Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: rikonen - 26.11.13 - klo:09.02
-
Olen tässä silloin tällöin katsonut minne kone ottaa yhteyksiä ja nyt ihmettelen miten Thuderbird (24.0) näyttäisi lataavan sähköpostit ihan jostakin muualta kuin osoittamaltani palvelimelta. Lisäksi yhteys näyttäisi tapahtuvan portin 443 eikä SSL-suojatun 995 kautta jonka olen myös asettanut. Onko kenelläkään vastaavia havaintoja/ideoita jolla tutkia asiaa lisää?
sudo netstat -anp | grep -e tcp -e udp
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 2219/dnsmasq
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1008/cupsd
tcp 0 0 192.168.0.102:35379 63.245.217.105:443 ESTABLISHED 16905/thunderbird
tcp 0 0 192.168.0.102:44741 93.184.220.29:80 ESTABLISHED 16905/thunderbird
tcp 0 0 192.168.0.102:35383 63.245.217.105:443 ESTABLISHED 16905/thunderbird
tcp 0 0 192.168.0.102:44742 93.184.220.29:80 ESTABLISHED 16905/thunderbird
tcp 0 0 192.168.0.102:54974 63.245.217.20:443 ESTABLISHED 16905/thunderbird
tcp 0 0 192.168.0.102:37227 199.7.55.72:80 ESTABLISHED 16905/thunderbird
tcp6 0 0 ::1:631 :::* LISTEN 1008/cupsd
udp 0 0 127.0.0.1:53 0.0.0.0:* 2219/dnsmasq
udp 0 0 0.0.0.0:68 0.0.0.0:* 16565/dhclient
Mikään noista IP-osoitteeista ei kuulu palveluntuottajalleni, olen ymmälläni.
Lisään tähän, että vika ei voi olla palveluntuottajassa, saan openssl-yhteyden (https://developer.mozilla.org/en-US/docs/Mozilla/Thunderbird/Autoconfiguration/FileFormat/HowTo) palveluntuottajan porttiin 995.
-
IP-osoitteen käyttäjästä voi hakea tietoa WHOIS-kyselyllä. Esimerkiksi:
http://dnstest.ficora.fi/whois.php?lang=fi
63.245.217.105:443 on HTTPS-yhteys Mozilla Corporationin palvelimelle.
93.184.220.29 osoitetta käyttää Edgecast, joka on Mozillan kanssa yhteistyössä oleva sisällönjakelija.
199.7.55.72 takana on Verisign, joka ylläpitää digitaalisia sertifikaatteja.
https://support.mozillamessaging.com/fi/kb/thunderbird-makes-unrequested-connections kertoo, että Thunderbird muodostaa yhteyksiä automaattisesti ylläpito-, päivitys- ja turvallisuustarkoituksissa.
Sähköpostiliikenteessä käytettävää yhteyttä tuossa ei edes näy.
Ei mitään epäilyttävää.
-
IP-osoitteen käyttäjästä voi hakea tietoa WHOIS-kyselyllä. Esimerkiksi:
http://dnstest.ficora.fi/whois.php?lang=fi
63.245.217.105:443 on HTTPS-yhteys Mozilla Corporationin palvelimelle.
93.184.220.29 osoitetta käyttää Edgecast, joka on Mozillan kanssa yhteistyössä oleva sisällönjakelija.
199.7.55.72 takana on Verisign, joka ylläpitää digitaalisia sertifikaatteja.
https://support.mozillamessaging.com/fi/kb/thunderbird-makes-unrequested-connections kertoo, että Thunderbird muodostaa yhteyksiä automaattisesti ylläpito-, päivitys- ja turvallisuustarkoituksissa.
Sähköpostiliikenteessä käytettävää yhteyttä tuossa ei edes näy.
Ei mitään epäilyttävää.
Kyllä minä tuon saman näen.... mutta kun mitään muuta yhteyttä oikeaan palveluntuottajaan ei tapahdu, niin kyllä jossain jotain vikaa on. Olen testannut yhteyttä monta kertaa eikä yhteyttä oikeaan palveluntuottajaan tapahdu vaikka sähköpostit putkahtaa perille. Miten tuo muilla pelittää?
-
Wireshark tai tcpdump sopisi paremmin tällaisten väliaikaisten yhteyksien selvittelyyn.
-
Kyllä minä tuon saman näen.... mutta kun mitään muuta yhteyttä oikeaan palveluntuottajaan ei tapahdu, niin kyllä jossain jotain vikaa on. Olen testannut yhteyttä monta kertaa eikä yhteyttä oikeaan palveluntuottajaan tapahdu vaikka sähköpostit putkahtaa perille. Miten tuo muilla pelittää?
Täytyyhän sen yhteyden tapahtua, koska posti kulkee. Toimitus on nopea ja sen jälkeen yhteys suljetaan joko palvelimen tai sähköpostiohjelman toimesta. Siksei näy netstatin listauksessa?
-
Wireshark tai tcpdump sopisi paremmin tällaisten väliaikaisten yhteyksien selvittelyyn.
Olet oikeassa, komennolla sudo tcpdump -nn -i eth0 port 995 näkyy että data liikkuu oikeaan osoitteeseen ja porttiin. Netstat ei näyttä kaikkea liikennettä eikä siten sovellu tähän.
Kiitos, kaikki kunnossa taas :)