Názory k článku
Stop podvrženým e-mailovým adresám ve spamu

problem je ked ISP blokuje smtp servery mimo vlastnej siete.

To pro někoho jistě může být nepříjemné, ale proč je v tom problém v souvislosti s tímto článkem?

Protoze pokud chci napr. z domaci site X ve ktere sem pripojen odeslat mail. Ktery mam u poskytovatele Y tak mam nyny dve moznosti.

1. Odeslu mail pres SMTP server poskytovalte pripojeni
2. Odeslu mail pres SMTP server poskytovale emailu.

Ve chvili kdyz pouziji metodu zminovanou v clanku, dopadne moznosti 1. A pokud muj ISP blokuje moznost 2 (ISP blokuje komunikaci s externimy SMTP servery) tak nema jak poslat e-mail.

Taky se muze stat ze ISP to blokovat nebude, ale muj poskytovatel emailu umozni pristup na SMTP pouze z vnitrni site (treba firemni e-mail).

A co kdyz muj pokytovatel e-milu vubec SMTP nema? Co kdyz muj poskytovatel je pouze proxy na jineho poskytovatele? Napr. mala firma ktera chce mit e-mail na sve vlastni adrese, ale presmerovava ho do schranky nejakeho freemailu.

Alebo ti poskytovatel mailu dovoli poslat mail po authentifikacii a tym padom bude vsetko ok pretoze SPF splni svoju ulohu mail bude odoslany cez mail ku ktoremu je spraveny DNS zaznam

Problém je v tom že SMTP port 25 se mimo provozu server-server, na což je primárně určen, používá i k odesílání pošty od klienta na jeho server, takže ISP pak nemůže rozlišit o jaký provoz jde a v rámci boje proti spamu port 25 blokuje. Jenže k odesílání pošty od klienta na server je lepší používat port 587 (submission). RFC2476 říká že klienti odesílající přes tento port by se serveru měli autentizovat (tedy použít jméno a heslo), takže nehrozí že přes tento port botnety budou odesílat tuny spamu (leda tak přes svůj vlastní server ke kterému mají heslo, ale tím se pak vytrácí půvab botnetu) a tudíž není na straně ISP důvod tento port blokovat.

Takže můj mailserver od ostatních serverů přijímá příchozí poštu na portu 25, ale když já přes něj chci odeslat mail, půjdu přes port 587, jež není skoro nikdy blokován. Tím pádem bych mohl mít i SPF record v DNS, protože mám celkem velkou šanci že své maily skutečně budu moci vždy posílat přes svůj server.

Když mám mailserver někde ve firemní síti, a chci uživatelům umožnit odesílání „firemních“ mailů i z domova, z kavárny, z benzínky nebo od holiče, dá se to udělat tak, že jim zřídím VPN tunel do vnitřní sítě, a/nebo SMTP+SSL na portu jiném než 25. Pokud mi nějaký chytřejší zombie začne spamovat ven skrz můj vlastní mailserver, dozvím se to v dnešní době vcelku rychle :-)

Jasně, pro freemaily je SSL docela CPU hog a VPN je overkill… Možná je obecně finta v tom, dát svým koncovým klientům možnost podávat maily prověřenému outgoing mailserveru k odeslání, a to nějakým způsobem „jiným než SMTP na port 25“, aby se dal port 25 směrem ven v accessových sítích filtrovat. Na tom si nabije kokos spousta pitomých zombie, které odesílají přímo na cílový server, a přitom freemailový server má nadále možnost poskytnout svým klientům ze všech koutů internetu outgoing SMTP. A když bude chtít konkrétní človíček v accessové síti provozovat svůj vlastní outgoing mailserver, tak si může říct o díru do firewallu ISP (ehm) – trochu přemejšlím, jak to jde dohromady s obvykou NAT maškarádou, RBL, případně jaký vliv bude mít nástup IPv6…

tak VPN ve firme o tom zadna.

Normalne by melo stacit vyuzivat to co je navrzeno uz davno a to je zminovana submission.

pravem danym ze zakona

root@ZZ9-desktop:~/Doku­menty/linux/Rou­ting_10GE_Linux­router# dig TXT root.cz

; <<>> DiG 9.4.2-P2 <<>> TXT root.cz ;; global options: printcmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 59411 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION: ;root.cz. IN TXT

;; AUTHORITY SECTION: root.cz. 465 IN SOA ns.iinfo.cz. hostmaster.iin­fo.cz. 2009050506 86­400 3600 3600000 600

;; Query time: 116 msec ;; SERVER: 192.168.2.1#53(192­.168.2.1) ;; WHEN: Wed Jul 8 00:22:11 2009 ;; MSG SIZE rcvd: 81

root@ZZ9-desktop:~/Doku­menty/linux/Rou­ting_10GE_Linux­router# dig TXT iinfo.cz

; <<>> DiG 9.4.2-P2 <<>> TXT iinfo.cz ;; global options: printcmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 48840 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION: ;iinfo.cz. IN TXT

;; AUTHORITY SECTION: iinfo.cz. 600 IN SOA centaurus.4web.cz. hostmaster.iin­fo.cz. 2009070302 18­00 3600 604800 600

;; Query time: 133 msec ;; SERVER: 192.168.2.1#53(192­.168.2.1) ;; WHEN: Wed Jul 8 00:22:53 2009 ;; MSG SIZE rcvd: 88

To je ale zase jen polovičaté řešení.

