[Comm] popa3d

[Comm] popa3d

[aek]

Hello community,

         Вопросец теаретисский.
         достаточно ли защищен протокол поп3 ?
         у юзеров как правило на самбу, почту, другие
         ресурсы сервера, пароль один и тот же.
         пароль, на сколько я понимаю, гуляет по сетке
         в виде хеша. Какой из сервисов потенциально более
         уязвим на предмет перехвата, расшифровки пароля?

-- 
Всех благ!
Анатолий

Re: [Comm] popa3d

[Oleg K. Artemjev]

On Fri, 31 Jan 2003 15:44:29 +0700
aek <aek@taxpol.krasnoyarsk.su> wrote:
>          Вопросец теаретисский.
>          достаточно ли защищен протокол поп3 ?
Совершенно недостаточно. :-) Хотя конечно на вкус и цвет..

>          у юзеров как правило на самбу, почту, другие
>          ресурсы сервера, пароль один и тот же.
Не хорошо это.. =)

>          пароль, на сколько я понимаю, гуляет по сетке
>          в виде хеша. Какой из сервисов потенциально более
Вам найти ссылку на rfc? ?-) AFAIR там вообще plain text.. 

[olli@ws002 olli]$ telnet mail pop3
Trying 192.168.100.253...
Connected to mail.
Escape character is '^]'.
+OK
USER testuser
+OK
PASS 1234567890
+OK
LIST
+OK
.
^]
telnet> close
Connection closed.
[olli@ws002 olli]$ 
Ну да, точно

>          уязвим на предмет перехвата, расшифровки пароля?
По моему сниффер поставить не так сложно. :/


-- 
Bye.Olli.			http://olli.digger.org.ru

Re: [Comm] popa3d

[Sergey Degtyaryov]

aek пишет:
> Hello community,
> 
>          Вопросец теаретисский.
>          достаточно ли защищен протокол поп3 ?
>          у юзеров как правило на самбу, почту, другие
>          ресурсы сервера, пароль один и тот же.
>          пароль, на сколько я понимаю, гуляет по сетке
>          в виде хеша. Какой из сервисов потенциально более
>          уязвим на предмет перехвата, расшифровки пароля?
> 

Use of the PASS command sends passwords in the clear over the network. (с)

Есть pop3 secure (в пакете uw-imap)

--
Сергей Дегтярев

Re: [Comm] popa3d

[Flach]

Hi, aek!

Если c pop3 не используется никаких прилад,  и пароль передается стандартным 
способом, то , конечно,  pop3. Более того, по-умолчанию, он передается в 
открытом, текстовом виде, а не в  хэше. Просто посмотрите tcpdump pop3 
сеанса... Та же беда у telnet сеансов (опять-таки если он используется as is)
С уважением,
Михаил

>          Вопросец теаретисский.
>          достаточно ли защищен протокол поп3 ?
>          у юзеров как правило на самбу, почту, другие
>          ресурсы сервера, пароль один и тот же.
>          пароль, на сколько я понимаю, гуляет по сетке
>          в виде хеша. Какой из сервисов потенциально более
>          уязвим на предмет перехвата, расшифровки пароля?

Re: [Comm] popa3d

[Dmytro O. Redchuk]

On Fri, Jan 31, 2003 at 12:01:25PM +0300, Oleg K. Artemjev wrote:
> >          уязвим на предмет перехвата, расшифровки пароля?
> По моему сниффер поставить не так сложно. :/
Скриптик на пять строчек... перловку...

 
> -- 
> Bye.Olli.			http://olli.digger.org.ru
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk


Dogs just don't seem to be able to tell the difference between important people
and the rest of us.

Re[2]: [Comm] popa3d

[aek]

Hello Sergey,

Friday, January 31, 2003, 4:13:55 PM, you wrote:

SD> Есть pop3 secure (в пакете uw-imap)

Есть ли почтовые протоколы позволяющие шифровать
почтовый обмен между юзером и сервером, что бы
поддерживалось существующими почтовыми клиентами
типа Бат-а, Аутглюка? На что стоит перебежать?
Конкретная задача: раздача/получение почты от
удаленных пользователей с модемами.

