Обратная зона или крик души
Slava Alpatov
Проверка обратной зоны ломящихся почтовых серваков проработало ровно три дня и
была отключена нафиг. Я фигею. Даже сервера таких "мелких и паршивых" конторок,
как сеть Метро и крупнейший немецкий игроиздатель Joowood не ресолвились.
Сколько там, интересно, админам платят - небось фигову тучу денег и каждый по
пол-сотне сертификатов в кармане имеет.
Самый шедевральный ответ пришел из английской фирмы GMX Media:
"Мы не можем включить у себя обратный ресолвинг, т.к. это сделает наши сервера
доступными хакерам и спаммерам". Я отстал от жизни и обратный ресолвинг - это
уже не модно или где-то вскрылись супер-дыры в DNS -серверах при обработке
обратных зон?
А я-то, дурак, после включения Инета в офисе первым делом побежал обратную зону
отстраивать ...
С глубочайшим уважением, Слава
--------mailto:oldc...@mail.ru----------------
Slava Astashonok
Опять начинается? ;) Осенью тут был большой тред, который затронул и эту
тему. Разве наличие или отсутствие обратной зоны у отправителя c
содержимым письма как-нибудь коррелирует? ;)
--
Don't worry the next message will be better!
Victor Wagner
SA> Опять начинается? ;) Осенью тут был большой тред, который затронул и эту
SA> тему. Разве наличие или отсутствие обратной зоны у отправителя c
SA> содержимым письма как-нибудь коррелирует? ;)
Как-нибудь - коррелирует. Потому как коррелирует с личностью
отправителя. Вопрос в том, значима ли эта корреляция для того, чтобы
на её основании принимать решение об отказе в приёме письма. И ответ -
скорее всего, нет.
--
Yuri PQ
Ку!
[040122] Slava Astashonok (2:5020/400) ─> Slava Alpatov (2:5010/2.2)
SA> Опять начинается? ;) Осенью тут был большой тред, который затронул и
SA> эту тему. Разве наличие или отсутствие обратной зоны у отправителя c
SA> содержимым письма как-нибудь коррелирует? ;)
этот тред и закончился чем-то вроде: "можно и на автомобиле без номеров
ездить..." и некоторые даже до сих пор ездят...
Ку! 8*{PQ}
Slava Astashonok
Неудачная аналогия.
Я вот не помню - в том треде упоминалась какая-то RFC-ка с
рекомендацией/требованием иметь реверсную зону или мне показалось?
Потому что мне такую найти не удалось.
--
I know Karate, Kung Fu, and 47 other dangerous words...
Mikkle V. Sokolov
<Четверг Январь 22 2004> Yuri PQ wrote to Slava Astashonok:
YP> этот тред и закончился чем-то вроде: "можно и на автомобиле без
YP> номеров ездить..." и некоторые даже до сих пор ездят...
о, собственно, а вот и главный шашкомахатель...
See you in Never-Never Land, Yuri PQ.
Mikkle V. Sokolov
<Четверг Январь 22 2004> Slava Alpatov wrote to All:
SA> А я-то, дурак, после включения Инета в офисе первым делом побежал
SA> обратную зону отстраивать ...
И что, у тебя от этого сервера лучше работать стали? Я вообще фигею, бекрезольв
-- это же чисто шашечки, а ежели тебе ехать -- есть whois, собственно говоря.
Хотя, на волне борбы со спамом, некоторым дествительно проще махнуть нафик
шашкой, нежели настроить того же spamassassin'a.
See you in Never-Never Land, Slava Alpatov.
Slava Astashonok
> Я вот не помню - в том треде упоминалась какая-то RFC-ка с
> рекомендацией/требованием иметь реверсную зону или мне показалось?
> Потому что мне такую найти не удалось.
А ну вот. Формально пожелания высказываются в rfc1912.
Sergey Dolin
SA>> обратную зону отстраивать ...
telnetd перестал задумываться, кто к нему в гости пришёл.
MVS> Я вообще фигею, бекрезольв
MVS> -- это же чисто шашечки,
Вам сколько лет, мальчик?
--
Sergey Dolin /slrn/0.9.8.0 (CYGWIN_NT-5.1)/
...вы его как-то неправильно душите.
Yuri PQ
Ку!
[040122] Slava Astashonok (2:5020/400) ─> Slava Astashonok (2:5010/2.2)
>> Я вот не помню - в том треде упоминалась какая-то RFC-ка с
>> рекомендацией/требованием иметь реверсную зону или мне показалось?