Taky mám z toho takový pocit.

Jestliže spam pochází z botnetů, tak není pro bota problém zjistit si z ovládaného stroje „legální“ bránu a skrz tu pod hlavičkou „legálního uživatele“ odeslat „legální“ cestou reklamu na viagru.

Zajímavá ale pro mě byla zmínka o tom, že email byl vymyšlen podle normální pošty. Ta má jednu zajímavou vlastnost – k tomu, abych ji odeslal, je potřeba nějaké úsilí – a to by možná byla ta správná cesta – třeba nějaký rozumný podpis odesilatele (ne domény, ale konkrétního odesilatele).

A nebo k odeslání emailu vyžadovat vyřešení tak alespoň dvaceti captchas :) aspoň by si každý rozmyslel, jestli zrovna tenhle geniální vtípek stojí za to, abych ho posílal dvaceti lidem :)

JJ presne. E-mail byl navrzen tak, aby byl anonymni, bohuzel to je ten problem. Poviny podpis by samozrejme problem vyresil, protoze by se dalo zjistit kdo primo byl napaden a ten by pak problem vyresil.

Krom toho pricina je jina. Existuji zombie a neni zpusob jak majitele zombie informovat. Chapu ze boj proti zombiim je slozity a ze to M$ resi, ale nechapu proc porad nevznikl jednoznacna metoda jak kontaktovat vlastnika zombie, nebo alespon vlastnika subsite ve ktere se zombie vyskytuje. Paklize ten problem neodstrani dostane se na blacklist a je po problemu.

Existuji zombie a neni zpusob jak majitele zombie informovat

Ale je, pokud by se používalo SPF a autentizace jménem a heslem při odesílání tak by červík v zombie mohl při získání hesla použít jen emailovou adresu na zombie. Takže odpověď typu „Ty pako, odviruj si to“ by šla na správnou adresu.

Jenze to by mohla jit uz dnes. SMTP serve, ktery takovy e-mail dostane vi odkud ho dostal a muze upozornit vlastnika site ve kterem k tomu doslo (metodou padajiciho hovna) a pripadne takove IP bloknout a poslat mu chybu cislo XXX ktera znamena – zablokovan z duvodu odesilani spamu.

Zavedenim tohoto protokou nebude dosazene niceho vic nez ceho se da dosahnout uz dnes jen drobnymi upravami u pravou procesu. Mno a samozrejme dalsich negativnich efektu jako ze zombie se stanou inteligentnejsi a budou krom odesilani e-mailu krast casteji loginy a hesla, aby ty e-maly mohly odesilat.

Ale pokud je zaručeno nefalšování odesílatele, je snadno možné 1. „přebranou“ adresu či doménu jako přebranou „rozhlásit“ → z ní příchozí poštu třeba podrobovat silnějšímu filtru 2. upozornit odesílatele.

(Nebo ne?)

To je zase o tom, jestli se používá smtp se zabezpečením přístupu. A nemožnost poslat přes smtp e-mail pod jinou identitou, než má přilogovaný uživatel.

Myslím, že dnes už neautorizovaný smtp nemá smysl používat. Každý pořádný hosting či freemail by měl mít svůj smtp server a myslím, že dnes ISP nemají důvod blokovat smtp, dříve předpokládám to bylo z důvodu vytížení linek.

Souhlasim s tim, ze teoreticky neni mozne odeslat mail ze spravneho serveru, protoze ten je bud chranen heslem a nebo na nejake lokalni siti. Ale proc by proboha mel kazdy spravny hosting mel mit svuj SMTP server, to je snad starost ISP, ne?

Proč ISP?

Tady může být problém v tom, pokud používáte více ISP – ADSL, GPRS, práce, WiFi HotSpot na nádraží, letišti, hotelu.

Řekl bych že nijak. Když na black listu skončí adresa nějaké ADSL přípojky tak to myslím nikomu moc vadit nebude.

