Názory k článku Stop podvrženým e-mailovým adresám ve spamu

problem je ked ISP blokuje smtp servery mimo vlastnej siete.

To pro někoho jistě může být nepříjemné, ale proč je v tom problém v souvislosti s tímto článkem?

Protoze pokud chci napr. z domaci site X ve ktere sem pripojen odeslat mail. Ktery mam u poskytovatele Y tak mam nyny dve moznosti.

1. Odeslu mail pres SMTP server poskytovalte pripojeni
2. Odeslu mail pres SMTP server poskytovale emailu.

Ve chvili kdyz pouziji metodu zminovanou v clanku, dopadne moznosti 1. A pokud muj ISP blokuje moznost 2 (ISP blokuje komunikaci s externimy SMTP servery) tak nema jak poslat e-mail.

Taky se muze stat ze ISP to blokovat nebude, ale muj poskytovatel emailu umozni pristup na SMTP pouze z vnitrni site (treba firemni e-mail).

A co kdyz muj pokytovatel e-milu vubec SMTP nema? Co kdyz muj poskytovatel je pouze proxy na jineho poskytovatele? Napr. mala firma ktera chce mit e-mail na sve vlastni adrese, ale presmerovava ho do schranky nejakeho freemailu.

Alebo ti poskytovatel mailu dovoli poslat mail po authentifikacii a tym padom bude vsetko ok pretoze SPF splni svoju ulohu mail bude odoslany cez mail ku ktoremu je spraveny DNS zaznam

Když mám mailserver někde ve firemní síti, a chci uživatelům umožnit odesílání „firemních“ mailů i z domova, z kavárny, z benzínky nebo od holiče, dá se to udělat tak, že jim zřídím VPN tunel do vnitřní sítě, a/nebo SMTP+SSL na portu jiném než 25. Pokud mi nějaký chytřejší zombie začne spamovat ven skrz můj vlastní mailserver, dozvím se to v dnešní době vcelku rychle :-)

Jasně, pro freemaily je SSL docela CPU hog a VPN je overkill… Možná je obecně finta v tom, dát svým koncovým klientům možnost podávat maily prověřenému outgoing mailserveru k odeslání, a to nějakým způsobem „jiným než SMTP na port 25“, aby se dal port 25 směrem ven v accessových sítích filtrovat. Na tom si nabije kokos spousta pitomých zombie, které odesílají přímo na cílový server, a přitom freemailový server má nadále možnost poskytnout svým klientům ze všech koutů internetu outgoing SMTP. A když bude chtít konkrétní človíček v accessové síti provozovat svůj vlastní outgoing mailserver, tak si může říct o díru do firewallu ISP (ehm) – trochu přemejšlím, jak to jde dohromady s obvykou NAT maškarádou, RBL, případně jaký vliv bude mít nástup IPv6…

root@ZZ9-desktop:~/Doku­menty/linux/Rou­ting_10GE_Linux­router# dig TXT root.cz

; <<>> DiG 9.4.2-P2 <<>> TXT root.cz ;; global options: printcmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 59411 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION: ;root.cz. IN TXT

;; AUTHORITY SECTION: root.cz. 465 IN SOA ns.iinfo.cz. hostmaster.iin­fo.cz. 2009050506 86­400 3600 3600000 600

;; Query time: 116 msec ;; SERVER: 192.168.2.1#53(192­.168.2.1) ;; WHEN: Wed Jul 8 00:22:11 2009 ;; MSG SIZE rcvd: 81

---

root@ZZ9-desktop:~/Doku­menty/linux/Rou­ting_10GE_Linux­router# dig TXT iinfo.cz

; <<>> DiG 9.4.2-P2 <<>> TXT iinfo.cz ;; global options: printcmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 48840 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION: ;iinfo.cz. IN TXT

;; AUTHORITY SECTION: iinfo.cz. 600 IN SOA centaurus.4web.cz. hostmaster.iin­fo.cz. 2009070302 18­00 3600 604800 600

;; Query time: 133 msec ;; SERVER: 192.168.2.1#53(192­.168.2.1) ;; WHEN: Wed Jul 8 00:22:53 2009 ;; MSG SIZE rcvd: 88

To je ale zase jen polovičaté řešení.