-- 
Всех благ!
Анатолий

Re: [Comm] popa3d

[Dmytro O. Redchuk]

On Fri, Jan 31, 2003 at 05:05:18PM +0700, aek wrote:
> Hello Sergey,
> 
> Friday, January 31, 2003, 4:13:55 PM, you wrote:
> 
> SD> Есть pop3 secure (в пакете uw-imap)
> 
> Есть ли почтовые протоколы позволяющие шифровать
> почтовый обмен между юзером и сервером, что бы
> поддерживалось существующими почтовыми клиентами
> типа Бат-а, Аутглюка? На что стоит перебежать?
> Конкретная задача: раздача/получение почты от
> удаленных пользователей с модемами.
Бат -- протокол apop (умеет qpopper)
Бат,Глюк, etc... -- spop3 (умеет кто угодно плюс stunnel)
 
> -- 
> Всех благ!
> Анатолий
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk


Weekend, where are you?

Re: Re[2]: [Comm] popa3d

[Oleg K. Artemjev]

On Fri, 31 Jan 2003 17:05:18 +0700
aek <aek@taxpol.krasnoyarsk.su> wrote:

> SD> Есть pop3 secure (в пакете uw-imap)
> Есть ли почтовые протоколы позволяющие шифровать
> почтовый обмен между юзером и сервером, что бы
> поддерживалось существующими почтовыми клиентами
> типа Бат-а, Аутглюка? На что стоит перебежать?
> Конкретная задача: раздача/получение почты от
> удаленных пользователей с модемами.
Заведите их в ssl обертку.

-- 
Bye.Olli.			http://olli.digger.org.ru

Re: Re[2]: [Comm] popa3d

[Anton V. Boyarshinov]

On Fri, 31 Jan 2003 17:05:18 +0700 aek
 wrote:

> SD> Есть pop3 secure (в пакете uw-imap)
> 
> Есть ли почтовые протоколы позволяющие шифровать
> почтовый обмен между юзером и сервером, что бы

Да. Можно пускать pop3 поверх ssl.

> поддерживалось существующими почтовыми клиентами
> типа Бат-а, Аутглюка? 

Не знаю.

> Конкретная задача: раздача/получение почты от
> удаленных пользователей с модемами.

Как раз для удалённых пользователей с модемами это менее
актуально, так как "третий модем на линии" реализовать сложнее,
чем банальный tcpdump.

Антон

-- 
mailto:boyarsh@mail.ru
mailto:boyarsh@ru.echo.fr
  1:20pm  up 66 days, 19:26, 10 users,  load average: 0.03, 0.09,
0.05

Re: [Comm] popa3d

[Sergey Degtyaryov]

aek пишет:
> Hello Sergey,
> 
> Friday, January 31, 2003, 4:13:55 PM, you wrote:
> 
> SD> Есть pop3 secure (в пакете uw-imap)
> 
> Есть ли почтовые протоколы позволяющие шифровать
> почтовый обмен между юзером и сервером, что бы
> поддерживалось существующими почтовыми клиентами
> типа Бат-а, Аутглюка? На что стоит перебежать?
> Конкретная задача: раздача/получение почты от
> удаленных пользователей с модемами.

еще раз:

bash-2.05b$ sudo   cat /etc/xinetd.d/uw-pop3s
# default: off
# description: The POP3S service allows remote users to access their mail \
#              using an POP3 client with SSL support such as fetchmail.
service pop3s

Поддерживают:
Mozilla, Sylpheed, KMail, TB!, Outlook.
Последние два -- по слухам.

SMTP-траффик, при использовании postfix-sasl, также шифруется.
Умеют все те же, но, afaik, не все одинаковыми методами.

--
Сергей Дегтярев

Re[4]: [Comm] popa3d

[aek]

Hello Oleg,

Friday, January 31, 2003, 5:18:38 PM, you wrote:

>> SD> Есть pop3 secure (в пакете uw-imap)
>> Есть ли почтовые протоколы позволяющие шифровать
>> почтовый обмен между юзером и сервером, что бы
>> поддерживалось существующими почтовыми клиентами
>> типа Бат-а, Аутглюка? На что стоит перебежать?
>> Конкретная задача: раздача/получение почты от
>> удаленных пользователей с модемами.
OKA> Заведите их в ssl обертку.

Подозреваю что у юзеров это будет выглядеть сложновато.
Непоймут-с. Им бы пару галочек в окошках, остальное
чревато.


