home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / alt / lucidem / help / 658 < prev    next >
Encoding:
Text File  |  1992-11-06  |  7.4 KB  |  176 lines
  1. x-gateway: rodan.UU.NET from help-lucid-emacs to alt.lucid-emacs.help; Thu, 5 Nov 1992 22:48:19 EST
  2. Date: Thu, 5 Nov 1992 19:38:33 PST
  3. Message-ID: <9211060338.AA04487@thalidomide.lucid>
  4. X-Windows: The problem for your problem.
  5. From: jwz@lucid.com (Jamie Zawinski)
  6. Sender: jwz%thalidomide@lucid.com
  7. Subject: DANGER!  TOXIC!
  8. Newsgroups: alt.lucid-emacs.help
  9. Path: sparky!uunet!wendy-fate.uu.net!help-lucid-emacs
  10. Lines: 164
  11.  
  12. Bob Weiner recently sent out a message <9211060306.AA08039@pts4.pts.mot.com>
  13. whose headers read
  14.  
  15.     From: ex594bw@pts4.pts.mot.com (Bob Weiner)
  16.     To: help-lucid-emacs@lucid.com
  17.     Cc: cckrasic%math@uunet.uu.net)
  18.  
  19. This has unleashed the dreaded sendmail virus: all sites running sendmail
  20. which have this message pass through them will generate a bounce message
  21. back to help-lucid-emacs-request@lucid.com *as well as* sending the message
  22. on, allowing all downstream sites to do the same.  In the ~20 minutes since
  23. this message passed through lucid.com, we've already recieved 90 bounces.
  24. I expect that thousands more are on the way.  Happy happy.  Joy joy.
  25.  
  26.     -- Jamie
  27.  
  28. ------- Start of forwarded message -------
  29. Date:     Thu, 09 May 91 23:26:50 -0700
  30. From:     "Erik E. Fair" (Your Friendly Postmaster) <fair@APPLE.COM>
  31. To:       tcp-ip@NIC.DDN.MIL, unicode@SUN.COM, [...]
  32. Subject:  Case of the Replicated Errors: An Internet Postmaster's Horror Story
  33.  
  34.     [Forwarded to RISKS by Jerry Leichter <leichter@lrw.com> and Jim Horning]
  35.  
  36. This Is The Network: The Apple Engineering Network.
  37.  
  38. The Apple Engineering Network has about 100 IP subnets, 224 AppleTalk zones,
  39. and over 600 AppleTalk networks. It stretches from Tokyo, Japan, to Paris,
  40. France, with half a dozen locations in the U.S., and 40 buildings in the
  41. Silicon Valley. It is interconnected with the Internet in three places: two in
  42. the Silicon Valley, and one in Boston. It supports almost 10,000 users every
  43. day.
  44.  
  45. When things go wrong with E-mail on this network, it's my problem.
  46. My name is Fair. I carry a badge.
  47.  
  48. [insert theme from "Dragnet"]
  49.  
  50. The story you are about to read is true. The names have not been
  51. changed so as to finger the guilty.
  52.  
  53. It was early evening, on a Monday. I was working the swing shift out of
  54. Engineering Computer Operations under the command of Richard Herndon.  I don't
  55. have a partner.
  56.  
  57. While I was reading my E-mail that evening, I noticed that the load
  58. average on apple.com, our VAX-8650, had climbed way out of its normal
  59. range to just over 72.
  60.  
  61. Upon investigation, I found that thousands of Internet hosts were trying to
  62. send us an error message. I also found 2,000+ copies of this error message
  63. already in our queue.
  64.  
  65. I immediately shut down the sendmail daemon which was offering SMTP service on
  66. our VAX.
  67.  
  68. I examined the error message, and reconstructed the following sequence
  69. of events:
  70.  
  71. We have a large community of users who use QuickMail, a popular macintosh based
  72. E-mail system from CE Software. In order to make it possible for these users to
  73. communicate with other users who have chosen to use other E-mail systems, ECO
  74. supports a QuickMail to Internet E-mail gateway. We use RFC822 Internet mail
  75. format, and RFC821 SMTP as our common intermediate E-mail standard, and we
  76. gateway everything that we can to that standard, to promote interoperability.
  77.  
  78. The gateway that we installed for this purpose is MAIL*LINK SMTP from Starnine
  79. Systems. This product is also known as GatorMail-Q from Cayman Systems. It does
  80. gateway duty for all of the 3,500 QuickMail users on the Apple Engineering
  81. Network.
  82.  
