Protoze pokud chci napr. z domaci site X ve ktere sem pripojen odeslat mail. Ktery mam u poskytovatele Y tak mam nyny dve moznosti.
Ve chvili kdyz pouziji metodu zminovanou v clanku, dopadne moznosti 1. A pokud muj ISP blokuje moznost 2 (ISP blokuje komunikaci s externimy SMTP servery) tak nema jak poslat e-mail.
Taky se muze stat ze ISP to blokovat nebude, ale muj poskytovatel emailu umozni pristup na SMTP pouze z vnitrni site (treba firemni e-mail).
A co kdyz muj pokytovatel e-milu vubec SMTP nema? Co kdyz muj poskytovatel je pouze proxy na jineho poskytovatele? Napr. mala firma ktera chce mit e-mail na sve vlastni adrese, ale presmerovava ho do schranky nejakeho freemailu.
Problém je v tom že SMTP port 25 se mimo provozu server-server, na což je primárně určen, používá i k odesílání pošty od klienta na jeho server, takže ISP pak nemůže rozlišit o jaký provoz jde a v rámci boje proti spamu port 25 blokuje. Jenže k odesílání pošty od klienta na server je lepší používat port 587 (submission). RFC2476 říká že klienti odesílající přes tento port by se serveru měli autentizovat (tedy použít jméno a heslo), takže nehrozí že přes tento port botnety budou odesílat tuny spamu (leda tak přes svůj vlastní server ke kterému mají heslo, ale tím se pak vytrácí půvab botnetu) a tudíž není na straně ISP důvod tento port blokovat.
Takže můj mailserver od ostatních serverů přijímá příchozí poštu na portu 25, ale když já přes něj chci odeslat mail, půjdu přes port 587, jež není skoro nikdy blokován. Tím pádem bych mohl mít i SPF record v DNS, protože mám celkem velkou šanci že své maily skutečně budu moci vždy posílat přes svůj server.
Když mám mailserver někde ve firemní síti, a chci uživatelům umožnit odesílání „firemních“ mailů i z domova, z kavárny, z benzínky nebo od holiče, dá se to udělat tak, že jim zřídím VPN tunel do vnitřní sítě, a/nebo SMTP+SSL na portu jiném než 25. Pokud mi nějaký chytřejší zombie začne spamovat ven skrz můj vlastní mailserver, dozvím se to v dnešní době vcelku rychle :-)
Jasně, pro freemaily je SSL docela CPU hog a VPN je overkill… Možná je obecně finta v tom, dát svým koncovým klientům možnost podávat maily prověřenému outgoing mailserveru k odeslání, a to nějakým způsobem „jiným než SMTP na port 25“, aby se dal port 25 směrem ven v accessových sítích filtrovat. Na tom si nabije kokos spousta pitomých zombie, které odesílají přímo na cílový server, a přitom freemailový server má nadále možnost poskytnout svým klientům ze všech koutů internetu outgoing SMTP. A když bude chtít konkrétní človíček v accessové síti provozovat svůj vlastní outgoing mailserver, tak si může říct o díru do firewallu ISP (ehm) – trochu přemejšlím, jak to jde dohromady s obvykou NAT maškarádou, RBL, případně jaký vliv bude mít nástup IPv6…
Jsem „isp“ a resim to trochu jinak. Za prve mi vadi jak nekteri isp nuti pouzivat vlastni SMTP servery, tim se deje to ze kdykoliv opusti pocitac konkretni sit, nemuze odesilat maily (95% useru neni schopna si ani servery zmenit natoz aby vedeli na co si je zmenit). Pritom existuje jednoduche reseni. Lze pouzit vlastni smtp servery ale nechat uzivatele at si zadavaji sve vlastni. V podstate ted presmerovavam cely provoz na port 25 na svuj smtp server, tam filtruji spam a vse co je v poradku posilam dal. A v tomto pripade by asi vznikl problem se spf.