-- 
Всех благ!
Анатолий

[Comm] [JT] sniffing

[Oleg K. Artemjev]

> Как раз для удалённых пользователей с модемами это менее
> актуально, так как "третий модем на линии" реализовать сложнее,
> чем банальный tcpdump.
Кстати, а насколько сложно реализовать интерфейс к сетевухе, такой, 
чтобы приложив его к Unshielded UTP кабелю можно было пускать tcpdump?
Я в общем-то  понимаю, что это не сюда, но может квалифиципрованные по 
части электротехники инжененры тут присутствуют? Проблему наличия линка 
на карте можно решить довольно легко, а вот с индуктивным съемом с 2х пар.. - ?


-- 
Bye.Olli.			http://olli.digger.org.ru

Re: Re[4]: [Comm] popa3d

[Oleg K. Artemjev]

On Fri, 31 Jan 2003 17:37:43 +0700
aek <aek@taxpol.krasnoyarsk.su> wrote:
> >> SD> Есть pop3 secure (в пакете uw-imap)
> >> Есть ли почтовые протоколы позволяющие шифровать
> >> почтовый обмен между юзером и сервером, что бы
> >> поддерживалось существующими почтовыми клиентами
> >> типа Бат-а, Аутглюка? На что стоит перебежать?
> >> Конкретная задача: раздача/получение почты от
> >> удаленных пользователей с модемами.
> OKA> Заведите их в ssl обертку.
> Подозреваю что у юзеров это будет выглядеть сложновато.
> Непоймут-с. Им бы пару галочек в окошках, остальное
> чревато.
У моего коллеги работает.. =) Дрессировка юзверей - дело трудное, 
но без него мало что можно сделать - часть вопросов должна 
решаться исключительно административными средствами. Насчет 
галочек - в виндах почти все делается галочками, подозреваю в 
данном случае тоже. =)

-- 
Bye.Olli.			http://olli.digger.org.ru

Re: [Comm] popa3d

[Dmytro O. Redchuk]

On Fri, Jan 31, 2003 at 05:37:43PM +0700, aek wrote:
> Hello Oleg,
> 
> Friday, January 31, 2003, 5:18:38 PM, you wrote:
> 
> >> SD> Есть pop3 secure (в пакете uw-imap)
> >> Есть ли почтовые протоколы позволяющие шифровать
> >> почтовый обмен между юзером и сервером, что бы
> >> поддерживалось существующими почтовыми клиентами
> >> типа Бат-а, Аутглюка? На что стоит перебежать?
> >> Конкретная задача: раздача/получение почты от
> >> удаленных пользователей с модемами.
> OKA> Заведите их в ssl обертку.
> 
> Подозреваю что у юзеров это будет выглядеть сложновато.
> Непоймут-с. Им бы пару галочек в окошках, остальное
> чревато.
Так в аутглюге в таком случае надо только одну галочку и поставить :-)

> 
> -- 
> Всех благ!
> Анатолий
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk


Indifference will certainly be the downfall of mankind, but who cares?

[Comm] [JT] Re: popa3d

[Dmytro O. Redchuk]

On Fri, Jan 31, 2003 at 01:28:39PM +0300, Sergey Degtyaryov wrote:
> # description: The POP3S service allows remote users to access their mail \
> #              using an POP3 client with SSL support such as fetchmail.
> service pop3s
> 
> Поддерживают:
> Mozilla, Sylpheed, KMail, TB!, Outlook.
> Последние два -- по слухам.
Аутлук -- точно, а бат... Слышал г\когда-то, как его через тот же
stunnel на локальной машине запускали :-)

Может, что-то изменилось, не знаю...

> SMTP-траффик, при использовании postfix-sasl, также шифруется.
> Умеют все те же, но, afaik, не все одинаковыми методами.
> 
> --
> Сергей Дегтярев
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk


This is the first age that's paid much attention to the future, which is a
little ironic since we may not have one.
		-- Arthur Clarke

Re: Re[4]: [Comm] popa3d

[Илья Брызгалов]

В Fri, 31 Jan 2003 17:37:43 +0700 aek <aek@taxpol.krasnoyarsk.su>
сообщил следующее:

> Hello Oleg,
> 
> Friday, January 31, 2003, 5:18:38 PM, you wrote:
> 
> >> SD> Есть pop3 secure (в пакете uw-imap)
> >> Есть ли почтовые протоколы позволяющие шифровать
> >> почтовый обмен между юзером и сервером, что бы
> >> поддерживалось существующими почтовыми клиентами
> >> типа Бат-а, Аутглюка? На что стоит перебежать?
> >> Конкретная задача: раздача/получение почты от
> >> удаленных пользователей с модемами.
> OKA> Заведите их в ssl обертку.
> 
> Подозреваю что у юзеров это будет выглядеть сложновато.
> Непоймут-с. Им бы пару галочек в окошках, остальное
> чревато.
А почему POP3 я его выключил у себя и пускаю только по IMAP4.
На нем SSL (wu-imaps)
Бат, мурзилка и Линуксовые MUA работают.
АутГлюки я запретил в нашей сети >:-[]
-- 
===================-iLL-======================+
Илья Брызгалов ака iLL - Краснодарское РУМН
    _ I don't smoke, so wish to you!
   (_)  ___    ___   http://illinux.boom.ru/
  /  / /  /   /  /   mailto:ill@krumn.oilnet.ru
 /  / /  /__ /  /__  JID:illinux@jabber.ru
/__/ /_____//_____/  ICQ:43835329
ALT Linux Sisyphus (20030129)
============-Linux User #301257-==============+

Re[6]: [Comm] popa3d

[aek]

Hello Илья,

Friday, January 31, 2003, 6:02:31 PM, you wrote:

ИБ> А почему POP3 я его выключил у себя и пускаю только по IMAP4.
ИБ> На нем SSL (wu-imaps)

Зашел в Аутглюк, дает выбрать поддержку IMAP.
+ еще дает поставить галочку по поводу "Использовать безопасное
подтверждение пароля SPA". Что это? И в ПОП3 и в ИМАП...
Это из этой оперы?
А "Бату" можно задать какойто Apop3 это не одно и то же с SPA?

Как будет выглядеть прикручивание SSL со стороны клиентов?


-- 
Всех благ!
Анатолий

Re: [Comm] popa3d

[Dmytro O. Redchuk]

On Mon, Feb 03, 2003 at 12:33:15PM +0700, aek wrote:
> Hello Илья,
> 
> Friday, January 31, 2003, 6:02:31 PM, you wrote:
> 
> ИБ> А почему POP3 я его выключил у себя и пускаю только по IMAP4.
> ИБ> На нем SSL (wu-imaps)
> 
> Зашел в Аутглюк, дает выбрать поддержку IMAP.
> + еще дает поставить галочку по поводу "Использовать безопасное
> подтверждение пароля SPA". Что это? И в ПОП3 и в ИМАП...
В настройках соединения есть галочка "безопасное соединение" или что-то
вроде этого. При установке "тама" "птички" :-) выставляется порт на
сервере (для соединения с..) -- 995 (кажется), вместо стандартного поп3,
110. Это есть secure pop3 (она же pop3s, она же spop3...).
Это не там, где SPA, -- точнее сказать не могу, аутлука, к счастью, под
рукой нет.

> Это из этой оперы?
> А "Бату" можно задать какойто Apop3 это не одно и то же с SPA?
Нет. apop -- это другая песня, его аутлук не умеет, для него,
разумеется, надо поддержку на сервере (это умеет qpopper, 3.0 ещё
бесплатный, правда, я не знаю, как у него сейчас с дырками и патчами).

Думаю, что, если возникают такие попросы, и в подобных вещах есть
необходимость, надо копать в сторону SSL (spop3), и не надо трогать apop
и SPA.

> Как будет выглядеть прикручивание SSL со стороны клиентов?
Да вот так и будет -- сказал аутлуку, что надо секьюрный коннекшн
(порт 995), да и всё... Правда, как с батом -- не знаю. Ещё год назад
для этого приходилось копаться со stunnel на стороне клиента, сейчас --
не знаю, что там у бата на сей счёт.

> 
> -- 
> Всех благ!
> Анатолий
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk


Corry's Law:
	Paper is always strongest at the perforations.

Re[2]: [Comm] popa3d

[Половников Денис]

Здравствуйте, Dmytro.

С батом все как и год назад он работает с SSL только через stunnel :-(

>> Как будет выглядеть прикручивание SSL со стороны клиентов?
DOR> Да вот так и будет -- сказал аутлуку, что надо секьюрный коннекшн
DOR> (порт 995), да и всё... Правда, как с батом -- не знаю. Ещё год назад
DOR> для этого приходилось копаться со stunnel на стороне клиента, сейчас --
DOR> не знаю, что там у бата на сей счёт.

>> 
>> -- 
>> Всех благ!
>> Анатолий



С уважением,
 Половников Денис

--------------------
Ведущий специалист
департамента банковских технологий.
КБ "Транспортный"

fox@transbank.ru
www.transbank.ru