  83. Many of our users subscribe, from QuickMail, to Internet mailing lists which
  84. are delivered to them through this gateway. One such user, Mark E. Davis, is on
  85. the unicode@sun.com mailing list, to discuss some alternatives to ASCII with
  86. the other members of that list.
  87.  
  88. Sometime on Monday, he replied to a message that he recieved from the mailing
  89. list. He composed a one paragraph comment on the original message, and hit the
  90. "send" button.
  91.  
  92. Somewhere in the process of that reply, either QuickMail or MAIL*LINK SMTP
  93. mangled the "To:" field of the message.
  94.  
  95. The important part is that the "To:" field contained exactly one "<" character,
  96. without a matching ">" character. This minor point caused the massive
  97. devastation, because it interacted with a bug in sendmail.
  98.  
  99. Note that this syntax error in the "To:" field has nothing whatsoever to do
  100. with the actual recipient list, which is handled separately, and which, in this
  101. case, was perfectly correct.
  102.  
  103. The message made it out of the Apple Engineering Network, and over to Sun
  104. Microsystems, where it was exploded out to all the recipients of the
  105. unicode@sun.com mailing list.
  106.  
  107. Sendmail, arguably the standard SMTP daemon and mailer for UNIX, doesn't like
  108. "To:" fields which are constructed as described. What it does about this is the
  109. real problem: it sends an error message back to the sender of the message, AND
  110. delivers the original message onward to whatever specified destinations are
  111. listed in the recipient list.
  112.  
  113. This is deadly.
  114.  
  115. The effect was that every sendmail daemon on every host which touched
  116. the bad message sent an error message back to us about it. I have
  117. often dreaded the possibility that one day, every host on the Internet
  118. (all 400,000 of them) would try to send us a message, all at once.
  119.  
  120. On monday, we got a taste of what that must be like.
  121.  
  122. I don't know how many people are on the unicode@sun.com mailing list, but I've
  123. heard from Postmasters in Sweden, Japan, Korea, Australia, Britain, France, and
  124. all over the U.S. I speculate that the list has at least 200 recipients, and
  125. about 25% of them are actually UUCP sites that are MX'd on the Internet.
  126.  
  127. I destroyed about 4,000 copies of the error message in our queues here
  128. at Apple Computer.
  129.  
  130. After I turned off our SMTP daemon, our secondary MX sites got whacked.
  131. We have a secondary MX site so that when we're down, someone else will
  132. collect our mail in one place, and deliver it to us in an orderly
  133. fashion, rather than have every host which has a message for us jump on
  134. us the very second that we come back up.
  135.  
  136. Our secondary MX is the CSNET Relay (relay.cs.net and relay2.cs.net).  They
  137. eventually destroyed over 11,000 copies of the error message in the queues on
  138. the two relay machines. Their postmistress was at wit's end when I spoke to
  139. her. She wanted to know what had hit her machines.
  140.  
  141. It seems that for every one machine that had successfully contacted apple.com
  142. and delivered a copy of that error message, there were three hosts which
  143. couldn't get ahold of apple.com because we were overloaded from all the mail,
  144. and so they contacted the CSNET Relay instead.
  145.  
  146. I also heard from CSNET that UUNET, a major MX site for many other hosts, had
  147. destroyed 2,000 copies of the error message. I presume that their modems were
  148. very busy delivering copies of the error message from outlying UUCP sites back
  149. to us at Apple Computer.
  150.  
  151.  
  152. This instantiation of this problem has abated for the moment, but I'm still
  153. spending a lot of time answering E-mail queries from postmasters all over the
  154. world.
  155.  
  156. The next day, I replaced the current release of MAIL*LINK SMTP with a
  157. beta test version of their next release. It has not shown the header
  158. mangling bug, yet.
  159.  
  160.  
  161. The final chapter of this horror story has yet to be written.
  162.  
  163. The versions of sendmail with this behavior are still out there on hundreds of
  164. thousands of computers, waiting for another chance to bury some unlucky site in
  165. error messages.
  166.  
  167. Are you next?
  168.  
  169. [insert theme from "The Twilight Zone"]
  170.  
  171.     just the vax, ma'am,
  172.  
  173.     Erik E. Fair    apple!fair    fair@apple.com
  174.  
  175. ------- End of forwarded message -------
  176.