Názory k článku RFC sklizeň: IPv6, HTTP, Greylisting

Prevádzkujem Postfix+Postgrey na bráne s niekoľkými doménami a niekoľkými desiatkami mailboxov. Väčšina mailboxov má nastavené doposielanie na niektorý veľký webmail typu Gmail. Sú obdobia (napr. minulý a tento týždeň), kedy je greylistingom odmietnutých aj >99% všetkých správ. Konkrétne priemer za tento týždeň je 3300 odmietnutých správ za hodinu, pričom počet doručení je len 80/h.

Pri vypnutom greylistingu (a bez iného antispam filtra) server všetky tie správy doručuje a preposiela na tie cieľové webmaily, ktoré pri takýchto spamových peakoch od istého prietoku začnú odmietať prijímať akúkoľvek ďalšiu poštu z našej IP, čo postihne všetkých a všetky typy správ (nehovoriac o následne bobtnajúcej fronte, žerúcej diskový priestor).

Greylisting tento konkrétny problém odstraňuje zatiaľ so 100% účinnosťou, pričom je nenáročný na prostriedky a netrpí neduhmi iných antispam filtrov, ktoré vždy produkjú určité percento false postives (čo je v prípade mailovej brány bez supervízie príjemcov tej pošty dosť zásadný problém).

Vývoj pomerov greylistingom odmietnutých správ k doručeným za posledných 5 rokov ani náznakom nenaznačuje, že by si naňho spammeri zvykli. Spam odosielajú distribuovane botnetmi, ktoré greylisting spravidla neriešia, stále sa spoliehajú hlavne na množstvo s tým, že určité mizivé percento k príjemcom prejde.

Spameri si nezvykaji, jim se jednoduse !nevyplati! resit opakovane doruceni. A funguje to opravdu skvele.

Osobne provozuju mailserver (kvuli velkemu zatizeni prave spamem) v relativne hodne restriktivnim rezimu (kontola reverzu a existence hello v DNS + samo spf), coz samo "false positive" generuje, i kdyz ... pokud si nekdo neumi nakonfigurovat mailserver ...

Greylist je pak sekundarni ochrana.

Na tehle dvou vecech padne 90 - 95% spamu. Dalsich jeste odchyti filtry, takze ve finale z nejakych 4-5k spamu, ktere na domenu dorazily pred mym zasahem jich jsou radove jednotky, ktere projdou denne.

Dokud bude chybět maškaráda, tak je IPv6 na sítích jako CZFree zcela nepoužitelné. Možná by stálo za to v pátek podusit ICANN, být na ně malinko drzí a ukázat jim třeba tuhle síť v reálu. kdo se hlásí?

Co to placas? At si nekdo z CZF necha IPv6 pridelit a muzete sitovat. Pevne doufam, ze nic takovyho nikdy exsitovat nebude.

Jo, jenže tady jde o síť, kde je více propojujících bodů s okolím (1-2 hlavní, zbytek připrcávky), přičemž návrh IPv6 stále tvoří strom a jaksi nepočítá s násobnou kruhovou topologií jinde než na páteři. A to je ten fail. Nebo libovolná firma s násobnou konektivitou má interní rozsahy IP řešit jak? Předělávat vždy podle spoje nebo mít kvůli tomu vlastní DNS server? Tam maškaráda prostě patří.

Na to "návrh IPv6 stále tvoří strom a jaksi nepočítá s násobnou kruhovou topologií jinde než na páteři" jste přišel kde? O topologii sítě to rozhodně není pravda. Pokud tímhle podivným způsobem mluvíte o adresách a problém je připojení CFZ k více poskytovatelům, pak by bylo zřejmě nejlepší použít Provider Independent adresy (pokud tedy není LIRem).

lol, tohle je prave jedna z veci, ktery na IPv6 narozdil od IPv4 nejsou zadnej problem. I pokud je "czfree" X ruznych subjektu, je to celkem jedno, jeden (az X) si necha(ji) pridelit adresy, a svym providerum pouze sdeli (pres bgp napr) ze zde jsou dostupne tyto rozsahy.

A narozdil od natovani, maskaradovani a dalsich zhuverilosti, vam zaroven bude tak nejak "od prirody" fungovat preroutovani provozu v pripade vypadku uzlu do netu. Jednoduse proto, ze vypropaguju prefix 5ti providerum.

Maskarada neptatri nikam, nehul to, a zjisti si jak ip funguje. Firma bud ma svoje adresy, a pak providerum jednoduse jen rekne jaky, nebo ma adresy od provideru, a pak jednoduse do svy site propaguje vic prefixu. Pokud ale vazne chci zajistit zalozni konektivitu, tak samozrejne potrebuju svoje adresy. Tohle je stejny (naprosto stejny) na IPv4, kde je ale potiz v tom, ze ty adresy jaksi neni kde vzit.