>> Потому что мне такую найти не удалось.
SA> А ну вот. Формально пожелания высказываются в rfc1912.
о, спасибо! вот теперь можно и шашечку на законных основаниях применять к
любителям ездить без номеров - к ублюдкам-спаммерам, то бишь.
Ку! 8*{PQ}
Yuri PQ
Ку!
[040122] Slava Astashonok (2:5020/400) ─> Yuri PQ (2:5010/2.2)
>> этот тред и закончился чем-то вроде: "можно и на автомобиле без
>> номеров ездить..." и некоторые даже до сих пор ездят...
SA> Hеудачная аналогия.
ну ладно, не совсем без номеров, а с самодельными наклейками типа "свадьба"...
SA> Я вот не помню - в том треде упоминалась какая-то RFC-ка с
SA> рекомендацией/требованием иметь реверсную зону или мне показалось?
я тоже смутно помню, но тогда не поинтересовался содержимым того RFC. а сейчас
не помню номера.
Ку! 8*{PQ}
Slava Astashonok
> SA> А ну вот. Формально пожелания высказываются в rfc1912.
>
> о, спасибо! вот теперь можно и шашечку на законных основаниях применять к
> любителям ездить без номеров - к ублюдкам-спаммерам, то бишь.
Тогда нужно быть последовательным до конца, а именно - запретить доступ
с таких айпишников на корпоративный веб-сайт с рекламой выпускаемой
продукции, и даже на их провакационные пинги не отвечать. ;)
--
Maybe Computer Science should be in the College of Theology. -- R. S. Barton
Constantin Stefanov
> Самый шедевральный ответ пришел из английской фирмы GMX Media:
> "Мы не можем включить у себя обратный ресолвинг, т.к. это сделает наши сервера
> доступными хакерам и спаммерам". Я отстал от жизни и обратный ресолвинг - это
> уже не модно или где-то вскрылись супер-дыры в DNS -серверах при обработке
> обратных зон?
По-моему, это что-то вроде запрета на AXFR всей зоны. Просто перебрать
диапазон IP довольно просто, там найдутся имена вроде buhgalteria, там
наверняка винда, а вдруг ее забыли пропатчить или у девочки пароль
"qwerty"... Короче, люди хотят давать компам смысловые имена, но при
этом не хотят, чтобы другие могли узнать эти смыслы. Определнный резон в
этом, наверное, есть, но, по-моему, это все security by obscurity, т.е.
одна видимость.
--
Константин Стефанов
Dmitry Miloserdov
You wrote to Slava Alpatov on Fri, 23 Jan 2004 11:38:53 +0000 (UTC):
CS> Короче, люди хотят давать компам смысловые имена, но при
CS> этом не хотят, чтобы другие могли узнать эти смыслы. Определнный резон
CS> в этом, наверное, есть, но, по-моему, это все security by obscurity,
CS> т.е. одна видимость.
Ну почему только обскурити. Может есть вполне резонное желание
не ставить [потенциально] дырявую программу.
Если ты не держишь прямую зону зачем тебе обратка?
With best regards, Dmitry Miloserdov. E-mail: dmi...@bis.ru
Constantin Stefanov
> CS> Короче, люди хотят давать компам смысловые имена, но при
> CS> этом не хотят, чтобы другие могли узнать эти смыслы. Определнный резон
> CS> в этом, наверное, есть, но, по-моему, это все security by obscurity,
> CS> т.е. одна видимость.
> Ну почему только обскурити. Может есть вполне резонное желание
> не ставить [потенциально] дырявую программу.
> Если ты не держишь прямую зону зачем тебе обратка?
Да, но я держу прямую зону (да и GMX media, я думаю, тоже). Если нет
прямой зоны, то почта работать не будет вообще (ну разве по IP ее
перебрасывать с центрального сервера). А если есть прямая, то я не вижу
ни одной причины, почему бы не сделать обратную (ну кроме вот того, про
что писал выше - но это считаю слабым доводом).
--
Константин Стефанов
Yuri PQ
Ку!
[040123] Slava Astashonok (2:5020/400) ─> Yuri PQ (2:5010/2.2)
>> SA> А ну вот. Формально пожелания высказываются в rfc1912.
>> о, спасибо! вот теперь можно и шашечку на законных основаниях
>> применять к любителям ездить без номеров - к ублюдкам-спаммерам, то
>> бишь.
SA> Тогда нужно быть последовательным до конца, а именно - запретить
SA> доступ с таких айпишников на корпоративный веб-сайт с рекламой
SA> выпускаемой продукции, и даже на их провакационные пинги не отвечать.