Naopak, teprve v posledních letech k blokování SMTP začínají ISP masově přistupovat. Drtivá většina uživatelů posílá maily přes server svého ISP, zatímco drtivá většina botnetů se snaží doručovat spam přímo na cílový mailserver. Kdyby odesílali přes SMTP server svého ISP tak by bylo jednoduché jim to rovnou na tom mailserveru zatrhnout, takže to obvykle nedělají. Z tohoto pohledu je celkem rozumné zablokovat provoz od klientů na jiné SMTP servery než ty u ISP. Bohužel vždycky bude pár uživatelů kteří tím pádem příjdou o možnost posílat maily přes svůj (nebo třeba firemní) mailserver.

drtivá většina botnetů se snaží doručovat spam přímo na cílový mailserver

Tohle se neda generalizovat. Spousta botnetu poziva SMTP ISP. Dokonce dokazi vytahnout z Outlooku login a heslo na SMTP server, takze ani autentizace nic neresi. Ono to muze byt pro spamery i vyhodne. Pokud vhodne sfalsujete hlavicky, tak muzete zamaskovat identitu zombie. Z vlastni skusenosti vim, ze zavirovane PC na 100MBit siti dokaze odeslat cca 10000 spamu za hodinu.

Tohle se ale už dá řešit systémem padajícího ho*na. Nejprve se octne ISP na blacklistu. Následně to ISP začne řešit a odstřihne chudáka uživatele. Posleze se ISP bude snažit být ostraněno z blacklistu. Pár takových extempore a ISP nainstaluje základní spamfiltr přímo na svůj vlastní SMTP, připadně to řeší limitacemi (počet mailů na den, počet mailů za hodinu, atd).

Ustrihnout chudaka uzivatele neni problem. To je prace na 5 minut. Dostavat se z blacklistu je muze byt prace pro dva lidi na plny uvazek. A nekdy je to dokonce nemozne. Treba takovi hajzlove jako „Barracuda Spam Firewall“ vam nikdy nereknout proc jste na blacklistu a jak se z nej dostat. Budto si tu vec musite taky koupit, anebo musite pouzadat nekoho kdo to ma a plati support aby vytvoril ticket v jejich portale. Naposledy jsme se dostali do blacklistu jenom kvuli tomu ze nejaky bot obliznul porty naseho SMTP a nasel na portu 4000 https interface ke Kasperski antiviru, prohlasil nas SMTP server za hacknuty.

Jo Barracuda, to je mazec. Mel jsem to 2 mesice na testovani a nechtel bych to ani zadarmo. Nakonec jsem skoncil u IronPortu od Cisca, ale to je bohuzel extra drahe reseni – na druhou stranu ale zase funguje naprosto vyborne…

Jak se může ISP ocitnout na blacklistu? To jsou některé blacklisty tak hloupé, že blokují celý subnet (jak vlastně zjistí jeho prefix?)?

Pokud klient ISP odesílá spam ze svého PC (IPc) tak tato IPc je přece úplně jiná než adresy SMTP (IPx, IPy) serverů ISP. Celé toto vlákno je zcela off topic. Kdybych ze svého domácího serveru posílal spam, tak si toho ISP (kromě zvýšeného trafiku) vůbec nevšimne.

Osobně, když mi přijde hláška, že můj email nebyl doručen, tak informuji dotyčného jinak (jabber, telefon). A pokud nebyl doručen protože na druhé straně je blbě nakonfigurovaný MX server (třeba používá blacklisty), tak se dotáži, proč ode mě nechce dostávat emaily. Většinou se to nějak vyřeší (přinejhorším whitelistem).

Podle mě je blokování SMTP, stejně jakého koli jiného provozu, zhovadilost. Já mám například na hostingu svůj vlastní SMTP server a když přijdu domů, tak si musím v nastavení klienta změnit odesílací server na mého poskytovatele, protože podělané UPC blokuje odchozí SMTP spojení. Je to opruz, protože neumí šifrování a moje pošta, kterou mohu považovat za důvěrnoou jde přes nějaký, pro mě nedůvěryhodný server, což mi třeba nemusí vyhovovat. Proč mám být já, jako platící úživatel omezován v používání internetu tak, jak já ho chci používat? Bohužel spousta ISP to bere tak, že domácí uživatel potřebuje jen browsit a žádné jiné služby nepotřebuje. Slyšel jsem třeba o hovadech, který blokují SIP protokol (nebo alespoň negativně priorizují), blokují P2P, SKYPE a pod. Pokud má nějaký ISP pocit, že mu tyto aktivity uživatelů „zahlcují síť“, potom by se měl zamyslet nad tím, zda nezměnit obor podnikání…

Dobrá paranoia, ale jste úplně vedle. SMTP byl navržen tak, aby přebíral zodpovědnost za doručení. Klient pouze předá poštu místnímu SMTP serveru a ten už se o to má postarat.

Proto blokování portu 25 má smysl, není určen pro zákazníky.

Pokud chcete provozovat vlastní server, musíte si ve veřejné síti rozběhat protikus na jiném portu, než 25. Aspoň máte větší šanci, že nebude pod palbou scannerů, kteří hledají relay SMTP servery.

Obavám se, že jste jej nepochopil, on nechce provozovat vlastni server. Má obdobný problém jaký řeším taky. Mam hosting u poskytovatele a u něj je také SMTP server. Chci jej používat proto, abych pořád nemusel měnit SMTP sever v mailovém klientu. Bohužel blokací SMTP je to k ničemu. Pokud jste mobilní a pracujete s několika ISP tak je to k zešílení, zvlašť, když to musíte řešit na více NB.