JJ presne. E-mail byl navrzen tak, aby byl anonymni, bohuzel to je ten problem. Poviny podpis by samozrejme problem vyresil, protoze by se dalo zjistit kdo primo byl napaden a ten by pak problem vyresil.

Krom toho pricina je jina. Existuji zombie a neni zpusob jak majitele zombie informovat. Chapu ze boj proti zombiim je slozity a ze to M$ resi, ale nechapu proc porad nevznikl jednoznacna metoda jak kontaktovat vlastnika zombie, nebo alespon vlastnika subsite ve ktere se zombie vyskytuje. Paklize ten problem neodstrani dostane se na blacklist a je po problemu.

Jenze to by mohla jit uz dnes. SMTP serve, ktery takovy e-mail dostane vi odkud ho dostal a muze upozornit vlastnika site ve kterem k tomu doslo (metodou padajiciho hovna) a pripadne takove IP bloknout a poslat mu chybu cislo XXX ktera znamena – zablokovan z duvodu odesilani spamu.

Zavedenim tohoto protokou nebude dosazene niceho vic nez ceho se da dosahnout uz dnes jen drobnymi upravami u pravou procesu. Mno a samozrejme dalsich negativnich efektu jako ze zombie se stanou inteligentnejsi a budou krom odesilani e-mailu krast casteji loginy a hesla, aby ty e-maly mohly odesilat.

Ale pokud je zaručeno nefalšování odesílatele, je snadno možné 1. „přebranou“ adresu či doménu jako přebranou „rozhlásit“ → z ní příchozí poštu třeba podrobovat silnějšímu filtru 2. upozornit odesílatele.

(Nebo ne?)

Souhlasim s tim, ze teoreticky neni mozne odeslat mail ze spravneho serveru, protoze ten je bud chranen heslem a nebo na nejake lokalni siti. Ale proc by proboha mel kazdy spravny hosting mel mit svuj SMTP server, to je snad starost ISP, ne?

drtivá většina botnetů se snaží doručovat spam přímo na cílový mailserver

Tohle se neda generalizovat. Spousta botnetu poziva SMTP ISP. Dokonce dokazi vytahnout z Outlooku login a heslo na SMTP server, takze ani autentizace nic neresi. Ono to muze byt pro spamery i vyhodne. Pokud vhodne sfalsujete hlavicky, tak muzete zamaskovat identitu zombie. Z vlastni skusenosti vim, ze zavirovane PC na 100MBit siti dokaze odeslat cca 10000 spamu za hodinu.

Podle mě je blokování SMTP, stejně jakého koli jiného provozu, zhovadilost. Já mám například na hostingu svůj vlastní SMTP server a když přijdu domů, tak si musím v nastavení klienta změnit odesílací server na mého poskytovatele, protože podělané UPC blokuje odchozí SMTP spojení. Je to opruz, protože neumí šifrování a moje pošta, kterou mohu považovat za důvěrnoou jde přes nějaký, pro mě nedůvěryhodný server, což mi třeba nemusí vyhovovat. Proč mám být já, jako platící úživatel omezován v používání internetu tak, jak já ho chci používat? Bohužel spousta ISP to bere tak, že domácí uživatel potřebuje jen browsit a žádné jiné služby nepotřebuje. Slyšel jsem třeba o hovadech, který blokují SIP protokol (nebo alespoň negativně priorizují), blokují P2P, SKYPE a pod. Pokud má nějaký ISP pocit, že mu tyto aktivity uživatelů „zahlcují síť“, potom by se měl zamyslet nad tím, zda nezměnit obor podnikání…

Přesně tak, ten botnet hajzlik nepotřebuje sám kontaktovat SMTP, prostě to vyšle skrz API Outlooka zcela legální cestou a klidně to nemusí být primárně SMTP ale třeba exchange. Myslím, že proti botnetu, který na napadeném stroji využije vyšší vrstvu s prošlapanou cestičkou ven, to fungovat nemůže. A je fuk jestli je to na Windows nebo na unixu ..

Mne chodí na adresu na zoznam.sk minimálne 20 správ denne, kde je v hlavičke from rovnaké ako to. Čiže na adresu meno@zoznam.sk mi príde čosi, čo má from: „Jenaye Lesley“ <meno@zoznam.sk>. Dá sa s tým niečo robiť?