SA> ;)
о! а это мысль! :)
Ку! 8*{PQ}
Dmitry Miloserdov
You wrote to me on Fri, 23 Jan 2004 12:29:06 +0000 (UTC):
CS> Да, но я держу прямую зону (да и GMX media, я думаю, тоже). Если нет
CS> прямой зоны, то почта работать не будет вообще (ну разве по IP ее
CS> перебрасывать с центрального сервера). А если есть прямая, то я не вижу
CS> ни одной причины, почему бы не сделать обратную (ну кроме вот того, про
CS> что писал выше - но это считаю слабым доводом).
Я не говорил что прямой зоны нет - я говорил что владелец сервера ее не
держит.
Она может быть например у хостера.
Constantin Stefanov
> CS> Да, но я держу прямую зону (да и GMX media, я думаю, тоже). Если нет
> CS> прямой зоны, то почта работать не будет вообще (ну разве по IP ее
> CS> перебрасывать с центрального сервера). А если есть прямая, то я не вижу
> CS> ни одной причины, почему бы не сделать обратную (ну кроме вот того, про
> CS> что писал выше - но это считаю слабым доводом).
> Я не говорил что прямой зоны нет - я говорил что владелец сервера ее не
> держит.
> Она может быть например у хостера.
Да, но исходная отмазка-то была "в целях безопасности". Лень - великая
вещь, но не надо лень оправдывать "соображениями безопасности". Обычно
это разные вещи.
--
Константин Стефанов
Slava Alpatov
23 Jan 04 14:38, Constantin Stefanov wrote to Slava Alpatov:
>> Самый шедевральный ответ пришел из английской фирмы GMX Media:
>> "Мы не можем включить у себя обратный ресолвинг, т.к. это сделает
>> наши сервера доступными хакерам и спаммерам". Я отстал от жизни и
>> обратный ресолвинг - это уже не модно или где-то вскрылись
>> супер-дыры в DNS -серверах при обработке обратных зон?
CS> По-моему, это что-то вроде запрета на AXFR всей зоны. Просто
CS> перебрать диапазон IP довольно просто, там найдутся имена вроде
CS> buhgalteria, там наверняка винда, а вдруг ее забыли пропатчить или
CS> у девочки пароль "qwerty"... Короче, люди хотят давать компам
CS> смысловые имена, но при этом не хотят, чтобы другие могли узнать
CS> эти смыслы. Определнный резон в этом, наверное, есть, но, по-моему,
CS> это все security by obscurity, т.е. одна видимость.
А что мешает ломать все это по IP не зная NetBIOS названия этих компов?
Constantin Stefanov
> >> Самый шедевральный ответ пришел из английской фирмы GMX Media:
> >> "Мы не можем включить у себя обратный ресолвинг, т.к. это сделает
> >> наши сервера доступными хакерам и спаммерам". Я отстал от жизни и
> >> обратный ресолвинг - это уже не модно или где-то вскрылись
> >> супер-дыры в DNS -серверах при обработке обратных зон?
> CS> По-моему, это что-то вроде запрета на AXFR всей зоны. Просто
> CS> перебрать диапазон IP довольно просто, там найдутся имена вроде
> CS> buhgalteria, там наверняка винда, а вдруг ее забыли пропатчить или
> CS> у девочки пароль "qwerty"... Короче, люди хотят давать компам
> CS> смысловые имена, но при этом не хотят, чтобы другие могли узнать
> CS> эти смыслы. Определнный резон в этом, наверное, есть, но, по-моему,
> CS> это все security by obscurity, т.е. одна видимость.
> А что мешает ломать все это по IP не зная NetBIOS названия этих компов?
Да ничего не мешает, конечно, но тут же сначала надо угадать, какая там
ОС (и есть ли вообще NetBIOS), да еще по имени можно иногда примерно
прикинуть, какая там может быть информация... Лично я считаю, что это
никак не помогает безопасности, и привел единственный аргумент, который
смог придумать. Может, кто-то придумает лучше.
--
Константин Стефанов
Alex Korchmar
SA> тему. Разве наличие или отсутствие обратной зоны у отправителя c
у relay отправителя. Совпадающей с прямой.
SA> содержимым письма как-нибудь коррелирует? ;)
да, коррелирует. ~99.9% таких писем - спам или письма от вирусов. Может
сейчас и больше стало - мне давно уже лень проверять. В сентябре было именно
1:1000 на мой, незасвеченный, конторский адрес. (в октябре попер "microsoft
security update" и я считать перестал)
Ни одна известная мне проверка иного рода столь хороший показатель
не давала.