Takže po dvacáté a naposledy – klienti mají odesílat poštu svému serveru přes port 587. Ten nabývá blokován a klient si tím pádem nemusí měnit žádná nastavení, protože mu to bude vždycky fungovat. Pokud váš hosting neumožňuje posílání přes 587 tak za vaše problémy může právě on a nikoliv ten ISP blokující port 25 přes kterého jste zrovna na cestách připojen. A taky je to právě váš hosting který tu situaci pro vás může vyřešit. Pošlete mu odkaz na RFC 2476 kde se dozví vše potřebné.

Ok udělal jsem si malý test se změnou portu 25 na 587. Zjistil jsem, že dle Vaší rady bych se dostal na spamerský black list poměrně brzo. Takže první bych musel poslat ISP aby přestal 587 blokovat, dále provozovatelům hostingů, všem co produkuji e-mailové klienty (mají defaultně nastaven 25), dále pak jsem narazil na potiže s tímto portem u SW firewallu. No pak mi shodně jak ISP tak i webhostig sdělili, že to mohou povolit, ale stejně to nemusí být ok, protože mají informace o FW po cestě od ISP k hostingu, které tento port také blokují. V tomto případě nevím kam to poslat. Dále pak hromada dalších e-mailu klientům aby si to přestavily a navíc vymyslet to tak, aby to pochopili.

Proč byste se kvůli tomu měl dostávat na spemmerský blacklist? Příjemce vaší pošty neví přes jaký port jste poštu odeslal a tudíž vás za použití portu 587 nemůže blacklistovat.

Provozovatel hostingu, resp. ten přes koho chcete posílat poštu, by samozřejmě musel nastavit své firewally a mailové servery tak aby port 587 fungoval, to dá rozum.

potiže s tímto portem u SW firewallu

Jaké potíže? Buď je na FW port zablokovaný nebo povolený. Bavíme se zde hlavně o uživatelích notebooků kteří se připojují z různých sítí, pokud se jich firewall ptá zda má programu dovolit spojení na server na port 587 tak jde jen o jednorázové odkliknutí „Ano“ a tím je „potíž“ jednou provždy vyřízena.

mají informace o FW po cestě od ISP k hostingu, které tento port také blokují.

Můžete nám říct o který webhosting a ISP se jedná? Je vysoce nepravděpodobné že by na cestě mezi dvěma providery byl nějaký firewall na který by ani jeden z nich neměl vliv. Takže tenhle argument mi připadá spíš jako něčí výmluva.

Je pravda že mailové klienty mívají pro odesílání přednastaven port 25, ale když už v tom formuláři vyplňuju jméno serveru a uživatele tak změnit i číslo portu je opravdu jen maličkost.

To co tu píšu není jen suchá teorie – na svém notebooku mám nastaveno odesílání přes port 587 a z pracovních důvodů se připojuji z mnoha různých míst. Je pravda že ze sítí některých firem je zakázán všechen odchozí provoz, ale tam mi nepomůže ani svěcená voda (ovšem občas pomůže VPN tunel skrz jejich webovou proxy). Jinak v drtivé většině případů nemám žádný problém a mimo firemní sítě to funguje prakticky pokaždé.

Přesně tak, ten botnet hajzlik nepotřebuje sám kontaktovat SMTP, prostě to vyšle skrz API Outlooka zcela legální cestou a klidně to nemusí být primárně SMTP ale třeba exchange. Myslím, že proti botnetu, který na napadeném stroji využije vyšší vrstvu s prošlapanou cestičkou ven, to fungovat nemůže. A je fuk jestli je to na Windows nebo na unixu ..

"""je potřeba nějaké úsilí – a to by možná byla ta správná cesta – třeba nějaký rozumný podpis odesilatele""" – camram

Mne chodí na adresu na zoznam.sk minimálne 20 správ denne, kde je v hlavičke from rovnaké ako to. Čiže na adresu meno@zoznam.sk mi príde čosi, čo má from: „Jenaye Lesley“ <meno@zoznam.sk>. Dá sa s tým niečo robiť?

SPF a google apps

Domnívám se, že ač vlastním své SMTP servery, nepovažuji se za frikulína. Nepřipadá Vám divné, že zatím tu vyřváváte nejvíce Vy?

No jo, „Prázdný sud nejvíce duní“. Koukněte se do zrcadla Ichtylů.

Také mám svůj SMTP server a za frikulína se nepovažuji. Kdybych byl cimprlich, řekl bych dokonce, že mě tady jakýsi zakomplexovaný mamlas uráží.

Pokud by onen proti smyslu Internetu jdoucí „návrh řešení“ neobsahoval urážlivý útok na část uživatelů Internetu, pravděpodobně bych jej posuzoval jinak než jako výkřik nešťastníka, řešícího si nějaký osobní problém.

