Mailserver Twigger slecht beveiligd

Het ontvangen van mail via Twigger levert problemen op, zeker nu Twigger op de blocklist van Osirusoft terecht is gekomen. Osirusoft controleert aan de hand van technische criteria of mailservers veilig zijn en dat is dus niet het geval met de mailserver van Twigger. Volgens Osirusoft is het mogelijk om bulkmail te versturen via Twigger zonder dat daarbij een afzendadres bekend is. Aangezien Xs4all gebruik maakt van de blocklist van Osirusoft en haar klanten een daarop gebaseerde spamfilter aanbiedt, kunnen gebruikers mogelijk mail niet ontvangen. De betrokken partijen Xs4all en Twigger hadden het volgende commentaar:

Volgens woordvoerster Sjoera Nas van XS4ALL is de mailserver van Twigger een zogenoemde 'open proxy' en dus onveilig. "Andere webmail-diensten maken gebruik van een authenticatie. Deze stellen bijvoorbeeld als voorwaarde dat je eerst e-mail ophaalt voordat je iets kan versturen. Zo is zeker dat je een geldig e-mailadres hebt", aldus Nas.

Twigger-directeur Gabriël Troostwijk bestrijdt dit: "Het is bij ons niet mogelijk mail te versturen als je niet bent ingelogd. Alle gebruikers maken zich eerst bekend met hun gebruikersnaam, wachtwoord en e-mailadres. Bovendien is het niet mogelijk om via Twigger binnen korte tijd veel mail te sturen."

Met dank aan Verwijderd voor de tip.

Lees meer

IT-banen

Reacties (39)

jellyshock 13 juni 2002 13:56

Ik neem aan dat zoiets niet zomaar geroepen wordt...
Tenzij er iemand belang bij heeft dat Twigger in een kwaad daglicht gesteld word

MikeN @jellyshock • 13 juni 2002 14:00

Ik heb het even nagekeken, voor zover ik kon dan.

De mailservers zijn volgens de MX records:

mail.indivirtual.com.
mx1.hscg.net.
mx2.hscg.net.
pop.hscg.net.

Volgens http://www.abuse.net/relay.html zijn deze allemaal dicht.

Nu weet ik niet of de mail die van twigger afkomstig is van andere smtp servers komt. Dat ga ik nu ff nakijken.

[edit]
De mails die via twigger worden verstuurd komen gewoon van "twigger.nl", deze is ook dicht. Dus ik weet niet waarover ze nou ratelen bij Osirusoft.

gridfox @MikeN • 13 juni 2002 14:10

Je controleert op een open relay en dat is iets anders.

Het aangegeven probleem is dat je wel via een provider je mail ophaalt, maar relatief naamloos kan versturen.

Verwijderd @gridfox • 14 juni 2002 10:13

Via anonieme proxy servers (of een aantal inline ) is het dus zo goed als onmogelijk om daar dus de zender van te achter halen.

eehh..jah dat is nogal logisch. Maar daar heeft Hotmail en al die andere webbased mail shit ook last van. Enige verschil is dat de afzender dan nog wel je hotmail adres ziet, maar om daar zo blij van te worden....

Olaf van der Spek @gridfox • 13 juni 2002 14:26

Dat kan bij Chello volgens mij ook.

MikeN @gridfox • 13 juni 2002 14:49

Ook dat gaat niet op. Er staat altijd een header bij met:

X-WebMail-UserID: noord965@planet.nl

Dus het is altijd na te gaan.

Woy Moderator PRG/SEA @gridfox • 13 juni 2002 17:26

Ja je kan het wel naamloos doen maar je ip adres staat dan wel in de header en ben je dus makkelijk op te sporen in geval van spam.

Qwerty-273 @gridfox • 13 juni 2002 18:02

Via anonieme proxy servers (of een aantal inline ) is het dus zo goed als onmogelijk om daar dus de zender van te achter halen.

mingohag @gridfox • 13 juni 2002 18:39

welk ip adres, twigger kan je toch van 'overal-ter-wereld' gebruiken? hoe goed ben je te tracen vanaf een internetcafe in bankok?

DJSmiley @MikeN • 13 juni 2002 14:40

abuse.net test is NIET betrouwbaar.

Mijn mailserver stond volgens hun dicht, geen relaying...

Toch stond ik na een weekje in de database van www.ordb.org

Na verder checken bleek mn server WEL open te staan...
zodra je een mailtje stuurde via mijn smtp server, en je als mailadres naam@eendomein.nl opgaf kwam het gewoon door..
Nix IP check, nix verificatie, zodra mail from een bekend mailadres was accepteerde ie het lekker.. Gevolg: veel spam onder mijn mailadressen, en ikke op de lijst..