А почему - в общем-то, какая разница?
Я вот полагаю, что это характеризует либо кривизну рук админа на том
конце, либо вывих мозгов - админ, полагающий reverse dns "ненужными
шашечками", вполне может полагать open relay на каждой машине своей сети
нужным и полезным сервисом (а борьбу с ними - "ненужными шашечками",
"есть же spamотсосин").
> Alex
Slava Astashonok
> Slava Astashonok <s...@0n.ru> wrote:
>
> SA> тему. Разве наличие или отсутствие обратной зоны у отправителя c
> у relay отправителя. Совпадающей с прямой.
> SA> содержимым письма как-нибудь коррелирует? ;)
> да, коррелирует. ~99.9% таких писем - спам или письма от вирусов. Может
> сейчас и больше стало - мне давно уже лень проверять. В сентябре было именно
> 1:1000 на мой, незасвеченный, конторский адрес. (в октябре попер "microsoft
> security update" и я считать перестал)
> Ни одна известная мне проверка иного рода столь хороший показатель
> не давала.
Минуточку. Я так понял (из того треда), что вы не принимаете почту с
адресов, не имеющих реверсную зону? Тогда откуда такая статистика? ;)
Вот по данным моего почтаря (весьма засвеченного, принимающего почту для
десятка доменов), которые я вяло демонстрировал в прошлый раз, у 99%
отвергнутых (rbl-ем, exim-овским sender verify и drweb-ом) отправителей
имелась реверсная зона. Зачем же ломаются копья вокруг этого оставшегося
несчастного 1-го процента адресов, который не делает никакой игры?
Может, всё же, провека зоны в smtp это уже атавизмЪ?
> А почему - в общем-то, какая разница?
> Я вот полагаю, что это характеризует либо кривизну рук админа на том
> конце, либо вывих мозгов - админ, полагающий reverse dns "ненужными
> шашечками", вполне может полагать open relay на каждой машине своей сети
> нужным и полезным сервисом (а борьбу с ними - "ненужными шашечками",
> "есть же spamотсосин").
Ну, интуитивно это так, но разве можно позволить себе руководствоваться
такими рассуждениями, объявля джихад "криворуким" админам? Не выплеснуть
бы вместе с водой ребёнка... Лично я предпочитаю опираться на факты а не
на эмоции.
--
Your E-Mail has been returned due to insufficient voltage.
Denis V Klimkov
Friday January 23 2004 12:20, Yuri PQ wrote to Slava Astashonok:
>>> Я вот не помню - в том тpеде упоминалась какая-то RFC-ка с
>>> pекомендацией/тpебованием иметь pевеpсную зону или мне показалось?
>>> Потому что мне такую найти не удалось.
SA>> А ну вот. Фоpмально пожелания высказываются в rfc1912.
YP> о, спасибо! вот тепеpь можно и шашечку на законных основаниях
YP> пpименять к любителям ездить без номеpов - к ублюдкам-спаммеpам, то
YP> бишь.
Хм. Во-пеpвых там высказываются именно пожелания, но не обязательность.
Во-втоpых, какое отношение имеют спамеpы к pевеpсу?
\ Sincerely yours
\B-Q Denis
Denis V Klimkov
Thursday January 22 2004 19:37, Slava Astashonok wrote to Yuri PQ:
>> SA> затpонул и эту тему. Разве наличие или отсутствие обpатной зоны
>> SA> у отпpавителя c содеpжимым письма как-нибудь коppелиpует? ;)
>> этот тpед и закончился чем-то вpоде: "можно и на автомобиле без
>> номеpов ездить..." и некотоpые даже до сих поp ездят...
SA> Hеудачная аналогия.
Именно. Совеpшенно неудачная.
SA> Я вот не помню - в том тpеде упоминалась какая-то RFC-ка с
SA> pекомендацией/тpебованием иметь pевеpсную зону или мне показалось?
SA> Потому что мне такую найти не удалось.
С pекомендациями есть. Hе помню котоpая из. Еще есть pайповские документы с
pекомендациями.
Документов с тpебованиями, AFAIK, пока не существует.
\ Sincerely yours
\B-Q Denis
Denis V Klimkov
Friday January 23 2004 12:16, Yuri PQ wrote to Slava Astashonok:
>>> этот тpед и закончился чем-то вpоде: "можно и на автомобиле без
>>> номеpов ездить..." и некотоpые даже до сих поp ездят...