root@ZZ9-desktop:~/Dokumenty/linux/Routing_10GE_Linuxrouter# dig TXT root.cz
; <<>> DiG 9.4.2-P2 <<>> TXT root.cz ;; global
options: printcmd ;; Got answer: ;; -HEADER
- opcode: QUERY, status:
NOERROR, id: 59411 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1,
ADDITIONAL: 0
;; QUESTION SECTION: ;root.cz. IN TXT
;; AUTHORITY SECTION: root.cz. 465 IN SOA ns.iinfo.cz. hostmaster.iinfo.cz. 2009050506 86400 3600 3600000 600
;; Query time: 116 msec ;; SERVER: 192.168.2.1#53(192.168.2.1) ;; WHEN: Wed Jul 8 00:22:11 2009 ;; MSG SIZE rcvd: 81
root@ZZ9-desktop:~/Dokumenty/linux/Routing_10GE_Linuxrouter# dig TXT iinfo.cz
; <<>> DiG 9.4.2-P2 <<>> TXT iinfo.cz ;; global
options: printcmd ;; Got answer: ;; -HEADER
- opcode: QUERY, status:
NOERROR, id: 48840 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1,
ADDITIONAL: 0
;; QUESTION SECTION: ;iinfo.cz. IN TXT
;; AUTHORITY SECTION: iinfo.cz. 600 IN SOA centaurus.4web.cz. hostmaster.iinfo.cz. 2009070302 1800 3600 604800 600
;; Query time: 133 msec ;; SERVER: 192.168.2.1#53(192.168.2.1) ;; WHEN: Wed Jul 8 00:22:53 2009 ;; MSG SIZE rcvd: 88
Taky mám z toho takový pocit.
Jestliže spam pochází z botnetů, tak není pro bota problém zjistit si z ovládaného stroje „legální“ bránu a skrz tu pod hlavičkou „legálního uživatele“ odeslat „legální“ cestou reklamu na viagru.
Zajímavá ale pro mě byla zmínka o tom, že email byl vymyšlen podle normální pošty. Ta má jednu zajímavou vlastnost – k tomu, abych ji odeslal, je potřeba nějaké úsilí – a to by možná byla ta správná cesta – třeba nějaký rozumný podpis odesilatele (ne domény, ale konkrétního odesilatele).
A nebo k odeslání emailu vyžadovat vyřešení tak alespoň dvaceti captchas :) aspoň by si každý rozmyslel, jestli zrovna tenhle geniální vtípek stojí za to, abych ho posílal dvaceti lidem :)
JJ presne. E-mail byl navrzen tak, aby byl anonymni, bohuzel to je ten problem. Poviny podpis by samozrejme problem vyresil, protoze by se dalo zjistit kdo primo byl napaden a ten by pak problem vyresil.
Krom toho pricina je jina. Existuji zombie a neni zpusob jak majitele zombie informovat. Chapu ze boj proti zombiim je slozity a ze to M$ resi, ale nechapu proc porad nevznikl jednoznacna metoda jak kontaktovat vlastnika zombie, nebo alespon vlastnika subsite ve ktere se zombie vyskytuje. Paklize ten problem neodstrani dostane se na blacklist a je po problemu.
Jenze to by mohla jit uz dnes. SMTP serve, ktery takovy e-mail dostane vi odkud ho dostal a muze upozornit vlastnika site ve kterem k tomu doslo (metodou padajiciho hovna) a pripadne takove IP bloknout a poslat mu chybu cislo XXX ktera znamena – zablokovan z duvodu odesilani spamu.
Zavedenim tohoto protokou nebude dosazene niceho vic nez ceho se da dosahnout uz dnes jen drobnymi upravami u pravou procesu. Mno a samozrejme dalsich negativnich efektu jako ze zombie se stanou inteligentnejsi a budou krom odesilani e-mailu krast casteji loginy a hesla, aby ty e-maly mohly odesilat.
To je zase o tom, jestli se používá smtp se zabezpečením přístupu. A nemožnost poslat přes smtp e-mail pod jinou identitou, než má přilogovaný uživatel.
Myslím, že dnes už neautorizovaný smtp nemá smysl používat. Každý pořádný hosting či freemail by měl mít svůj smtp server a myslím, že dnes ISP nemají důvod blokovat smtp, dříve předpokládám to bylo z důvodu vytížení linek.
Ale ISP to sakramentsky potřebuje. Vždyť když z jeho sítě půjde ven spam, tak je to jeho IP, která skončí na block listu.
Pokud si vynutí používání jeho SMTP serveru, pak má jednoduchý nástroj, jak nežádoucí provoz zablokovat. Spamový trojan totiž nezjištuje, jaký má použít SMTP server – má v sobě zabudovaný vlastní, takže se snaží doručovat maily rovnou na cílové servery. Je-li tedy průchozí provoz na port 25 zablokován, má trojan smůlu.
Tohle se ale samozřejmě netýká jen ISP pro domácí uživatele, kde se SMTP server prostě neočekává, ale i firemních sítí. Je s podivem, kolik firem má vlastní SMTP server, ale na firewallu nemají zablokováno odesílání pošty ven z jiných strojů než je mail server.
A když jsem u těch firem. Pokud ISP nepovoluje jiný než jejich SMTP server, má firma dvě možnosti – buď získá u ISP výjimku (což by neměl být problém), nebo nastaví svůj SMTP server jako klienta pro server ISP.
Moje zkušenost je ale taková, že ISP skutečně provoz na portu 25 nijak neblokují. Docela bych byl zvědavý, jak svoje výskyty na block listech řeší.