Vervolgens dichtgespijkerd, heeft maar een dag of 2 geduurd in totaal (incl updates van die lijst) maar ik baalde er wel van.. gvd nog gechecked, bleek die check niet safe te zijn

MikeN 13 juni 2002 13:54

Wat ik me afvraag: hoe is dit getest?

Je moet toch altijd eerst bij Twigger inloggen? Of hebben ze SMTP server naar de buitenwereld toe open staan?

Dat zou wel erg zijn, aangezien ze alleen webbased diensten leveren.

Verwijderd @MikeN • 13 juni 2002 17:30

Als de SMTP server niet naar de buitenwereld open staat kan er geen mail worden ontvangen en afgeleverd.

arjankoole

Bedrijfsnieuws

@Verwijderd • 14 juni 2002 07:19

nee, da's openrelay, en dan kom je (o.a.) in ORDB terrecht.

OpenProxy is dat je via een bepaalde site via omwegen scripts kan misbruiken en op die manier van een server ook een soort OpenRelay kan maken. bijvoorbeeld zoals ze doen met al die formmail.pl 's < versie 1.91

MikeN @Verwijderd • 13 juni 2002 17:36

Verstuurd kan er zeker wel worden als alleen verbindingen naar buiten open staan. Email ontvangen hebben ze bij twigger in principe niet nodig, alleen voor hun eigen adressen, en die gaan naar een andere mailserver dan de versturende server.

Verwijderd @Verwijderd • 13 juni 2002 17:36

Nou, Twigger werkt met een browser interface. Als het zo was dan zouden ze alleen de IP's van de HTTP servers toelaten op hun SMTP servers.

Marcel Loesberg 13 juni 2002 14:35

Het lijkt er op dat twigger het probleem aanpakt.
De mailserver is in ieder geval "down for maintenance"

bash-2.05$ nslookup mail.twigger.nl
Server: localhost
Address: 127.0.0.1

Name: mail.twigger.nl
Address: 212.189.177.2

bash-2.05$ telnet 212.189.177.2 25
Trying 212.189.177.2...
telnet: connect to address 212.189.177.2: No route to host
telnet: Unable to connect to remote host

Johannes Verelst @Marcel Loesberg • 13 juni 2002 22:56

die 'mail.twigger.nl' is nogal willekeurig gekozen. Dit is zomaar en naam, maar je weet helemaal niet zeker of dit ook daadwerkelijk een actieve mailserver is.

Als je wilt achterhalen welke SMTP servers voor een domein mail aannemen, moet je de 'MX records' opvragen voor dat domein. Onder unix gaat dat zo:

naboo:~# host -t mx twigger.nl
twigger.nl mail is handled by 60 mx1.hscg.net.
twigger.nl mail is handled by 70 mx2.hscg.net.
twigger.nl mail is handled by 5 pop.hscg.net.
twigger.nl mail is handled by 50 mail.indivirtual.com.

Het laagste nummer heeft hoogste prioriteit, dus pop.hscg.net is de eerste mailserver die geprobeert zal worden, daarna mail.indivirtual.com, etc. etc.

</minicursus-dns>

Marcel Loesberg @Johannes Verelst • 14 juni 2002 07:28

Met de MX records zie je wat de inkomende mailservers zijn voor het domein twigger.nl.
We zijn nu vooral geintresseerd in de uitgaande mailserver die een open relay/proxy zou hebben.
Uitgaande mailservers hoeven niet in de MX records te staan.

MikeN @Marcel Loesberg • 13 juni 2002 14:47

Waar haal jij het adres mail.twigger.nl vandaan?
Wie zegt dat daar daadwerkelijk een mailserver draait?
Als ik kijk staat is er gewoon "twigger.nl" de afzender van de mailtjes.

Marcel Loesberg @MikeN • 14 juni 2002 07:32

Dat "twiggel.nl" de afzender lijkt te zijn kan gewoon gedaan zijn met masquerading. In sendmail.cf zet je dan DMtwigger.nl en alle mail lijkt van dat domein te komen terwijl de machine mischien pietjepuk.twigger.nl heet.

MikeN @Marcel Loesberg • 14 juni 2002 10:53

Er bestaat altijd nog zoiets als een IP adres

Verder komt de mail toch echt van het ip adres van twigger.nl omdat daar ook een mailserver draait. Test maar eens uit.

Bobco 13 juni 2002 14:04

Wat is een 'open proxy' nou weer? Ik dacht altijd dat dit een 'open relay' heette als het over SMTP ging.