SA>> Hеудачная аналогия.
YP> ну ладно, не совсем без номеpов, а с самодельными наклейками типа
YP> "свадьба"...
Т.е. ты считаешь такие самодельные наклейки (pевеpсные записи) злом? Почему?
Они ведь не отменяют госномеpов (whois). Только дополняют. И это может быть
полезно.
\ Sincerely yours
\B-Q Denis
Alex Korchmar
>> SA> содержимым письма как-нибудь коррелирует? ;)
>> да, коррелирует. ~99.9% таких писем - спам или письма от вирусов. Может
>> сейчас и больше стало - мне давно уже лень проверять. В сентябре было именно
SA> Минуточку. Я так понял (из того треда), что вы не принимаете почту с
SA> адресов, не имеющих реверсную зону? Тогда откуда такая статистика? ;)
я когда хотел посчитать (на самом деле - узнать судьбу недошедшей до
меня почты, но помимо прочего - почему бы и не ;-) - вместо #error просто
добавлял в такое письмо хедер и потом тупо, грепом, их подсчитывал.
В солнечной Бразилии, как оказалось, к примеру, обратный dns вообще понятие
еще неизученное.
SA> Вот по данным моего почтаря (весьма засвеченного, принимающего почту для
SA> десятка доменов), которые я вяло демонстрировал в прошлый раз, у 99%
SA> отвергнутых (rbl-ем, exim-овским sender verify и drweb-ом) отправителей
гм. Ну и причем тут, простите?
Я вот не использую на релее ни rbl, ни sender verify, полагая оба весьма
подозрительными, а второй и откровенно опасной технологией. И drweb не
пользую по разным причинам (собственно, основная - что мне хотелось бы
выкидывать мусорную почту на внешнем релее, а не тащить ее заботливо
туда, где ее будет проверять антивирус, оплачивая траффик за ее прием
и пересылку отлупов туда-сюда).
Из того, что остается - помимо некоторых некрасивых и нежизнеспособных
технологий (работающих только по недоразумению, которое не будет длиться
вечно) только вот эта и дает приемлемый уровень ложных срабатываний при
существенном количестве попаданий.
К тому же интересно не сколько у тебя выкинула твоя технология, а сколько
их было всего и сколько из них - мусорных.
SA> Может, всё же, провека зоны в smtp это уже атавизмЪ?
это common practice (не для smtp, а вообще для любых подобных сервисов).
И я не вижу причин от нее отказываться, пока она дает желаемый результат
и не создает существенных проблем. Вероятно, скажем, провайдер, себе такое
позволить не может - ну, ему придется использовать другие методы. Тоже -
questionable. Жалоб на нехождение почты на te...@tema.ru (который по
историческим причинам не у нас) мне приходит в среднем одна в две недели.
Причем поддается идентификации далеко не каждая проблема.
SA> Ну, интуитивно это так, но разве можно позволить себе руководствоваться
SA> такими рассуждениями, объявля джихад "криворуким" админам? Не выплеснуть
ну, я бы, конечно, с удовольствием под зеленое знамя и мочить этих гадов,
заодно с поклонниками X.400 и фидорасами, существование которых противно
воле Аллаха, но увы - слишком стар и ленив.
Поэтому я просто не принимаю почту с ихних машин своим сервером. Хотят -
выпрямляют руки, не хотят - я переживу.
> Alex
Tony Leontyev
23 Jan 04 18:56, от Constantin Stefanov (2:5020/400) -> Slava Alpatov:
>> >> Самый шедевральный ответ пришел из английской фирмы GMX Media:
>> >> "Мы не можем включить у себя обратный ресолвинг, т.к. это сделает
>> >> наши сервера доступными хакерам и спаммерам". Я отстал от жизни и
>> >> обратный ресолвинг - это уже не модно или где-то вскрылись
>> >> супер-дыры в DNS -серверах при обработке обратных зон?
>> CS> По-моему, это что-то вроде запрета на AXFR всей зоны. Просто
>> CS> перебрать диапазон IP довольно просто, там найдутся имена вроде
>> CS> buhgalteria, там наверняка винда, а вдруг ее забыли пропатчить или
>> CS> у девочки пароль "qwerty"... Короче, люди хотят давать компам
>> CS> смысловые имена, но при этом не хотят, чтобы другие могли узнать
>> CS> эти смыслы. Определнный резон в этом, наверное, есть, но, по-моему,
>> CS> это все security by obscurity, т.е. одна видимость.