Restriktivnější SMTP servery mají na blacklistu dokonce všechny známé rozsahy koncových stanic (ADSL, Wi-Fi, kabel, dial-up…) a soukromé rozsahy (lokální síť s NAT), takže maily odesílané z vlastního SMTP serveru jsou často okamžitě odmítnuty. (Vlastní zkušenost z doby, kdy jsem provozoval vlastní SMTP server doma.)
Naopak, teprve v posledních letech k blokování SMTP začínají ISP masově přistupovat. Drtivá většina uživatelů posílá maily přes server svého ISP, zatímco drtivá většina botnetů se snaží doručovat spam přímo na cílový mailserver. Kdyby odesílali přes SMTP server svého ISP tak by bylo jednoduché jim to rovnou na tom mailserveru zatrhnout, takže to obvykle nedělají. Z tohoto pohledu je celkem rozumné zablokovat provoz od klientů na jiné SMTP servery než ty u ISP. Bohužel vždycky bude pár uživatelů kteří tím pádem příjdou o možnost posílat maily přes svůj (nebo třeba firemní) mailserver.
drtivá většina botnetů se snaží doručovat spam přímo na cílový mailserver
Tohle se neda generalizovat. Spousta botnetu poziva SMTP ISP. Dokonce dokazi vytahnout z Outlooku login a heslo na SMTP server, takze ani autentizace nic neresi. Ono to muze byt pro spamery i vyhodne. Pokud vhodne sfalsujete hlavicky, tak muzete zamaskovat identitu zombie. Z vlastni skusenosti vim, ze zavirovane PC na 100MBit siti dokaze odeslat cca 10000 spamu za hodinu.
Tohle se ale už dá řešit systémem padajícího ho*na. Nejprve se octne ISP na blacklistu. Následně to ISP začne řešit a odstřihne chudáka uživatele. Posleze se ISP bude snažit být ostraněno z blacklistu. Pár takových extempore a ISP nainstaluje základní spamfiltr přímo na svůj vlastní SMTP, připadně to řeší limitacemi (počet mailů na den, počet mailů za hodinu, atd).
Ustrihnout chudaka uzivatele neni problem. To je prace na 5 minut. Dostavat se z blacklistu je muze byt prace pro dva lidi na plny uvazek. A nekdy je to dokonce nemozne. Treba takovi hajzlove jako „Barracuda Spam Firewall“ vam nikdy nereknout proc jste na blacklistu a jak se z nej dostat. Budto si tu vec musite taky koupit, anebo musite pouzadat nekoho kdo to ma a plati support aby vytvoril ticket v jejich portale. Naposledy jsme se dostali do blacklistu jenom kvuli tomu ze nejaky bot obliznul porty naseho SMTP a nasel na portu 4000 https interface ke Kasperski antiviru, prohlasil nas SMTP server za hacknuty.
Jak se může ISP ocitnout na blacklistu? To jsou některé blacklisty tak hloupé, že blokují celý subnet (jak vlastně zjistí jeho prefix?)?
Pokud klient ISP odesílá spam ze svého PC (IPc) tak tato IPc je přece úplně jiná než adresy SMTP (IPx, IPy) serverů ISP. Celé toto vlákno je zcela off topic. Kdybych ze svého domácího serveru posílal spam, tak si toho ISP (kromě zvýšeného trafiku) vůbec nevšimne.
Osobně, když mi přijde hláška, že můj email nebyl doručen, tak informuji dotyčného jinak (jabber, telefon). A pokud nebyl doručen protože na druhé straně je blbě nakonfigurovaný MX server (třeba používá blacklisty), tak se dotáži, proč ode mě nechce dostávat emaily. Většinou se to nějak vyřeší (přinejhorším whitelistem).
Podle mě je blokování SMTP, stejně jakého koli jiného provozu, zhovadilost. Já mám například na hostingu svůj vlastní SMTP server a když přijdu domů, tak si musím v nastavení klienta změnit odesílací server na mého poskytovatele, protože podělané UPC blokuje odchozí SMTP spojení. Je to opruz, protože neumí šifrování a moje pošta, kterou mohu považovat za důvěrnoou jde přes nějaký, pro mě nedůvěryhodný server, což mi třeba nemusí vyhovovat. Proč mám být já, jako platící úživatel omezován v používání internetu tak, jak já ho chci používat? Bohužel spousta ISP to bere tak, že domácí uživatel potřebuje jen browsit a žádné jiné služby nepotřebuje. Slyšel jsem třeba o hovadech, který blokují SIP protokol (nebo alespoň negativně priorizují), blokují P2P, SKYPE a pod. Pokud má nějaký ISP pocit, že mu tyto aktivity uživatelů „zahlcují síť“, potom by se měl zamyslet nad tím, zda nezměnit obor podnikání…
Dobrá paranoia, ale jste úplně vedle. SMTP byl navržen tak, aby přebíral zodpovědnost za doručení. Klient pouze předá poštu místnímu SMTP serveru a ten už se o to má postarat.