Takze

mail je z principu anonymni komunikace. Vyresit spam na 100% umim luskutim prstu, ovsem vysvetlujte sefum vsemoznych firem, ze objednavku od Voprsalka nedostanou, protoze Voprsalek si neumi sehnat certifikat pomoci ktereho bych overil ze to fakt posila Voprsalek.

Dovolim si tvrdit, ze drtiva vetsina provideru v zadnem pripade smtp ani dalsi sluzby pro sve ovecky neprovozuje, taky proc by meli, kdyz ovecky tak jako tak pouzivaji freemaily.

Prijimaci server si muze dovolit odmitnout cokoli a celkem s klidnym svedomim odmitam i na firemnich serverech tisice konexi dene. Jen na neexistujici reverz a helo kilnu 95% spamu driv, nez vubec dorazi. Jasne, padne na tom i par % „korektnich“ mailu a kupodivu prevazne od firem, kde se da rict doslova „kozel zahradnikem“. Napr jedno nejmenovane vydavatelstvi IT literatury.

Nakonec je spodivem, ze ani po tolika letech co tu snami email je jeho uzivatele nechapou, ze email funguje naprosto presne stejne jako dopis hozeny do schranky. Mozna dorazi zitra, mozna za tyden, mozna taky nikdy a mozna misto nej dostanete hromadku reklamnich plku.

Potvrzujete, to co jsem napsal. Děláte filtraci už prostým zahazováním konekcí podle jejich adresy. Já jen ten nápad rozšířil o možnost mít nějakou autoritu, která by ti mohla (třeba pravidelně) zasílat seznam ověřených IP adres. Velké portály, Seznam, Google, Yahoo. Microsoft, určitě takový seznam ověřených adres lehce sestaví, konečně, není pro ně problém zjistit, z jakých zdrojů jim chodí spam a z jakých nespam. Statisticky zpracovat (v takovém objemu e-mailů) a vystavit seznam IP adres snad není problém. Je pak na Vás, zda v rámci boje proti SPAMu budete takové seznamy používat nebo ne.

Blacklisty fungují opačně. Jejich nevýhoda je ta, že jsou pomalé, protože prakticky, každý počítač se může stát SMTP serverem odesílajícím SPAM a než se takový počítač dostane na blacklist, zpravidla už protlačil dost e-mailů, aby se to spammerovi vyplatilo.

Samozřejmě, všemi deseti jsme pro, ale neurážejte nás výroky typu frikulín. Protože jak jsem již sdělil – Prázdný sud nejvíce duní. A omluvu jsem od Vás neobdržel. Pouze jen a jen eskalaci teorie o frikulínech a opěvování sebe sama.

Do té doby, než-li pochopíte základní premisy non ichtylo zmrdího jednání a přestanete pokřikovat něco o frikulínech. Tak do té doby jím budete asi tak ponejvíce sám.

Tfffffffffůůů­ůůůůůůůj. Více pokory doporučeuji, občas procházku a slovy klasika „oplachovat přirození vlažnou vodou“.

To Vám, zajisté, neuškodí.

Zkuste se cestou ze zaměstnání zastavit u doktora Chocholouška. Něco mi říká, že ho budete potřebovat.

Tak to se divím, že věříte certifikačním autoritám :-D

pro certifikacni autoritu by ztrata duvery patrne znamenala konec existence, o tom ten jejich byznys asi bude …

Tolik teorie a logika. Jenže máme co dělat s cílenými falešnými identitami…

stale je to uplne jiny druh duvery nez duvera v seznam dobrych (?) serveru, rozhodne to neni dobry primer

No, je fakt, že nakonec jste si odpověděl sám.:o)

Ale problém je smozřejmě mnohem hlubší. Internet je velmi svobodné médium a z filozofického hlediska je spam, warez a porno daň za svobodu. Jakmile převládne touha řídit a ovládat, přijdeme nejen o spam, warez a porno ale možná o celé to krásné prostředí, protože Internet ovládnou zase Microsofti a další. Schvalování budou podléhat všechny weby. Schvalovací řízení bude za směšný poplatek 1000€. A z Internetu zmizí všechny ty malé weby, které jej činí nádherným a zůstane jen byznys.

No nic, nakonec bychom se možná zase sešli někde na osadě s kytarou a flaškou rumu kolující dokola.:o)

Svoboda jde ruku v ruce z odpovědností. Nikdo nechce po nikom, aby byl sledován a omezován. Jde jen o to oddělit zrno od plev.

Jde jen o důvěryhodnost. Dnes věříme certifikátům, certifikačním autoritám a nevadí nám to. Autoritám, které budou oddělovat odesílací servery mezi dobré a špatné věřit nebudeme?

My si špatně rozumíme. Tahle autorita ti řekne, že mail byl odeslán ze serveru, který byl registrován jako odesílač pošty. Je na tobě, jak s danou informací naložíš.