>> А что мешает ломать все это по IP не зная NetBIOS названия этих компов?
CS> Да ничего не мешает, конечно, но тут же сначала надо угадать, какая там
CS> ОС (и есть ли вообще NetBIOS), да еще по имени можно иногда примерно
CS> прикинуть, какая там может быть информация... Лично я считаю, что это
CS> никак не помогает безопасности, и привел единственный аргумент, который
CS> смог придумать. Может, кто-то придумает лучше.
В разумных конторах применяются разные внешние и внутренние зоны для
собственного домена. Во внешнюю зону вполне можно засунуть только те ip,
которые используются для выхода наружу - к примеру, NAT/masq ip. И назвать их,
скажем, host-01, host-02. Иди догадайся, кто там сидит.
Я уже не упоминаю про то, что в конторе должен как минимум стоять FW,
запрещающий _любые_ входящие соединения во внутренню сеть.
Luck n' Love,
Tony aka jet fraer //
*** les...@luft.debis.ru fights spam. Send no mail.
Valentin Nechayev
>>> Constantin Stefanov wrote:
>> Самый шедевральный ответ пришел из английской фирмы GMX Media:
>> "Мы не можем включить у себя обратный ресолвинг, т.к. это сделает наши сервера
>> доступными хакерам и спаммерам". Я отстал от жизни и обратный ресолвинг - это
>> уже не модно или где-то вскрылись супер-дыры в DNS -серверах при обработке
>> обратных зон?
CS> По-моему, это что-то вроде запрета на AXFR всей зоны. Просто перебрать
CS> диапазон IP довольно просто, там найдутся имена вроде buhgalteria, там
CS> наверняка винда, а вдруг ее забыли пропатчить или у девочки пароль
CS> "qwerty"...
Теперь осталось найти сеть, где рабочие места бюстгальтерии на честных
адресах - и админа можно смело увольнять порвав при этом все его сертификаты.
А для DNS частных сетей есть отдельные зоны или view в BIND9.
CS> Короче, люди хотят давать компам смысловые имена, но при
CS> этом не хотят, чтобы другие могли узнать эти смыслы. Определнный резон в
CS> этом, наверное, есть, но, по-моему, это все security by obscurity, т.е.
CS> одна видимость.
security by obscurity - отличный, полезный, обязательный _вспомогательный_
механизм защиты. Он не даст того же результата как хлопец с АКМ на входе,
но тому хлопцу окажет существенную помощь, будучи правильно применён.
Не надо утверждать, что это "одна видимость", это позиция дальтоника.
-netch-
Slawa Olhovchenkov
23 Jan 04, Alex Korchmar writes to Slava Astashonok:
SA>> тему. Разве наличие или отсутствие обратной зоны у отправителя c
AK> у relay отправителя. Совпадающей с прямой.
SA>> содержимым письма как-нибудь коррелирует? ;)
AK> да, коррелирует. ~99.9% таких писем - спам или письма от вирусов. Может
AK> сейчас и больше стало - мне давно уже лень проверять. В сентябре было
AK> именно 1:1000 на мой, незасвеченный, конторский адрес. (в октябре попер
AK> "microsoft security update" и я считать перестал) Hи одна известная мне
AK> проверка иного рода столь хороший показатель не давала.
AK> А почему - в общем-то, какая разница?
AK> Я вот полагаю, что это характеризует либо кривизну рук админа на том
AK> конце, либо вывих мозгов - админ, полагающий reverse dns "ненужными
AK> шашечками", вполне может полагать open relay на каждой машине своей сети
AK> нужным и полезным сервисом (а борьбу с ними - "ненужными шашечками",
AK> "есть же spamотсосин").
Hу щаз...
... Сеpвеp, не суетись под клиентом!
Slawa Olhovchenkov
24 Jan 04, Alex Korchmar writes to Slava Astashonok:
AK> ну, я бы, конечно, с удовольствием под зеленое знамя и мочить этих гадов,
AK> заодно с поклонниками X.400 и фидорасами, существование которых противно
AK> воле Аллаха, но увы - слишком стар и ленив.
AK> Поэтому я просто не принимаю почту с ихних машин своим сервером. Хотят -
AK> выпрямляют руки, не хотят - я переживу.
Только вот RFC-непомню-что про делегирование части обратной зоны ты не
понимаешь, в результате мне, с прямыми руками, пришлось писми к тебе через
третьи релеи засовывать. Хорошо подходящий нашелся.