Proto blokování portu 25 má smysl, není určen pro zákazníky.
Pokud chcete provozovat vlastní server, musíte si ve veřejné síti rozběhat protikus na jiném portu, než 25. Aspoň máte větší šanci, že nebude pod palbou scannerů, kteří hledají relay SMTP servery.
Obavám se, že jste jej nepochopil, on nechce provozovat vlastni server. Má obdobný problém jaký řeším taky. Mam hosting u poskytovatele a u něj je také SMTP server. Chci jej používat proto, abych pořád nemusel měnit SMTP sever v mailovém klientu. Bohužel blokací SMTP je to k ničemu. Pokud jste mobilní a pracujete s několika ISP tak je to k zešílení, zvlašť, když to musíte řešit na více NB.
Takže po dvacáté a naposledy – klienti mají odesílat poštu svému serveru přes port 587. Ten nabývá blokován a klient si tím pádem nemusí měnit žádná nastavení, protože mu to bude vždycky fungovat. Pokud váš hosting neumožňuje posílání přes 587 tak za vaše problémy může právě on a nikoliv ten ISP blokující port 25 přes kterého jste zrovna na cestách připojen. A taky je to právě váš hosting který tu situaci pro vás může vyřešit. Pošlete mu odkaz na RFC 2476 kde se dozví vše potřebné.
Ok udělal jsem si malý test se změnou portu 25 na 587. Zjistil jsem, že dle Vaší rady bych se dostal na spamerský black list poměrně brzo. Takže první bych musel poslat ISP aby přestal 587 blokovat, dále provozovatelům hostingů, všem co produkuji e-mailové klienty (mají defaultně nastaven 25), dále pak jsem narazil na potiže s tímto portem u SW firewallu. No pak mi shodně jak ISP tak i webhostig sdělili, že to mohou povolit, ale stejně to nemusí být ok, protože mají informace o FW po cestě od ISP k hostingu, které tento port také blokují. V tomto případě nevím kam to poslat. Dále pak hromada dalších e-mailu klientům aby si to přestavily a navíc vymyslet to tak, aby to pochopili.
Proč byste se kvůli tomu měl dostávat na spemmerský blacklist? Příjemce vaší pošty neví přes jaký port jste poštu odeslal a tudíž vás za použití portu 587 nemůže blacklistovat.
Provozovatel hostingu, resp. ten přes koho chcete posílat poštu, by samozřejmě musel nastavit své firewally a mailové servery tak aby port 587 fungoval, to dá rozum.
potiže s tímto portem u SW firewallu
Jaké potíže? Buď je na FW port zablokovaný nebo povolený. Bavíme se zde hlavně o uživatelích notebooků kteří se připojují z různých sítí, pokud se jich firewall ptá zda má programu dovolit spojení na server na port 587 tak jde jen o jednorázové odkliknutí „Ano“ a tím je „potíž“ jednou provždy vyřízena.
mají informace o FW po cestě od ISP k hostingu, které tento port také blokují.
Můžete nám říct o který webhosting a ISP se jedná? Je vysoce nepravděpodobné že by na cestě mezi dvěma providery byl nějaký firewall na který by ani jeden z nich neměl vliv. Takže tenhle argument mi připadá spíš jako něčí výmluva.
Je pravda že mailové klienty mívají pro odesílání přednastaven port 25, ale když už v tom formuláři vyplňuju jméno serveru a uživatele tak změnit i číslo portu je opravdu jen maličkost.
To co tu píšu není jen suchá teorie – na svém notebooku mám nastaveno odesílání přes port 587 a z pracovních důvodů se připojuji z mnoha různých míst. Je pravda že ze sítí některých firem je zakázán všechen odchozí provoz, ale tam mi nepomůže ani svěcená voda (ovšem občas pomůže VPN tunel skrz jejich webovou proxy). Jinak v drtivé většině případů nemám žádný problém a mimo firemní sítě to funguje prakticky pokaždé.
Přesně tak, ten botnet hajzlik nepotřebuje sám kontaktovat SMTP, prostě to vyšle skrz API Outlooka zcela legální cestou a klidně to nemusí být primárně SMTP ale třeba exchange. Myslím, že proti botnetu, který na napadeném stroji využije vyšší vrstvu s prošlapanou cestičkou ven, to fungovat nemůže. A je fuk jestli je to na Windows nebo na unixu ..
Mne chodí na adresu na zoznam.sk minimálne 20 správ denne, kde je v hlavičke from rovnaké ako to. Čiže na adresu meno@zoznam.sk mi príde čosi, čo má from: „Jenaye Lesley“ <meno@zoznam.sk>. Dá sa s tým niečo robiť?
Ti se totiž nedokáží mezi sebou domluvit a začít filtrovat přijaté požadavky podle zdrojové IP adresy. Stačilo by někde udržovat seznam spolehlivých SMTP serverů a nikdo další by si neškrtl. Řešení je to prosté, řvát budou jen frikulíni s vlastním SMTP serverem. Těm nezbyde než poštu přeposílat přes schválení SMTP server, nebo se zaregistrovat jako schválený SMTP server.
A kdo by tohle měl spravovat. Nejlépe velké portály, microsoft, google, seznam, a podobně.
Nicméně si myslím, že ochota v tomto směru je malá a firmy spíš budou tlačit vlastní software(sociální sítě, messengery, ICQ, chaty, či jiné způsoby komunikace) , než pečovat o mrtvolku se jménem SMTP.
He?
Takže návrh proti Internetu? Nikoliv, naopak, návrat k původním myšlenkám internetu. S každou svobodou je spojena zodpovědnost. Každý přijemce pošty si může diktovat, od koho (z jakých SMTP serverů) bude přijímat poštu. Divil bych se, kdyby tuhle základní filtraci velké portály nepoužívaly. Už jen boj proti spamu greylistingem, nebo blacklisting je jednou ze zbraní (oddělení legitimního SMTP od bota)
Takze
mail je z principu anonymni komunikace. Vyresit spam na 100% umim luskutim prstu, ovsem vysvetlujte sefum vsemoznych firem, ze objednavku od Voprsalka nedostanou, protoze Voprsalek si neumi sehnat certifikat pomoci ktereho bych overil ze to fakt posila Voprsalek.
Dovolim si tvrdit, ze drtiva vetsina provideru v zadnem pripade smtp ani dalsi sluzby pro sve ovecky neprovozuje, taky proc by meli, kdyz ovecky tak jako tak pouzivaji freemaily.
Prijimaci server si muze dovolit odmitnout cokoli a celkem s klidnym svedomim odmitam i na firemnich serverech tisice konexi dene. Jen na neexistujici reverz a helo kilnu 95% spamu driv, nez vubec dorazi. Jasne, padne na tom i par % „korektnich“ mailu a kupodivu prevazne od firem, kde se da rict doslova „kozel zahradnikem“. Napr jedno nejmenovane vydavatelstvi IT literatury.
Nakonec je spodivem, ze ani po tolika letech co tu snami email je jeho uzivatele nechapou, ze email funguje naprosto presne stejne jako dopis hozeny do schranky. Mozna dorazi zitra, mozna za tyden, mozna taky nikdy a mozna misto nej dostanete hromadku reklamnich plku.
Potvrzujete, to co jsem napsal. Děláte filtraci už prostým zahazováním konekcí podle jejich adresy. Já jen ten nápad rozšířil o možnost mít nějakou autoritu, která by ti mohla (třeba pravidelně) zasílat seznam ověřených IP adres. Velké portály, Seznam, Google, Yahoo. Microsoft, určitě takový seznam ověřených adres lehce sestaví, konečně, není pro ně problém zjistit, z jakých zdrojů jim chodí spam a z jakých nespam. Statisticky zpracovat (v takovém objemu e-mailů) a vystavit seznam IP adres snad není problém. Je pak na Vás, zda v rámci boje proti SPAMu budete takové seznamy používat nebo ne.
Blacklisty fungují opačně. Jejich nevýhoda je ta, že jsou pomalé, protože prakticky, každý počítač se může stát SMTP serverem odesílajícím SPAM a než se takový počítač dostane na blacklist, zpravidla už protlačil dost e-mailů, aby se to spammerovi vyplatilo.
Samozřejmě, všemi deseti jsme pro, ale neurážejte nás výroky typu frikulín. Protože jak jsem již sdělil – Prázdný sud nejvíce duní. A omluvu jsem od Vás neobdržel. Pouze jen a jen eskalaci teorie o frikulínech a opěvování sebe sama.
Do té doby, než-li pochopíte základní premisy non ichtylo zmrdího jednání a přestanete pokřikovat něco o frikulínech. Tak do té doby jím budete asi tak ponejvíce sám.
Tfffffffffůůůůůůůůůůj. Více pokory doporučeuji, občas procházku a slovy klasika „oplachovat přirození vlažnou vodou“.
To Vám, zajisté, neuškodí.
Bodejť! A ten seznam by měl mít ve své správě stát, protože něco tak kruciálního musí mít jasná pravidla. Na získání přístupu k těm serverům by bylo potřeba vyplnit lejstro se štemplem a stokorunovým kolkem a o zařazení serveru na ten seznam by rozhodoval soud, něco jako když se zakládá s.r.o.