Mja, ik vind dit toch al een beetje een twijfelachtige dienst. Ik zie ook niet wat de toegevoegde waarde is boven de webmail diensten die bijvoorbeeld Demon aanbiedt.

Trouwens, Troostwijk mag anders ook wel eens iemand die foutloos Nederlands kan schrijven naar de FAQ laten kijken. Een paar juweeltjes: "Doordat IBM werkt met 6 verschillende servers voor de mail. Moet u zelf uitvinden welke van u is." en "Uw houdt uw eigen e-mail adres.".

En dan nog iets wat ik helemaal niet begrijp: "Uw password is niet bij ons bekend en uw berichten staan maximaal 24 uur op onze server" Hoe haalt Twigger dan mijn email op als ze mijn POP3 password niet hebben?

MikeN @Bobco • 13 juni 2002 14:09

En dan nog iets wat ik helemaal niet begrijp: "Uw password is niet bij ons bekend en uw berichten staan maximaal 24 uur op onze server" Hoe haalt Twigger dan mijn email op als ze mijn POP3 password niet hebben?

Dat pass wordt wel degelijk opgeslagen. Anders kunnen ze het niet ophalen.

Wat erger is, is dat ze zelf aangeven dat mail bij hun op de server wordt bewaard. Al zou ik zo'n dienst maken zou ik het gewoon direct doorsturen en niet eens opslaan.

junkbuster @MikeN • 13 juni 2002 14:27

Het wachtwoord wordt eventjes gebruikt om de e-mail van de klant op te halen op de betreffende mailserver, daarna kan 'ie weggegooid worden. Van opslag hoeft dus geen sprake te zijn.

Het opslaan van de e-mail is ongetwijfeld een efficiëntieoverweging. Als klanten namelijk regelmatig (dagelijks of vaker) e-mail lezen via Twigger, dan hoeft het systeem (na de eerste keer) niet ALLE e-mailberichten voor die klant op te halen, maar alleen nieuw gearriveerde berichten. Dat scheelt enorm veel bandbreedte.

Verwijderd 13 juni 2002 13:55

Bovendien is het niet mogelijk om via Twigger binnen korte tijd veel mail te sturen."

DAT klopt denk ik wel. Binnen korte tijd enkele mailtjes lezen kan immers ook niet. Twigger is altijd vreselijk traag helaas

Skyclad 13 juni 2002 14:13

Als dit zo is kunnen ze het gat altijd nog dichten.
Ik neem aan dat Osirusoft wel bereid is uit te leggen wat er volgens hun mis is.

Waar ik me meer zorgen om maak is dat Eudoramail niets doet tegen de spammers die van hun gratis mail service gebruik maken, ik wil ook niet het risico lopen dat ik klanten blokkeer, dus ontvang ik dagelijks tientallen spam mailtjes van <spammer>@eudoramail.com.

kodak

Bedrijfsnieuws

13 juni 2002 14:45

Troostwijk van Twigger zegt in het begin "dat het onmogelijk is om mail te versturen als je niet bent ingelogd" en "dat het niet mogelijk is om binnen korte tijd veel mail te versturen."
En aan het einde "Daar moet iets zijn misgegaan tijdens de configuratie".
Troostwijk heeft er zelf dus blijkbaar nog niet goed naar gekeken of zijn beweringen dat het onmogelijk is kloppen.

Verwijderd 13 juni 2002 15:11

@home had iets dergelijks. Ik laat een oud PC'tje de mail van een bepaald domein ophalen via een catch-all adres, en op basis van het adres, stuurt hij het door naar andere adressen. Ik was vergeten om m'n @home gegevens in te stellen, maar hij stuurde alles netjes door hoor.

Een paar dagen later, deed hij het niet meer. @home heeft er volgens mij iets aan gedaan.

Verwijderd 13 juni 2002 17:39

Ik denk het probleem zit in de configuratie van Twigger. Daar kan je namelijk afzender adres invullen. Nu het als echte afzender is of reply-to header is weet ik niet. Maar ik denk dat daar het probleem zit. Zover ik het weet heeft de directeur van twigger gelijk..

Verwijderd 13 juni 2002 19:46

Twigger-directeur Gabriël Troostwijk "Het is bij ons niet mogelijk mail te versturen als je niet bent ingelogd. Alle gebruikers maken zich eerst bekend met hun gebruikersnaam, wachtwoord en e-mailadres. Bovendien is het niet mogelijk om via Twigger binnen korte tijd veel mail te sturen."

Het is niet eens mogelijk om binnen korte tijd je email te lezen

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (39)

Sorteer op:

Weergave: