Relaying de emails via ISP (sapo.pt)
Nuno J. Silva
com que o mesmo fosse também capaz de enviar emails.
Para não ter de repetir n vezes a configuração de smtp para cada cliente
de email que uso, e para tornar as coisas mais simples, experimentei o
postfix.
Infelizmente, dado o estado da coisa, só tendo ip fixo e reverse-dns é
que há a mínima possibilidade de ter sorte com o envio directo a partir
do postfix.
Ok, tenho tentado fazer o envio de mensagens de algumas formas através
do ISP. Sem sucesso.
Se uso o mx.sapo.pt:
relay=mx.sapo.pt[212.55.154.44]:25, delay=0.1, delays=0.01/0/0.06/0.02,
dsn=5.0.0, status=bounced (host mx.sapo.pt[212.55.154.44] said:
553-Relaying denied 553-Se for cliente SAPO consulte
http://protegido.sapo.pt 553 Se for cliente Telepac consulte
http://protegido.telepac.pt (#5.7.1) (in reply to RCPT TO command))
Se uso mail.sapo.pt:
to=<xp...@ist.utl.pt>, relay=mta.co.sapo.pt[194.65.95.236]:25,
delay=0.14, delays=0.01/0/0.05/0.08, dsn=5.0.0, status=bounced (host
mta.co.sapo.pt[194.65.95.236] said: 550 No such domain at this location
(xp...@ist.utl.pt) (in reply to RCPT TO command))
(Apesar de isto ser um exemplo de uma tentativa de enviar para a minha
inbox do IST, também aparece a mesma mensagem se tentar enviar para
@gmail.com.)
Alguém faz ideia de como conseguir meter isto a funcionar?
O main.cf tem as seguintes linhas, que tratei de meter para ver se tinha
mais sorte com acesso autenticado.
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/saslpass
smtp_sasl_security_options =
Erros do postfix, não vejo nenhum, só mesmo os dos servidores smtp do
sapo...
--
Nuno J. Silva (aka njsg)
LEIC student at Instituto Superior Técnico
Lisbon, Portugal
Homepage: http://njsg.no.sapo.pt/
Gopherspace: gopher://sdf-eu.org/11/users/njsg
Registered Linux User #402207 - http://counter.li.org
-=-=-
Linux: transforms your microcomputer in a workstation.
Windows NT: transforms your workstation in a microcomputer.
-- Paulo F. Sedrez
ArameFarpado
Posso não estar a dizer nada de jeito mas cá vai:
esses servidores que tentas são os de envio? os smtp?
estas a querer usar servidores smtp da sapo sem estares ligado pela sapo?
esses servidores não requerem autenticação?
é que: eu posso usar o smtp.netcabo.pt apenas se estiver ligado pela
netcabo, mas posso usar o smtpa.netcabo.pt a partir de qualquer outra
ligação (ISP) desde que indique o user e pass (autenticação)...
o smtp.netcabo.pt não precisa autenticação, o smtpa.netcabo.pt precisa.
Se isto não te ajudar em nada, pelo menos fica a intenção ;)
inté
ArameFarpado
Nuno J. Silva
> Em Quarta, 2 de Julho de 2008 02:49, Nuno J. Silva escreveu:
>
<snip/>
>> Para não ter de repetir n vezes a configuração de smtp para cada cliente
>> de email que uso, e para tornar as coisas mais simples, experimentei o
>> postfix.
<snip/>
>> Ok, tenho tentado fazer o envio de mensagens de algumas formas através
>> do ISP. Sem sucesso.
>>
>> Se uso o mx.sapo.pt:
>>
>> relay=mx.sapo.pt[212.55.154.44]:25, delay=0.1, delays=0.01/0/0.06/0.02,
>> dsn=5.0.0, status=bounced (host mx.sapo.pt[212.55.154.44] said:
>> 553-Relaying denied 553-Se for cliente SAPO consulte
>> http://protegido.sapo.pt 553 Se for cliente Telepac consulte
>> http://protegido.telepac.pt (#5.7.1) (in reply to RCPT TO command))
>>
>> Se uso mail.sapo.pt:
>>
>> to=<xp...@ist.utl.pt>, relay=mta.co.sapo.pt[194.65.95.236]:25,
>> delay=0.14, delays=0.01/0/0.05/0.08, dsn=5.0.0, status=bounced (host
>> mta.co.sapo.pt[194.65.95.236] said: 550 No such domain at this location
>> (xp...@ist.utl.pt) (in reply to RCPT TO command))
>>
>> (Apesar de isto ser um exemplo de uma tentativa de enviar para a minha
>> inbox do IST, também aparece a mesma mensagem se tentar enviar para
>> @gmail.com.)
<snip/>
> Posso não estar a dizer nada de jeito mas cá vai:
>
> esses servidores que tentas são os de envio? os smtp?
Sim. mail.sapo.pt pensava que era o que tinha eu como smtp no
claws-mail, afinal era o mx, mas ambos respondem.
> estas a querer usar servidores smtp da sapo sem estares ligado pela
> sapo?
Não, estou ligado via SAPO adsl.
> esses servidores não requerem autenticação?
Bem, não sei até que ponto. Se bem que é incrivelmente estúpido exigir
que se perca tempo com a autenticação para usar o servidor de smtp,
quando eles têm a perfeita noção de que o IP é de um cliente SAPO, de
uma ligação deles, e podem perfeitamente ver que sou eu que faço o
envio, ainda tentei activar a autenticação, mas escapa-me alguma coisa,
porque mesmo com as configurações do postfix para tal, não faz nada de
novo...
Vou ver se consigo atinar com isto.
> é que: eu posso usar o smtp.netcabo.pt apenas se estiver ligado pela
> netcabo, mas posso usar o smtpa.netcabo.pt a partir de qualquer outra
> ligação (ISP) desde que indique o user e pass (autenticação)...
> o smtp.netcabo.pt não precisa autenticação, o smtpa.netcabo.pt
> precisa.
>
> Se isto não te ajudar em nada, pelo menos fica a intenção ;)
:-)
--
Nuno J. Silva (aka njsg)
LEIC student at Instituto Superior Técnico
Lisbon, Portugal
Homepage: http://njsg.no.sapo.pt/
Gopherspace: gopher://sdf-eu.org/11/users/njsg
Registered Linux User #402207 - http://counter.li.org
-=-=-
"I'd love to go out with you, but I've been scheduled for a karma
transplant."
ArameFarpado
> Sim. mail.sapo.pt
a mim parece-me que esse é o servidor pop3, de receber...
> pensava que era o que tinha eu como smtp no
> claws-mail, afinal era o mx, mas ambos respondem.
respondem aos pings... porque existem
não terás que usar o
smtp.sapo.pt
ou
smtpa.sapo.pt (autenticado)
???
Nuno J. Silva
Pelo menos o mx.sapo.pt e o smtp.sapo.pt têm o mesmo
endereço. mail.sapo.pt tem um outro, e smtpa.sapo.pt outro ainda.
Mencionei isto no irc, e sugeriram-me que metesse o nome do servidor
entre parêntesis rectos.
A questão é que até funcionava, mas perdi horas a ver de tudo, e a
experimentar ligar pela mesma porta que o claws-mail (!= 25), para
depois descobrir que estava a usar o mx.sapo.pt e que o ficheiro das
credenciais tinha apenas mail.sapo.pt. (cof) (cof) PEBKAC (cof)
A coisa está finalmente a funcionar.
Pelo que para fazer relaying com o SAPO basta usar:
relayhost = [mx.sapo.pt]
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps= hash:/etc/postfix/saslpass
smtp_sasl_security_options =
E com o saslpasswords a ter, obviamente, uma linha com
mx.sapo.pt xp...@sapo.pt:pass
--
Nuno J. Silva (aka njsg)
LEIC student at Instituto Superior Técnico
Lisbon, Portugal
Homepage: http://njsg.no.sapo.pt/
Gopherspace: gopher://sdf-eu.org/11/users/njsg
Registered Linux User #402207 - http://counter.li.org
-=-=-
Whatever you do will be insignificant, but it is very important that
you do it.
-- Mahatma Gandhi
Luis Bruno
> relay=mx.sapo.pt[212.55.154.44]:25, delay=0.1, delays=0.01/0/0.06/0.02,
> dsn=5.0.0, status=bounced (host mx.sapo.pt[212.55.154.44] said:
> 553-Relaying denied 553-Se for cliente SAPO consulte
> http://protegido.sapo.pt 553 Se for cliente Telepac consulte
> http://protegido.telepac.pt (#5.7.1) (in reply to RCPT TO command))
Usa smtp.sapo.pt; embora o mx. aponte para o mesmo IP que o smtp.,
depois queimas-te mais tarde.
> smtp_sasl_auth_enable = yes
> smtp_sasl_password_maps = hash:/etc/postfix/saslpass
> smtp_sasl_security_options =
Sim, o acesso tem que ser autenticado, mas SASL é demais; nota nas
instruções do protegido.sapo.pt que eles te dizem para não usares
password encriptada.
Infelizmente, não sei como pôr o postfix a autenticar-se com PLAIN.
Nuno J. Silva
Na documentação vem isto:
readme/SASL_README in postfix docs:
> Note: some SMTP servers support PLAIN or LOGIN authentication only. By
> default, the Postfix SMTP client does not use authentication methods
> that send plaintext passwords, and defers delivery with the following
> error message: "Authentication failed: cannot SASL authenticate to
> server". To enable plaintext authentication specify, for example:
>
> /etc/postfix/main.cf:
> smtp_sasl_security_options = noanonymous
E com esta opção definida desta forma, o envio também é bem sucedido.
Mas se isto significa realmente autenticação sem encriptação, não sei,
ainda vou ver os logs com debugging a ver se consigo descortinar mais
alguma coisa... devia era meter-me a testar localmente usando ainda
outro smtp (ou mesmo uma porta num computador) a ver o que sai desta
tentativa de ligação.
--
Nuno J. Silva (aka njsg)
LEIC student at Instituto Superior Técnico
Lisbon, Portugal
Homepage: http://njsg.no.sapo.pt/
Gopherspace: gopher://sdf-eu.org/11/users/njsg
Registered Linux User #402207 - http://counter.li.org
-=-=-
``You know you've been spending too much time on the computer when
your friend misdates a check, and you suggest adding a "++" to fix
it.''
Luis Bruno
> Mas se isto significa realmente autenticação sem encriptação, não sei,
Eu guiei-me pelo screenshot da configuração do Thunderbird que eles têm
naqueles URLs que aparecem nas mensagens de erro. Mas sim, não vejo
nenhum conselho para usar encriptação.
No entanto, o smtp.sapo.pt responde ao STARTTLS. Testas o relaying com
um Thundybird a fazer TLS+AUTH e depois logo vês se a autenticação é bem
sucedida.
Por outro lado, o ADSL não usa um meio partilhado para transmissão. De
certeza que precisas de encriptação?
Luis Bruno
> Bem, não sei até que ponto. Se bem que é incrivelmente estúpido exigir
> que se perca tempo com a autenticação para usar o servidor de smtp,
> quando eles têm a perfeita noção de que o IP é de um cliente SAPO
Heh.
* Pensa nos spam-zombies a enviar através do SMTP configurado no
cliente de email.
* Pensa em COM Automation como uma forma de enviar um email sem que o
user veja o Outlook Express ou o Outlook a aparecerem.
* Pensa em Wireless desprotegido e usado por terceiros
O SMTP-auth é uma forma de saber quem fez realmente uma transacção SMTP
tem uma conta do Sapo. Serve para saberes que realmente houve ali um
problema.
E o grupo telepac/sapo/pt tem um problema sério nesta área.
Nuno J. Silva
> Nuno J. Silva escreveu:
>> Bem, não sei até que ponto. Se bem que é incrivelmente estúpido exigir
>> que se perca tempo com a autenticação para usar o servidor de smtp,
>> quando eles têm a perfeita noção de que o IP é de um cliente SAPO
>
> Heh.
>
> * Pensa nos spam-zombies a enviar através do SMTP configurado no
> cliente de email.
Este não teria grande dificuldade em obter os dados de autenticação,
caso estejam memorizados.
> * Pensa em COM Automation como uma forma de enviar um email sem que o
> user veja o Outlook Express ou o Outlook a aparecerem.
Se os dados estiverem configurados, este também continua a ser
'problema'.
> * Pensa em Wireless desprotegido e usado por terceiros
Este, tal como os anteriores, são culpa de quem tem a conta de
acesso. Verdade seja dita, seja o que for que é feito, a
responsabilidade é de quem tem a ligação em seu nome.