Stejně tak certifikační autorita ti řekne jen, že dotyčný má jejich certifikát.Je na tobě, jak s danou informací naložíš.

(kdyby se do zprávy dodával certifikát odesílajícího SMTP serveru, je to totéž, jen technicky komplikovanější řešení)

Mno a jaky je rozdil mezi tim, ze „nekdo“ rekne ze sem odesilac mailu a tim, ze to o sobe (trebas instalaci serveru) reknu sam ?

BTW: jen jak se je ta zkratka, joo uz vim, RTFM. Kazdy normalni server umi komunikaci sifrovat a samozrejme k tomu pouziva (vetsinou selfsigned) certifikat. Druha strana pak muze jednoduchym nastavenim bud akceptovat primo ten konkretni certifikat (a ostatni postu zahodit) nebo akceprotovat trebas autoritu ktera ho vydala. Je to easy, technicky prostredky existuji, jen je temer nikdo nepouziva. Proc ? Protoze CHCE komunikovat s tim anonymnim cimsi tam venku.

tak to jsem tomu opravdu rozumel jinak .. ovsem jak jiz naznacili jini – paklize to nebudou pouzivat vsichni (anebo naprosta vetsina), pak urcite bude vule komunikovat i s nekym, kdo to nepouziva a v tom pripade je vas pristup utopie a rovnez pripodobneni k certifikacnim autoritam je mimo misu (certifikacni autorita – verim ze to jsi ty/neverim; mail – verim, ze zprava je z vaseho serveru/neverim/nic nevim, protoze vas server nepodepisuje)

Ano jde o důvěryhodnost. Mohu věřit, že nástroje a instituce, které mají filtrovat spam nebudou nikdy zneužity?

Raději budu filtrovat spam než podporovat taková řešení. Tak vidím odpovědnost já.

Můj příspěvek jste nepochopil. Nikdo nechce filtrovat SPAM. Ten příjemce, nechť rozhodne, zda je pro něj určitá adresa (SMTP serveru) důvěryhodná, že od ní přijme e-mail. Příjemce můžete být v konečném důsledku Vy, nebo Váš správce pošty, kterému věříte (Například Seznam, Centrum, GMail)

ehm nechápem, čo majú spoločné spam, warez a porno to je snáď nejaký vtip bez pointy? :)

Myslim ze jste ponekud prebral (nevim tedy ceho, ale asi toho bylo dost).

Toto na internetu nikdy fungovat nebude (teda, nikdy neříkej nikdy, ale toto by fakt projít nemůže).

Ostatní už ti odpovědeli dostatečně, takže jen přidám další postřeh. Ve vlákně argumentuješ důvěrou v certifikační autority. Ale CA si muže každý vyrobit kolik chce. Já mám vlastní CA, používám ji pouze pro https, ale klidně můžu udělat i ele. podpis. Takže mě stačí nějakým bezpečným způsobem rozdistribuovat certifikát mezi lidi (to už jsem stejně udělal), se kterými komunikuji a je to hotové. Vůbec nemusím řešit nějaký seznam „officiálně schválených CA“ a ještě navíc řešit moji nedůvěru k nim. Totéž SMTP. Vůbec nechci řešit SMTP server támhle někoho. Mě to nezajímá. Já nahodím SMTP tam kde potřebuju. Opět, na co bych měl řešit nějaký „seznam spolehlivých SMTP serverů“? Stejně tak jabber server. Každý může mít svůj. A tak by se dalo pokračovat. Toto je myšlenka Internetu. Decentralizované nezávislé uzly. Požadavek „zaregistrovaného SMTP“ jde přesně proti této myšlence.

Tady někdo nepochopil internetovou neutralitu :)

A proč by to samé rovnou nemohl udělat spammer pomocí botnetu?

Protože správce toho SMTP serveru už si sakra dá pozor, aby o tu duveryhodnost nepřišel, nehledě na to, že SMTP server providera zpravidla dovolí přijímat maily jen od svých zákazníku a zodpovědnost za jejich chování si pořeší sám.

To je ta internetova neutralita.

Ale hlavně zodpovědnost. ISP rozhodně nemůže fungovat stylem, já nic, já muzikant. Jednou spravuje konektivitu a tou správou se nemusí rozumět jen hloupé přeposílání paketů, ale i jakási základní ochrana svých klientů vůči okolí. Dřív stačilo, abych ze školského účtu poslal něco nevyžádaného, a už mne správci sítě upozorňovali, že bych mohl o ínternetový účet rychle přijít.

Nejak jsem nenerazil na dalsi nevyhodu ze s spf nejde forwardovat, resp jde, ale uz neplati overeni, musi se doinstalovat SRS

SRS

Tady je pojednání, proč SPF ne: http://david.woodhou.se/…not-spf.html

a víceméně se s tím dá souhlasit.