... Шумы на линии обеспечил MoldTelecom
Eugene Grosbein
VN> Теперь осталось найти сеть, где рабочие места бюстгальтерии на честных
VN> адресах - и админа можно смело увольнять порвав при этом все его
VN> сертификаты.
Hу, у меня есть. По наследству досталась конфигурация...
Менять не стал (поважнее дела есть), пограничный firewall и все дела.
Самое смешное, что бухгалтера работают нормально (они делом заняты,
а не по сети шарашатся), а вот офисный виндовый админ/эникейщик...
Ему бы и серые адреса не помогли.
Eugene
--
"Люди забыли эту истину," - сказал Лис, - "но ты не забывай"
Denis V Klimkov
Friday January 23 2004 21:05, Alex Korchmar wrote to Slava Astashonok:
SA>> тему. Разве наличие или отсутствие обpатной зоны у отпpавителя c
AK> у relay отпpавителя. Совпадающей с пpямой.
SA>> содеpжимым письма как-нибудь коppелиpует? ;)
AK> да, коppелиpует. ~99.9% таких писем - спам или письма от виpусов.
99.9% писем вообще - спам или письма от виpусов. Это не показатель. Возьми спам
и письма от виpусов и посмотpи, какая часть из них пpишла от хостов с pевеpсом,
а какая без. Убедишься, что никакой коppеляции нет.
AK> попеp "microsoft security update" и я считать пеpестал) Hи одна
AK> известная мне пpовеpка иного pода столь хоpоший показатель не давала.
А по rbl пpобовал пpовеpять? Показатель гоpаздо лучше. Пpичем без pиска не
пpинять легитимную почту, в отличие от наличия/отсутствия pевеpса.
AK> Я вот полагаю, что это хаpактеpизует либо кpивизну pук админа на том
AK> конце, либо вывих мозгов - админ, полагающий reverse dns "ненужными
AK> шашечками",
В общем-то, в чем-то такой админ пpав. Шашечки это. Hужные или не очень -
дpугой вопpос.
И не всегда у админа есть возможность сделать pевеpс. Бывают pазные
администpативные замоpочки.
В общем, я уже понял, что ты можешь себе позволить не пpинимать легитимную
почту pуководствуясь pелигиозными чувствами. Это твоя почта и тебе виднее. Hо
остальным советовать еpунду не стоит.
\ Sincerely yours
\B-Q Denis
Artem Chuprina
SA>>> тему. Разве наличие или отсутствие обpатной зоны у отпpавителя c
AK>> у relay отпpавителя. Совпадающей с пpямой.
SA>>> содеpжимым письма как-нибудь коppелиpует? ;)
AK>> да, коppелиpует. ~99.9% таких писем - спам или письма от виpусов.
DVK> 99.9% писем вообще - спам или письма от виpусов.
Наглая статистика. Не больше 80%.
--
Artem Chuprina
RFC2822: <r...@ran.pp.ru>, FIDO: 2:5020/122.256, ICQ: 13038757
Alex Korchmar
SO> Только вот RFC-непомню-что про делегирование части обратной зоны ты не
SO> понимаешь, в результате мне, с прямыми руками, пришлось писми к тебе через
ты на 'forged' успел нарваться, что-ли? Так это глюк был.
На моей, личной, машине. Вроде, я его достаточно быстро удавил.
Или все же 550?
> Alex
Alex Korchmar
VN> Теперь осталось найти сеть, где рабочие места бюстгальтерии на
VN> честных адресах - и админа можно смело увольнять порвав при этом
ну, я знал аж две конторы ISP, у которых - на честных. (ну, было -
может с тех пор переделали) Собственно, и у меня тут были на честных,
а перестали по причинам, совершенно с секьюритью не связанным.
VN> security by obscurity - отличный, полезный, обязательный _вспомогательный_
он дает _видимость_, к которой постепенно привыкают, забывая, что на
самом деле такие большие, красивые и все из себя железные ворота стоят
посреди чиста поля, без прилагающегося к ним забора.
> Alex, раздумывая, не пересадить ли бухгалтерию на SNAT.
Alex Korchmar
DVK> А по rbl пpобовал пpовеpять? Показатель гоpаздо лучше. Пpичем без
не лучше. Правда, там адреса засвеченные, типа этого, эксперимент нечист.
DVK> pиска не пpинять легитимную почту, в отличие от наличия/отсутствия
с чего сделан такой далекоидущий вывод? Историю с попаданием в spews'овую
базу тутубалинской машины напомнить? Не исключаю и возможности появления
у нас клиента, живущего и в более разумных листах.
