Názory k článku
RFC sklizeň: IPv6, HTTP, Greylisting

https://tools.ietf.org/html/draft-gont-6man-slaac-dns-config-issues-00

Greylisting je pěkně kontraproduktivní metoda a přál bych si, aby se zrušila. Spammeři i rozesílači newsletterů si na ni už zvykli a stejný mail tak přijde třeba 4×. Jednou jsem se dokonce zkoušel dohodnout s firmou i4wifi, aby ten mail neposílali 2×, ale bylo mi řečeno, že nad mailerem nemají žádnou kontrolu, protože je outsourcován. Doporučili mi se z newsletteru odhlásit.
Takže nevím, kde autoři roota berou tolik optimismu.

Prevádzkujem Postfix+Postgrey na bráne s niekoľkými doménami a niekoľkými desiatkami mailboxov. Väčšina mailboxov má nastavené doposielanie na niektorý veľký webmail typu Gmail. Sú obdobia (napr. minulý a tento týždeň), kedy je greylistingom odmietnutých aj >99% všetkých správ. Konkrétne priemer za tento týždeň je 3300 odmietnutých správ za hodinu, pričom počet doručení je len 80/h.

Pri vypnutom greylistingu (a bez iného antispam filtra) server všetky tie správy doručuje a preposiela na tie cieľové webmaily, ktoré pri takýchto spamových peakoch od istého prietoku začnú odmietať prijímať akúkoľvek ďalšiu poštu z našej IP, čo postihne všetkých a všetky typy správ (nehovoriac o následne bobtnajúcej fronte, žerúcej diskový priestor).

Greylisting tento konkrétny problém odstraňuje zatiaľ so 100% účinnosťou, pričom je nenáročný na prostriedky a netrpí neduhmi iných antispam filtrov, ktoré vždy produkjú určité percento false postives (čo je v prípade mailovej brány bez supervízie príjemcov tej pošty dosť zásadný problém).

Vývoj pomerov greylistingom odmietnutých správ k doručeným za posledných 5 rokov ani náznakom nenaznačuje, že by si naňho spammeri zvykli. Spam odosielajú distribuovane botnetmi, ktoré greylisting spravidla neriešia, stále sa spoliehajú hlavne na množstvo s tým, že určité mizivé percento k príjemcom prejde.

Spameri si nezvykaji, jim se jednoduse !nevyplati! resit opakovane doruceni. A funguje to opravdu skvele.

Osobne provozuju mailserver (kvuli velkemu zatizeni prave spamem) v relativne hodne restriktivnim rezimu (kontola reverzu a existence hello v DNS + samo spf), coz samo "false positive" generuje, i kdyz ... pokud si nekdo neumi nakonfigurovat mailserver ...

Greylist je pak sekundarni ochrana.

Na tehle dvou vecech padne 90 - 95% spamu. Dalsich jeste odchyti filtry, takze ve finale z nejakych 4-5k spamu, ktere na domenu dorazily pred mym zasahem jich jsou radove jednotky, ktere projdou denne.

„Greylisting je pěkně kontraproduktivní metoda“

Funguje.

„Doporučili mi se z newsletteru odhlásit.“

Tak proč ho potom mají? :) Oni jsou vůbec taková zvláštní firma.

Dokud bude chybět maškaráda, tak je IPv6 na sítích jako CZFree zcela nepoužitelné. Možná by stálo za to v pátek podusit ICANN, být na ně malinko drzí a ukázat jim třeba tuhle síť v reálu. kdo se hlásí?

Co to placas? At si nekdo z CZF necha IPv6 pridelit a muzete sitovat. Pevne doufam, ze nic takovyho nikdy exsitovat nebude.

Jo, jenže tady jde o síť, kde je více propojujících bodů s okolím (1-2 hlavní, zbytek připrcávky), přičemž návrh IPv6 stále tvoří strom a jaksi nepočítá s násobnou kruhovou topologií jinde než na páteři. A to je ten fail. Nebo libovolná firma s násobnou konektivitou má interní rozsahy IP řešit jak? Předělávat vždy podle spoje nebo mít kvůli tomu vlastní DNS server? Tam maškaráda prostě patří.

Na to "návrh IPv6 stále tvoří strom a jaksi nepočítá s násobnou kruhovou topologií jinde než na páteři" jste přišel kde? O topologii sítě to rozhodně není pravda. Pokud tímhle podivným způsobem mluvíte o adresách a problém je připojení CFZ k více poskytovatelům, pak by bylo zřejmě nejlepší použít Provider Independent adresy (pokud tedy není LIRem).

CZFree funguje trochu jinak... ono pro dobrou práci s CZF je potřeba přestat předstírat, že CZF je subjekt či dokonce ISP. IPv6 je naopak pro fungování CZF naprosto ideální, ale o tom si můžem popovídat na nějaké konferenci :).

lol, tohle je prave jedna z veci, ktery na IPv6 narozdil od IPv4 nejsou zadnej problem. I pokud je "czfree" X ruznych subjektu, je to celkem jedno, jeden (az X) si necha(ji) pridelit adresy, a svym providerum pouze sdeli (pres bgp napr) ze zde jsou dostupne tyto rozsahy.

A narozdil od natovani, maskaradovani a dalsich zhuverilosti, vam zaroven bude tak nejak "od prirody" fungovat preroutovani provozu v pripade vypadku uzlu do netu. Jednoduse proto, ze vypropaguju prefix 5ti providerum.

Maskarada neptatri nikam, nehul to, a zjisti si jak ip funguje. Firma bud ma svoje adresy, a pak providerum jednoduse jen rekne jaky, nebo ma adresy od provideru, a pak jednoduse do svy site propaguje vic prefixu. Pokud ale vazne chci zajistit zalozni konektivitu, tak samozrejne potrebuju svoje adresy. Tohle je stejny (naprosto stejny) na IPv4, kde je ale potiz v tom, ze ty adresy jaksi neni kde vzit.

Ehm, jak souvisí ICANN s IETF? (Internet Governance vs Internetové standardy)

„Dokud bude chybět maškaráda, tak je IPv6 na sítích jako CZFree zcela nepoužitelné.“

Pokud vím, tak maškaráda se na CZFree vždy co nejvíce minimalizovala. Na provoz CZFree je úplně zbytečná.

Nehledě na to, že v IPv6 je adres dost, takže když už NATovat, tak bezestavově, adresu za adresu, jako například u v článku popsaného návrhu 6to4 PMT.

Rozhodně v IPv6 nemá smysl maškaráda ve stylu „milion počítačů schováme za jednu IPv6 adresu“.

To už je jiné téma... ale když konečně vyjde něco, co je na CZF padne jako prdel na hrnec ve formě ULA pro neveřejné sítě a velikých ISP prefixů pro přístup k netu...

Možná snad že už se bude hůř mlžit o tom, k čemu czfree opravdu je.