SMTP HELO overflow attempt

snort как и любая IDS может ошибаться.

допускаю такую возможность, но есть несколько но - такая ругань только на одного пользователя, несколько десятков других юзеров в таком не замечены, в добавок такая ругань только на другие сервера (порядка 15 хостов и раза в два больше самих попыток) - с корпоративным почтовиком все ок

просто к чему это я - может, есть люди которые сталкивались с аналогичными ситуациями и они смогут помочь понять, из-за чего это происходит и чем может грозить (взлом affected systems не всчет :-))

Это происходит из-за того, что кто-то(босс) пытается вызвать переполнение буфера на комманде SMTP HELO.

Сейчас, праактически везде, все сервера от этой уязвимости избавились, но... Как я уже писал, я бы обратил пристальное внимание на комп босса.

закрыть допуск ему, когда придет с матом - сказать, "ах, это мой файрволл нашел у Вас на машине вирус и отключил в целях безопасности".

Могу предположить, что у босса стоит нестандартный почтовик, либо используется локальный smtp-proxy (для прохода через http-proxy через CONNECT) или антивирусный smtp-proxy (TrendMicro?), так вот проверьте какой у него почтовик.

Возможно, что ваш корпоративный SMTP это Lotus или Exchange, а в сеть он ходит на обычные postfix/sendmail/qmail/exim. Так вот версия в том, что нестандартный почтовик или его какой то smtp-proxyи одному или нескольким из обычных почтовиков подсовывает длинную строку HELO. Зачем это делает - не знаю :)

А вообще snort по-дефолту делает дамп пакетов, можете привести, что клиент засылает серверу в HELO (можете или включить это в snort или сделать tcpdump за утро, например, когда он почту точно будет проверять)?

Сам не сталкивался, только моя версия, но интересно.