To co zde není uvedeno, je např. že Microsoftí SenderID (nebo jak se to jmenuje) používá podobný zápis jako SPF a v některé části specifikace koliduje s SPF. Je to popsáno někde na stránkkách spf.

Více se zamlouvá DKIM.

Hodně spamu ale chodí z úplně vymyšlených adres. Někde sem četl statistiku, kdy kolem 70% takto vymyšlených domén mělo SPF záznamy.

uvedeny clanek kritizuje vlastne jen SRS.

je treba si uvedomit, ze SPF je pouhopouhy whitelist. tedy rika: „pokud zprava z te a te domany prijde z techto IP adres, je to spravne, protoze tyto servery mohou dorucovat zpravy z teto domeny.“ ovsem uz nerika, oc jde v pripade, ze zprava z domeny prijde z nejakeho dalsiho stroje (napr. klasicky forward). bohuzel, SMTP servery jsou casto spravovany diletanty, takze casto jsou takto dorucovane zpravy odmitnuty. (protoze si nekdo mysli, ze SPF ma charakter blacklistu.)

s timto odstavcem zdanlive koliduje moznost zakazu dalsich „dorucovatelu“ pomoci -all. ale to slouzi prave pro maximalni zuzeni nebo lepe receno zpresneni whitelistu.

„ovsem uz nerika, oc jde v pripade, ze zprava z domeny prijde z nejakeho dalsiho stroje (napr. klasicky forward). bohuzel, SMTP servery jsou casto spravovany diletanty, takze casto jsou takto dorucovane zpravy odmitnuty.“ ???? Akoze nie, o tom vravi vlastnik domeny, ktory si to v pripade -all EXPLICITNE NEZELA :) Diletanti ? SPF musi mat charakter blacklistu, ak ma byt k niecomu pouzitelne. Samozrejme, stale je tu problem forwardovania a SRS.

SPF ale pouziva vzdy primarne prijemce, je tedy ciste na nem jakym zpusobem ho pouzije. Muze napr jen zvednou score kdyz je to odjinud.

Kdy už se konečně přestane s těma obezličkami, kterých je na protokolu SMTP nabalené už takové hafo, a zavrhne se SMTP jako celek? A navrhne se nějaké pořádné řešení elektronické komunikace? Protokol SMTP (spolu s FTP) je anarchismus z dřevních dob internetu.

Add) Protokol SMTP (spolu s FTP) je anarchismus z dřevních dob internetu.

Á, pán bude asi nějaký suvenýr!

P.S. Upozorňujeme, že používání cizích termitů, kterým nerozumíme, představuje značné rizoto!

No boooze, tak zase jednou doslo k fiakru …

zas tak lehkovazne bych to nebral, muj nazor je, ze se jedna jen o vytloukani klinu klinem, spam zatezuje servery, tak vymyslime fricury, co tomu budou jako branit a tim k zatezi spamem, pridam jeste zatez ficurou, takze jediny vysledek bude, ze se budou muset posilovat servery, pokud bych se zameril na odstraneni priciny, vytizeni vsech serveru by kleslo na 2% :) zrusme SMTP, zmizi spam, servry budou min topit a treba prestanou tat i ledovce

FTP je mrtvé, protože jej nahradilo HTTP a SFTP. Ale čím chcete nahradit SMTP? Jabberem? Akorát by se SMTP spam přesunul tam.

Problém s SPF je taky, pokud se doručený mail dále přeposílá. Celkově je SPF motykoidní řešení.

ntw

Souhlas.

Relativne casto se mi stane nasledujici situace

odeslu email (mam spf zaznam pro svuj email/domenu)

prijde to na kamos@neco.cz, kde je jenom klasicky redirect pres /etc/aliases

presmerovano na kamos@seznam.cz

seznam to vrati, protoze email nebyl odeslan z me whitelistovane domeny, ale z neco.cz

To ze SRS nemaji implementovane nejake domaci servery docela chapu, ale ze to nema implementovane volny.cz a nekteri dalsi fakt nechapu.

Ja jsem se s tim naucil zit a nevadi mi to tak. Aspon tak muzu odhalit dalsi emaily dotycnych :)

Ahojte,

SPF je velmi sikovna technika, jak zajistit ze e-mail z abc@xyz.cz byl skutecne odeslan od cloveka, ktery jej ma pravo odesilat ;-) Akorat jsem zatim narazil na takovy jeden maly/velky problem pri preposilani ;-) Preposilani dorucene zpravy na schranky cde@fgh.cz je vlastne podvrzeni adresy… a ejhle, SPF politika u prijemce == nefunkcni preposilani ;-) Globalne to v TXT zaznamech nastavit nemuzete – neuvedete tam prece mail-servery vsech prijemcu. Dale pak TXT zaznamy jsou limitovany na delku (mrknete na RFCcka) :-)

Pre vacsinu MTA implementacii je mozne problem s forwardingom vyriesit pomocou SRS – Sender Rewriting Scheme.