Ti se totiž nedokáží mezi sebou domluvit a začít filtrovat přijaté požadavky podle zdrojové IP adresy. Stačilo by někde udržovat seznam spolehlivých SMTP serverů a nikdo další by si neškrtl. Řešení je to prosté, řvát budou jen frikulíni s vlastním SMTP serverem. Těm nezbyde než poštu přeposílat přes schválení SMTP server, nebo se zaregistrovat jako schválený SMTP server.

A kdo by tohle měl spravovat. Nejlépe velké portály, microsoft, google, seznam, a podobně.

Nicméně si myslím, že ochota v tomto směru je malá a firmy spíš budou tlačit vlastní software(sociální sítě, messengery, ICQ, chaty, či jiné způsoby komunikace) , než pečovat o mrtvolku se jménem SMTP.

Domnívám se, že ač vlastním své SMTP servery, nepovažuji se za frikulína. Nepřipadá Vám divné, že zatím tu vyřváváte nejvíce Vy?

No jo, „Prázdný sud nejvíce duní“. Koukněte se do zrcadla Ichtylů.

Děkuji za skvělý příspěvek k tématu.

Máte vlastní SMTP server? Jste taky tříprocentní menšína? :-D

Také mám svůj SMTP server a za frikulína se nepovažuji. Kdybych byl cimprlich, řekl bych dokonce, že mě tady jakýsi zakomplexovaný mamlas uráží.

Zajímavé, že považujete návrh řešení za urážku a namísto konstruktivní kritiky se chováte jako by Vám někdo bral hračku.

Tak to se divím, že věříte certifikačním autoritám :-D

pro certifikacni autoritu by ztrata duvery patrne znamenala konec existence, o tom ten jejich byznys asi bude …

Tolik teorie a logika. Jenže máme co dělat s cílenými falešnými identitami…

Svoboda jde ruku v ruce z odpovědností. Nikdo nechce po nikom, aby byl sledován a omezován. Jde jen o to oddělit zrno od plev.

Jde jen o důvěryhodnost. Dnes věříme certifikátům, certifikačním autoritám a nevadí nám to. Autoritám, které budou oddělovat odesílací servery mezi dobré a špatné věřit nebudeme?

jenze (ty kratkozraky urvany tele) – v tom je preci naprosto jasny rozdil, certifikacni autorita jen potvrzuje ze tenhle je opravdu tenhle, neni o cem debatovat, jak s tim nalozis, je tvoje vec, zatimco tvoje „autorita“, ktera oddeluje dobre a spatne, tak maximalne vyjadruje svuj nazor!

My si špatně rozumíme. Tahle autorita ti řekne, že mail byl odeslán ze serveru, který byl registrován jako odesílač pošty. Je na tobě, jak s danou informací naložíš.

Stejně tak certifikační autorita ti řekne jen, že dotyčný má jejich certifikát.Je na tobě, jak s danou informací naložíš.

(kdyby se do zprávy dodával certifikát odesílajícího SMTP serveru, je to totéž, jen technicky komplikovanější řešení)

Ano jde o důvěryhodnost. Mohu věřit, že nástroje a instituce, které mají filtrovat spam nebudou nikdy zneužity?

Raději budu filtrovat spam než podporovat taková řešení. Tak vidím odpovědnost já.

Můj příspěvek jste nepochopil. Nikdo nechce filtrovat SPAM. Ten příjemce, nechť rozhodne, zda je pro něj určitá adresa (SMTP serveru) důvěryhodná, že od ní přijme e-mail. Příjemce můžete být v konečném důsledku Vy, nebo Váš správce pošty, kterému věříte (Například Seznam, Centrum, GMail)

ehm nechápem, čo majú spoločné spam, warez a porno to je snáď nejaký vtip bez pointy? :)

Myslim ze jste ponekud prebral (nevim tedy ceho, ale asi toho bylo dost).

Tady někdo nepochopil internetovou neutralitu :)

<blockqutoe>Těm nezbyde než poštu přeposílat přes schválení SMTP server

A proč by to samé rovnou nemohl udělat spammer pomocí botnetu?