Não me parece propriamente boa ideia complicar uma situação por aquilo
que é a excepção e não a regra...
Vejamos, utilizadores com péssimas políticas de segurança são maus quer
seja para o smtp quer seja para qualquer outra coisa na internet.
> O SMTP-auth é uma forma de saber quem fez realmente uma transacção
> SMTP tem uma conta do Sapo. Serve para saberes que realmente houve ali
> um problema.
Se a pessoa está ligada por dentro da rede deles é porque tem conta
deles.
> E o grupo telepac/sapo/pt tem um problema sério nesta área.
--
Nuno J. Silva (aka njsg)
LEIC student at Instituto Superior Técnico
Lisbon, Portugal
Homepage: http://njsg.no.sapo.pt/
Gopherspace: gopher://sdf-eu.org/11/users/njsg
Registered Linux User #402207 - http://counter.li.org
-=-=-
BREAKFAST.COM Halted... Cereal Port Not Responding.
Nuno J. Silva
<snip/>
> No entanto, o smtp.sapo.pt responde ao STARTTLS. Testas o relaying com
> um Thundybird a fazer TLS+AUTH e depois logo vês se a autenticação é
> bem sucedida.
True, dei por ter o claws-mail com opções diferentes das sugeridas nessa
página, se calhar até tenho uma combinação dessas. Vou experimentar, até
porque o claws tem uma janela de logging a jeito.
> Por outro lado, o ADSL não usa um meio partilhado para transmissão. De
> certeza que precisas de encriptação?
Resta-me é descobrir como a desactivar ;-)
--
Nuno J. Silva (aka njsg)
LEIC student at Instituto Superior Técnico
Lisbon, Portugal
Homepage: http://njsg.no.sapo.pt/
Gopherspace: gopher://sdf-eu.org/11/users/njsg
Registered Linux User #402207 - http://counter.li.org
-=-=-
Dummy NNTP
Viva,
Estás a pensar na situação em que tens uma ligação e um utilizador.
Terás de pensar que um ISP terá de saber, se caso numa ligação existam n
utilizadores, qual deles foi quem fez asneira.
Por outro lado, não deve existir nenhuma política de segurança que diga
que memorizar as credenciais é bom, antes pelo contrário, logo se um
cliente o faz, ele está a ser o irresponsável.
Tens n situações em que poderia não fazer sentido a autenticação, mas
por vezes, por causa de uma minoria de utilizadores mal comportados, a
maioria é obrigada a medidas mais estremas.
Cumprimentos,
Filipe
Luis Bruno
> Terás de pensar que um ISP terá de saber, se caso numa ligação existam n
> utilizadores, qual deles foi quem fez asneira.
Heh. Acho que neste caso é uma situação em que há N users, dos quais
alguns não pagam Internet porque WEP é fácil de crackar.
Daí a autenticação para remover a possibilidade de um transeunte enviar
email a partir do SMTP da Telepac assim de qualquer forma.
Daí a falta de encriptação obrigatória da password porque, no fim de
contas, estamos a falar da PT.
Daí a ironia de a gente aqui Na Empresa usar uma linha da PT.
Daí a Cabovisão estar a esticar fibra até nós.
Daí eu estar contente.
Já para não falar na possibilidade de a PT/Sapo poder estar a pensar
bloquear 25/tcp, permitindo apenas o envio de email através do MSA
deles; o que impede algum spam de ser enviado directamente (como um bot
que entrava pelo IE e que ia mandar spam directamente através do dito).
> Por outro lado, não deve existir nenhuma política de segurança que
> diga que memorizar as credenciais é bom, antes pelo contrário, logo se
> um cliente o faz, ele está a ser o irresponsável.
Há um bom motivo: uma única palavra-passe complicada desbloqueia as
palavras-passe memorizadas. No entanto, pouca gente deve usar o modo
FIPS do Firefox, ou uma boa palavra-passe no Keychain (me likes Mac OS X).
> Tens n situações em que poderia não fazer sentido a autenticação,
> mas por vezes, por causa de uma minoria de utilizadores mal comportados,
> a maioria é obrigada a medidas mais estremas.
Eu também preferia usar meios mais... óbvios como o IP de origem. No
entanto, WEP dá cabo dessa ideia.