, licencji na 50 użytkowników. Któregoś dnia był problem z połączeniem się ponieważ serwer zwracał informacje że za mało licencji, w tym czasie próbowało połączyć się ok 15-20 użytkowników (czyli wolnych licencji powinno byc 30-35 dobrze mowie czy sie myle?). Dlatego m$ exchange i kazdy jego obrońca ssie (nie bede pisal co ssie bo komentaż nie przejdzie)... Dopiero restart pomogl.
Odpowiedź Lemata:
Mam ten sam problem z terminal services, tylko ja kasuję wystawione przez TS licencje tymczasowe.
Maciek
2012-06-20 23:08:15
Lemat to lemat :)
Wojtek,

Lemat to lemat, i tyle na temat.

Jeżeli porównujesz rozwiązania MS do tych na Unix-like, to weź pod uwagę, że naprawdę są z reguły kiepskie do diagnostyki czegokolwiek w sieci.

Nie jestem adminem sieci internetowych, ale tylko z powyższego powodu, pod koniec lat 90., przeszedłem właśnie na systemy dla pryszczersów. Co prawda pierwsze listy wysyłałem z root@ - oczywiście wracały do lokalnych adminów - ale szybko porzuciłem microsoftową filozofię "łatwości" i "klikalności".

Pozdrawiam! Maciek

P.S.
Lemat, weź zapodaj jakąś szukajkę, bo szukam dobrego artykułu o ustawianiu SPFów, podczas przekierowywania poczty z hostingowego cPanelu. :)
Odpowiedź Lemata:
ja tu porównuję ludzi używających narzędzi.
Wojciech Ściesiński
2012-06-18 10:36:55
Exchange zarządza się z CLI - PowerShell
Z całym szacunkiem do rozwiązań Open Source oraz Twojej wiedzy na ich temat ale na temat Exchange chyba nie masz pojęcia.

Cały Exchange jest zarządzany przy użyciu PowerShell. Fakt, nie można wyedytować plików konfiguracji bezpośrednio ale wszystko zmienić z CLI można, co więcej już nie wszystko da się zrobić z GUI.
wszystkie opinie »
Protected by spf
[Nospam-PL.NET]
Seti@Home
www.php.net
© Lemat 2004 - ∞