Protože správce toho SMTP serveru už si sakra dá pozor, aby o tu duveryhodnost nepřišel, nehledě na to, že SMTP server providera zpravidla dovolí přijímat maily jen od svých zákazníku a zodpovědnost za jejich chování si pořeší sám.

To je ta internetova neutralita.

Ale hlavně zodpovědnost. ISP rozhodně nemůže fungovat stylem, já nic, já muzikant. Jednou spravuje konektivitu a tou správou se nemusí rozumět jen hloupé přeposílání paketů, ale i jakási základní ochrana svých klientů vůči okolí. Dřív stačilo, abych ze školského účtu poslal něco nevyžádaného, a už mne správci sítě upozorňovali, že bych mohl o ínternetový účet rychle přijít.

Nejak jsem nenerazil na dalsi nevyhodu ze s spf nejde forwardovat, resp jde, ale uz neplati overeni, musi se doinstalovat SRS

SRS

Tady je pojednání, proč SPF ne: http://david.woodhou.se/…not-spf.html

a víceméně se s tím dá souhlasit.

To co zde není uvedeno, je např. že Microsoftí SenderID (nebo jak se to jmenuje) používá podobný zápis jako SPF a v některé části specifikace koliduje s SPF. Je to popsáno někde na stránkkách spf.

Více se zamlouvá DKIM.

Hodně spamu ale chodí z úplně vymyšlených adres. Někde sem četl statistiku, kdy kolem 70% takto vymyšlených domén mělo SPF záznamy.

uvedeny clanek kritizuje vlastne jen SRS.

je treba si uvedomit, ze SPF je pouhopouhy whitelist. tedy rika: „pokud zprava z te a te domany prijde z techto IP adres, je to spravne, protoze tyto servery mohou dorucovat zpravy z teto domeny.“ ovsem uz nerika, oc jde v pripade, ze zprava z domeny prijde z nejakeho dalsiho stroje (napr. klasicky forward). bohuzel, SMTP servery jsou casto spravovany diletanty, takze casto jsou takto dorucovane zpravy odmitnuty. (protoze si nekdo mysli, ze SPF ma charakter blacklistu.)

s timto odstavcem zdanlive koliduje moznost zakazu dalsich „dorucovatelu“ pomoci -all. ale to slouzi prave pro maximalni zuzeni nebo lepe receno zpresneni whitelistu.

„ovsem uz nerika, oc jde v pripade, ze zprava z domeny prijde z nejakeho dalsiho stroje (napr. klasicky forward). bohuzel, SMTP servery jsou casto spravovany diletanty, takze casto jsou takto dorucovane zpravy odmitnuty.“ ???? Akoze nie, o tom vravi vlastnik domeny, ktory si to v pripade -all EXPLICITNE NEZELA :) Diletanti ? SPF musi mat charakter blacklistu, ak ma byt k niecomu pouzitelne. Samozrejme, stale je tu problem forwardovania a SRS.

SPF ale pouziva vzdy primarne prijemce, je tedy ciste na nem jakym zpusobem ho pouzije. Muze napr jen zvednou score kdyz je to odjinud.

Kdy už se konečně přestane s těma obezličkami, kterých je na protokolu SMTP nabalené už takové hafo, a zavrhne se SMTP jako celek? A navrhne se nějaké pořádné řešení elektronické komunikace? Protokol SMTP (spolu s FTP) je anarchismus z dřevních dob internetu.

Add) Protokol SMTP (spolu s FTP) je anarchismus z dřevních dob internetu.

Á, pán bude asi nějaký suvenýr!

P.S. Upozorňujeme, že používání cizích termitů, kterým nerozumíme, představuje značné rizoto!

No boooze, tak zase jednou doslo k fiakru …

zas tak lehkovazne bych to nebral, muj nazor je, ze se jedna jen o vytloukani klinu klinem, spam zatezuje servery, tak vymyslime fricury, co tomu budou jako branit a tim k zatezi spamem, pridam jeste zatez ficurou, takze jediny vysledek bude, ze se budou muset posilovat servery, pokud bych se zameril na odstraneni priciny, vytizeni vsech serveru by kleslo na 2% :) zrusme SMTP, zmizi spam, servry budou min topit a treba prestanou tat i ledovce

FTP je mrtvé, protože jej nahradilo HTTP a SFTP. Ale čím chcete nahradit SMTP? Jabberem? Akorát by se SMTP spam přesunul tam.