Hlavně by co nejdřív měl vzniknout i seznam spolehlivých web serverů. Takhle si na internetu kdokoliv může psát cokoliv a to je děsněj holubník, kdo to má uhlídat.
Samozřejmě že když má být spolehlivý server musí být spolehlivý i jeho provozovatel. Takže je nutné zřídit nějaký Úřad na prověřování spolehlivosti provozovatelů elektronických komunikačních prostředků.
Jasná páka, jsem pro váš nápad všema deseti ;-)
No, je fakt, že nakonec jste si odpověděl sám.:o)
Ale problém je smozřejmě mnohem hlubší. Internet je velmi svobodné médium a z filozofického hlediska je spam, warez a porno daň za svobodu. Jakmile převládne touha řídit a ovládat, přijdeme nejen o spam, warez a porno ale možná o celé to krásné prostředí, protože Internet ovládnou zase Microsofti a další. Schvalování budou podléhat všechny weby. Schvalovací řízení bude za směšný poplatek 1000€. A z Internetu zmizí všechny ty malé weby, které jej činí nádherným a zůstane jen byznys.
No nic, nakonec bychom se možná zase sešli někde na osadě s kytarou a flaškou rumu kolující dokola.:o)
Svoboda jde ruku v ruce z odpovědností. Nikdo nechce po nikom, aby byl sledován a omezován. Jde jen o to oddělit zrno od plev.
Jde jen o důvěryhodnost. Dnes věříme certifikátům, certifikačním autoritám a nevadí nám to. Autoritám, které budou oddělovat odesílací servery mezi dobré a špatné věřit nebudeme?
jenze (ty kratkozraky urvany tele) – v tom je preci naprosto jasny rozdil, certifikacni autorita jen potvrzuje ze tenhle je opravdu tenhle, neni o cem debatovat, jak s tim nalozis, je tvoje vec, zatimco tvoje „autorita“, ktera oddeluje dobre a spatne, tak maximalne vyjadruje svuj nazor!
My si špatně rozumíme. Tahle autorita ti řekne, že mail byl odeslán ze serveru, který byl registrován jako odesílač pošty. Je na tobě, jak s danou informací naložíš.
Stejně tak certifikační autorita ti řekne jen, že dotyčný má jejich certifikát.Je na tobě, jak s danou informací naložíš.
(kdyby se do zprávy dodával certifikát odesílajícího SMTP serveru, je to totéž, jen technicky komplikovanější řešení)
Mno a jaky je rozdil mezi tim, ze „nekdo“ rekne ze sem odesilac mailu a tim, ze to o sobe (trebas instalaci serveru) reknu sam ?
BTW: jen jak se je ta zkratka, joo uz vim, RTFM. Kazdy normalni server umi komunikaci sifrovat a samozrejme k tomu pouziva (vetsinou selfsigned) certifikat. Druha strana pak muze jednoduchym nastavenim bud akceptovat primo ten konkretni certifikat (a ostatni postu zahodit) nebo akceprotovat trebas autoritu ktera ho vydala. Je to easy, technicky prostredky existuji, jen je temer nikdo nepouziva. Proc ? Protoze CHCE komunikovat s tim anonymnim cimsi tam venku.
tak to jsem tomu opravdu rozumel jinak .. ovsem jak jiz naznacili jini – paklize to nebudou pouzivat vsichni (anebo naprosta vetsina), pak urcite bude vule komunikovat i s nekym, kdo to nepouziva a v tom pripade je vas pristup utopie a rovnez pripodobneni k certifikacnim autoritam je mimo misu (certifikacni autorita – verim ze to jsi ty/neverim; mail – verim, ze zprava je z vaseho serveru/neverim/nic nevim, protoze vas server nepodepisuje)
Můj příspěvek jste nepochopil. Nikdo nechce filtrovat SPAM. Ten příjemce, nechť rozhodne, zda je pro něj určitá adresa (SMTP serveru) důvěryhodná, že od ní přijme e-mail. Příjemce můžete být v konečném důsledku Vy, nebo Váš správce pošty, kterému věříte (Například Seznam, Centrum, GMail)
Toto reseni nemusi byt spatne, jde jen klasicky o to ze by ho museli zavest vsichni (stejne jako spf apod.). Pravdepodobne se stejne s touto situaci bude muset neco delat a nasadi se nejake globalni reseni kteremu se budou muset prizpusobit vsichni. Jednoho dne se proste vystreli termin ze do dvou mesicu musi mit vsichni „neco“ (SPF, smtp na whitelistu) a kdo to do terminu nestihne tak ma smulu a po terminu to bude nahanet. Par mailu tyden nepojede a pak se to da do poradku.