+1 ;-) Samozrejme je to jedine mozne reseni ;-) (tedy co me ted napada ;-) )

Tak tahle reklama u clanku mne pobavila:

Bezplatný Spam Filtr
Pro Microsoft Outlook a Express Nyní 6
uživatelů po celém světě
 www.spamfighter.com/AntiSpam

Ahoj,

chtel bych se zeptat jak se mam chovat ke spravcum smtp serveru kteri maji nastavene dns jmeno smtp serveru napr. na posta.server.local a timto jmenem se pak pripojuji na me smtp servery. A muj dotaz 1.je to v poradku 2.mam je slusne upozornit 3. mam je poslat nekam ? mam na mysli to ze pak je muj server vyhodi neb domena posta.server.local se tezko hleda v dns.. Diky

Počkat, jaké DNS jméno? Jestli myslíš to, co uvede server v HELO, tak to nic neznamená, takže platí 1.

ntw

ano je to presne : Helo command rejected: Host not found :) tj ze server posta.server.local nelze zpetne najit v dns. Tim padem tedy slusne upozorneni a asi zruseni pravidla :) Vlastne mi jde o to zda je najaky obecne uznavany standart co v takovych apod. pravidlech povolit a co ne. Abych pak mohl rict sefovi : no mail neprisel, protoze oni maji to a to spatne apod..

V HELO/EHLO muze podle RFC byt prakticky cokoli, co se da povazovat za FQDN, jmeno pocitace ci IP adresu. Bez ohledu na to, zda se da dohledat ci ne.

diky a preju pekny den

No vidite a prave na tomto (a neexistujicim reverzu) se da kilnou 90+% spamu. Chodilo nam cca 4–5k spamu /den. Po zavedeni tehle dvou pravidel (plus samo jeste dalsi filtrovani, ale to uz jen odchyta ten zbytek) mam po 1/2 roce ve vyjimkach asi 20 dementu co si to ani pres upozorneni neumi spravit a nikdo si nijak zvlast nestezuje. Spam chodi v jednotkach ks mesicne.

BTW (Z RFC821): HELLO (HELO)

This command is used to identify the sender-SMTP to the
receiver-SMTP. The argument field contains the host name of
the sender-SMTP.

od spameru chodi trebas „Ko43H3$5“

spam se spamerum vyplati jenom proto ze se najdou lidi tak neuveritelne hloupi ze na nej reaguji… Takze misto zbytecnyho omezovani technologie by bylo potreba prvne zacit bojovat s lidskou hlouposti.

Spam by potom zmizel sam…

SPF a DKIM je tu uz s nami nejaku dobu, napriek tomu z rozhovorov mozem povedat ze vacsina adminov a dokonca ani inzinierov (ccie pod.) o nich vobec netusi, ako aj o roznych rozsireniach SMTP. kazdopadne som si preskenoval prostredie domen .sk a tu je vysledok (z 03.03.2009):

vsetkych domen: 173269 domeny so zaznamom SPF: 6134 co predstavuje 3.5% a teda priblizne kopiruje prostredie CZ.

Pokud vim tak novejsi (a asi vice koser) zpusob pouziti je pouziti zaznamu SPF misto TXT (nebo lze tedy oba zaroven) prave proto, ze TXT neni pro tyhle ucely urceno.

Islo len o to, ze bind do niektorej verzie (co uz davno neplati) nepoznal SPF zaznam.

Zdravím, můžete mi prosím objasnit, jak se to prakticky kontroluje? Jestli podle IP, která právě doručuje nebo podle záznamů o průchodech přez SMTP servery. Jestli posílám přez svůj server na smart relay, tak bych ve svém záznamu musel mít i tu smart relay? Díky

Sice off topic, ale .....muj nazor je zbytecne se resi SMTP jako problem. Problem je v koncovych zarizenich – PC , kde by melo byt zabraneno jiz vzniku spamu potazmo botnetu. Pokud budou data odchazet z PC nezavisle na vedomi uzivatele, bude to vzdy problem.

Lidi tady píšou tak nějak polovičatě, aniž by se nad tím zamysleli. Současná konfigurace mnoha SMTP serverů skutečně využití představeného řešení brání, ale pokud by se rozšířilo, mohly by se snadno překonfigurovat. Nicméně zásadní problém s nahlášením počítače v botnetu je, že je sice hcráněna proti podvržení doména, ale už ne uživatelské jméno! Kdo na to myslel? Tak se sice dozvíme, že spamuje počítač někoho, kdo má účet na Seznamu, ale stejně ho na to nedokážeme upozornit. Já vidím řešení v povinném TLS/SSL přihlašování na SMTP. Ostatně i s ohledem na odposlouchávání komunikace je to přínos. Google to tak má.

*oprava: CHráněna A Google samozřejmě vynucuje správnou adresu odesílatele souhlasící s přihlašovacími údaji, to je klíčové.