Problém s SPF je taky, pokud se doručený mail dále přeposílá. Celkově je SPF motykoidní řešení.

ntw

Ahojte,

SPF je velmi sikovna technika, jak zajistit ze e-mail z abc@xyz.cz byl skutecne odeslan od cloveka, ktery jej ma pravo odesilat ;-) Akorat jsem zatim narazil na takovy jeden maly/velky problem pri preposilani ;-) Preposilani dorucene zpravy na schranky cde@fgh.cz je vlastne podvrzeni adresy… a ejhle, SPF politika u prijemce == nefunkcni preposilani ;-) Globalne to v TXT zaznamech nastavit nemuzete – neuvedete tam prece mail-servery vsech prijemcu. Dale pak TXT zaznamy jsou limitovany na delku (mrknete na RFCcka) :-)

Pre vacsinu MTA implementacii je mozne problem s forwardingom vyriesit pomocou SRS – Sender Rewriting Scheme.

+1 ;-) Samozrejme je to jedine mozne reseni ;-) (tedy co me ted napada ;-) )

Tak tahle reklama u clanku mne pobavila:

Bezplatný Spam Filtr
Pro Microsoft Outlook a Express Nyní 6
uživatelů po celém světě
 www.spamfighter.com/AntiSpam

Ahoj,

chtel bych se zeptat jak se mam chovat ke spravcum smtp serveru kteri maji nastavene dns jmeno smtp serveru napr. na posta.server.local a timto jmenem se pak pripojuji na me smtp servery. A muj dotaz 1.je to v poradku 2.mam je slusne upozornit 3. mam je poslat nekam ? mam na mysli to ze pak je muj server vyhodi neb domena posta.server.local se tezko hleda v dns.. Diky

Počkat, jaké DNS jméno? Jestli myslíš to, co uvede server v HELO, tak to nic neznamená, takže platí 1.

ntw

ano je to presne : Helo command rejected: Host not found :) tj ze server posta.server.local nelze zpetne najit v dns. Tim padem tedy slusne upozorneni a asi zruseni pravidla :) Vlastne mi jde o to zda je najaky obecne uznavany standart co v takovych apod. pravidlech povolit a co ne. Abych pak mohl rict sefovi : no mail neprisel, protoze oni maji to a to spatne apod..

V HELO/EHLO muze podle RFC byt prakticky cokoli, co se da povazovat za FQDN, jmeno pocitace ci IP adresu. Bez ohledu na to, zda se da dohledat ci ne.

diky a preju pekny den

No vidite a prave na tomto (a neexistujicim reverzu) se da kilnou 90+% spamu. Chodilo nam cca 4–5k spamu /den. Po zavedeni tehle dvou pravidel (plus samo jeste dalsi filtrovani, ale to uz jen odchyta ten zbytek) mam po 1/2 roce ve vyjimkach asi 20 dementu co si to ani pres upozorneni neumi spravit a nikdo si nijak zvlast nestezuje. Spam chodi v jednotkach ks mesicne.

spam se spamerum vyplati jenom proto ze se najdou lidi tak neuveritelne hloupi ze na nej reaguji… Takze misto zbytecnyho omezovani technologie by bylo potreba prvne zacit bojovat s lidskou hlouposti.

Spam by potom zmizel sam…

Pokud vim tak novejsi (a asi vice koser) zpusob pouziti je pouziti zaznamu SPF misto TXT (nebo lze tedy oba zaroven) prave proto, ze TXT neni pro tyhle ucely urceno.

Islo len o to, ze bind do niektorej verzie (co uz davno neplati) nepoznal SPF zaznam.

Sice off topic, ale .....muj nazor je zbytecne se resi SMTP jako problem. Problem je v koncovych zarizenich – PC , kde by melo byt zabraneno jiz vzniku spamu potazmo botnetu. Pokud budou data odchazet z PC nezavisle na vedomi uzivatele, bude to vzdy problem.