Toto na internetu nikdy fungovat nebude (teda, nikdy neříkej nikdy, ale toto by fakt projít nemůže).
Ostatní už ti odpovědeli dostatečně, takže jen přidám další postřeh. Ve vlákně argumentuješ důvěrou v certifikační autority. Ale CA si muže každý vyrobit kolik chce. Já mám vlastní CA, používám ji pouze pro https, ale klidně můžu udělat i ele. podpis. Takže mě stačí nějakým bezpečným způsobem rozdistribuovat certifikát mezi lidi (to už jsem stejně udělal), se kterými komunikuji a je to hotové. Vůbec nemusím řešit nějaký seznam „officiálně schválených CA“ a ještě navíc řešit moji nedůvěru k nim. Totéž SMTP. Vůbec nechci řešit SMTP server támhle někoho. Mě to nezajímá. Já nahodím SMTP tam kde potřebuju. Opět, na co bych měl řešit nějaký „seznam spolehlivých SMTP serverů“? Stejně tak jabber server. Každý může mít svůj. A tak by se dalo pokračovat. Toto je myšlenka Internetu. Decentralizované nezávislé uzly. Požadavek „zaregistrovaného SMTP“ jde přesně proti této myšlence.
Protože správce toho SMTP serveru už si sakra dá pozor, aby o tu
duveryhodnost nepřišel, nehledě na to, že SMTP server providera zpravidla
dovolí přijímat maily jen od svých zákazníku a zodpovědnost za jejich
chování si pořeší sám.
To je ta internetova neutralita.
Ale hlavně zodpovědnost. ISP rozhodně nemůže fungovat stylem, já nic, já
muzikant. Jednou spravuje konektivitu a tou správou se nemusí rozumět jen
hloupé přeposílání paketů, ale i jakási základní ochrana svých
klientů vůči okolí. Dřív stačilo, abych ze školského účtu poslal
něco nevyžádaného, a už mne správci sítě upozorňovali, že bych mohl
o ínternetový účet rychle přijít.
Tady je pojednání, proč SPF ne: http://david.woodhou.se/…not-spf.html
a víceméně se s tím dá souhlasit.
To co zde není uvedeno, je např. že Microsoftí SenderID (nebo jak se to jmenuje) používá podobný zápis jako SPF a v některé části specifikace koliduje s SPF. Je to popsáno někde na stránkkách spf.
Více se zamlouvá DKIM.
Hodně spamu ale chodí z úplně vymyšlených adres. Někde sem četl statistiku, kdy kolem 70% takto vymyšlených domén mělo SPF záznamy.
uvedeny clanek kritizuje vlastne jen SRS.
je treba si uvedomit, ze SPF je pouhopouhy whitelist. tedy rika: „pokud zprava z te a te domany prijde z techto IP adres, je to spravne, protoze tyto servery mohou dorucovat zpravy z teto domeny.“ ovsem uz nerika, oc jde v pripade, ze zprava z domeny prijde z nejakeho dalsiho stroje (napr. klasicky forward). bohuzel, SMTP servery jsou casto spravovany diletanty, takze casto jsou takto dorucovane zpravy odmitnuty. (protoze si nekdo mysli, ze SPF ma charakter blacklistu.)
s timto odstavcem zdanlive koliduje moznost zakazu dalsich „dorucovatelu“ pomoci -all. ale to slouzi prave pro maximalni zuzeni nebo lepe receno zpresneni whitelistu.
„ovsem uz nerika, oc jde v pripade, ze zprava z domeny prijde z nejakeho dalsiho stroje (napr. klasicky forward). bohuzel, SMTP servery jsou casto spravovany diletanty, takze casto jsou takto dorucovane zpravy odmitnuty.“ ???? Akoze nie, o tom vravi vlastnik domeny, ktory si to v pripade -all EXPLICITNE NEZELA :) Diletanti ? SPF musi mat charakter blacklistu, ak ma byt k niecomu pouzitelne. Samozrejme, stale je tu problem forwardovania a SRS.
Kdy už se konečně přestane s těma obezličkami, kterých je na protokolu SMTP nabalené už takové hafo, a zavrhne se SMTP jako celek? A navrhne se nějaké pořádné řešení elektronické komunikace? Protokol SMTP (spolu s FTP) je anarchismus z dřevních dob internetu.
zas tak lehkovazne bych to nebral, muj nazor je, ze se jedna jen o vytloukani klinu klinem, spam zatezuje servery, tak vymyslime fricury, co tomu budou jako branit a tim k zatezi spamem, pridam jeste zatez ficurou, takze jediny vysledek bude, ze se budou muset posilovat servery, pokud bych se zameril na odstraneni priciny, vytizeni vsech serveru by kleslo na 2% :) zrusme SMTP, zmizi spam, servry budou min topit a treba prestanou tat i ledovce
Souhlas.
To ze SRS nemaji implementovane nejake domaci servery docela chapu, ale ze to nema implementovane volny.cz a nekteri dalsi fakt nechapu.
Ja jsem se s tim naucil zit a nevadi mi to tak. Aspon tak muzu odhalit dalsi emaily dotycnych :)
Ahojte,
SPF je velmi sikovna technika, jak zajistit ze e-mail z abc@xyz.cz byl skutecne odeslan od cloveka, ktery jej ma pravo odesilat ;-) Akorat jsem zatim narazil na takovy jeden maly/velky problem pri preposilani ;-) Preposilani dorucene zpravy na schranky cde@fgh.cz je vlastne podvrzeni adresy… a ejhle, SPF politika u prijemce == nefunkcni preposilani ;-) Globalne to v TXT zaznamech nastavit nemuzete – neuvedete tam prece mail-servery vsech prijemcu. Dale pak TXT zaznamy jsou limitovany na delku (mrknete na RFCcka) :-)
Tak tahle reklama u clanku mne pobavila:
Bezplatný Spam Filtr
Pro Microsoft Outlook a Express Nyní 6
uživatelů po celém světě
www.spamfighter.com/AntiSpam
Ahoj,
chtel bych se zeptat jak se mam chovat ke spravcum smtp serveru kteri maji nastavene dns jmeno smtp serveru napr. na posta.server.local a timto jmenem se pak pripojuji na me smtp servery. A muj dotaz 1.je to v poradku 2.mam je slusne upozornit 3. mam je poslat nekam ? mam na mysli to ze pak je muj server vyhodi neb domena posta.server.local se tezko hleda v dns.. Diky
Je otazka jestli tohle posilaji v HELO / EHLO fazi nebo v MAIL FROM. Pokud v prvnim pripade tak staci slusne upozorneni – EHLO ma spousta serveru nastaveno blbe a kdybych kvuli tomu mel odmitat postu tak by mi toho moc nechodilo. Pokud je ale nesmyslna domena v MAIL FROM tak bez milosti odmitnout. Regulerni maily prakticky vzdycky maji MAIL FROM dobre, problem muze byt s nekterymi automatickymi maily (potvrzeni registrace nebo treba logy ruznych skriptu).
ano je to presne : Helo command rejected: Host not found :) tj ze server posta.server.local nelze zpetne najit v dns. Tim padem tedy slusne upozorneni a asi zruseni pravidla :) Vlastne mi jde o to zda je najaky obecne uznavany standart co v takovych apod. pravidlech povolit a co ne. Abych pak mohl rict sefovi : no mail neprisel, protoze oni maji to a to spatne apod..
No vidite a prave na tomto (a neexistujicim reverzu) se da kilnou 90+% spamu. Chodilo nam cca 4–5k spamu /den. Po zavedeni tehle dvou pravidel (plus samo jeste dalsi filtrovani, ale to uz jen odchyta ten zbytek) mam po 1/2 roce ve vyjimkach asi 20 dementu co si to ani pres upozorneni neumi spravit a nikdo si nijak zvlast nestezuje. Spam chodi v jednotkach ks mesicne.
SPF a DKIM je tu uz s nami nejaku dobu, napriek tomu z rozhovorov mozem povedat ze vacsina adminov a dokonca ani inzinierov (ccie pod.) o nich vobec netusi, ako aj o roznych rozsireniach SMTP. kazdopadne som si preskenoval prostredie domen .sk a tu je vysledok (z 03.03.2009):
vsetkych domen: 173269 domeny so zaznamom SPF: 6134 co predstavuje 3.5% a teda priblizne kopiruje prostredie CZ.
Lidi tady píšou tak nějak polovičatě, aniž by se nad tím zamysleli. Současná konfigurace mnoha SMTP serverů skutečně využití představeného řešení brání, ale pokud by se rozšířilo, mohly by se snadno překonfigurovat. Nicméně zásadní problém s nahlášením počítače v botnetu je, že je sice hcráněna proti podvržení doména, ale už ne uživatelské jméno! Kdo na to myslel? Tak se sice dozvíme, že spamuje počítač někoho, kdo má účet na Seznamu, ale stejně ho na to nedokážeme upozornit. Já vidím řešení v povinném TLS/SSL přihlašování na SMTP. Ostatně i s ohledem na odposlouchávání komunikace je to přínos. Google to tak má.
Internet Info Root.cz (www.root.cz)
Informace nejen ze světa Linuxu. ISSN 1212-8309
Copyright © 1998 – 2021 Internet Info, s.r.o. Všechna práva vyhrazena.