AK>> конце, либо вывих мозгов - админ, полагающий reverse dns "ненужными
AK>> шашечками",
DVK> В общем-то, в чем-то такой админ пpав. Шашечки это. Hужные или не очень -
ага. А вот троян на каждой машине - это полезная и нужная фича. В чем-то,
безусловно, такой админ тоже прав.
DVK> дpугой вопpос.
DVK> И не всегда у админа есть возможность сделать pевеpс. Бывают pазные
и не всегда у админа есть возможность истреблять троянов. Ну а мне оно
- интересно?
> Alex
Alex Korchmar
DVK>> 99.9% писем вообще - спам или письма от виpусов.
AC> Наглая статистика. Не больше 80%.
я думаю, это сильно зависит от email'а и от домена.
на [censored]@theatre.ru ситуация, по-моему, существенно хуже чем 99.9.
А еще у меня есть замечательный домен, на который (на несуществующие
адреса) 100% писем - спам. (кто-то когда-то, похоже, украл релкомовскую
базу uucp'шных логинов)
> Alex
Valentin Nechayev
>>> Alex Korchmar wrote:
VN>> Теперь осталось найти сеть, где рабочие места бюстгальтерии на
VN>> честных адресах - и админа можно смело увольнять порвав при этом
AK> ну, я знал аж две конторы ISP, у которых - на честных. (ну, было -
AK> может с тех пор переделали) Собственно, и у меня тут были на честных,
AK> а перестали по причинам, совершенно с секьюритью не связанным.
Ну случай файрволла не считаю. Ещё есть одна контора с честными адресами
где все макинтоши - за них не боюсь. Так что экстремальные варианты не в счёт.
VN>> security by obscurity - отличный, полезный, обязательный _вспомогательный_
AK> он дает _видимость_, к которой постепенно привыкают, забывая, что на
AK> самом деле такие большие, красивые и все из себя железные ворота стоят
AK> посреди чиста поля, без прилагающегося к ним забора.
Это всё-таки не тот случай. А вот мультик "Золотые ворота" более похож
на правду. Там, где уборщица протирает грязной тряпкой золотые слитки,
потом выходит через заднюю дверь с хлипким замком и ключом на косяке
и вылазит через дырку в заборе.
>> Alex, раздумывая, не пересадить ли бухгалтерию на SNAT.
А зачем вообще ей какая-то связь с миром?
-netch-
Mikkle V. Sokolov
Какая встpеча - Sergey!
<Пятница Январь 23 2004> Sergey Dolin wrote to Mikkle V Sokolov:
MVS>> И что, у тебя от этого сервера лучше работать стали?
SD> telnetd перестал задумываться, кто к нему в гости пришёл.
!!! telnetd !!! А вам не кажется, любезный, что нормальный telnetd одинаково
долго делает запрос к днс, вне зависимости от наличия/отсутсвия обратной зоны?
MVS>> Я вообще фигею, бекрезольв
MVS>> -- это же чисто шашечки,
SD> Вам сколько лет, мальчик?
хм, то, что вам ответить нечего -- еще не значит, что пора хамить. В любом
случае, уровень аргументов ясен...
See you in Never-Never Land, Sergey Dolin.
Alex Korchmar
AK>> ну, я знал аж две конторы ISP, у которых - на честных. (ну, было -
AK>> может с тех пор переделали) Собственно, и у меня тут были на честных,
AK>> а перестали по причинам, совершенно с секьюритью не связанным.
VN> Ну случай файрволла не считаю. Ещё есть одна контора с честными адресами
а тогда какая разница - бухгалтерия или не бухгалтерия?
Я гораздо больше манагеров боюсь. Даже несмотря на то, что у половины - маки.
Может я даже больше боюсь маков - незнакомый чорт вдвое страшнее знакомого,
а что дырок в аплиной псевдобзде на два порядка больше, чем в любом линухе -
к гадалке не ходи. И при этом она таки бздя - поимев такую машину, можно
располагаться на ней с большим удобством.
>>> Alex, раздумывая, не пересадить ли бухгалтерию на SNAT.
VN> А зачем вообще ей какая-то связь с миром?
icq, банки (https, хех!), может и мэйлы какие-то есть.
Вот недавно работающего манагера как-то нечаяно отрубил - так месяц
не было жалоб. А потом, видимо, проект сдали или он научился спать на
работе, или, что гораздо более вероятно, про icq ему какая-то сволочь
рассказала - заметил.
> Alex
Mikkle V. Sokolov
<Пятница Январь 23 2004> Alex Korchmar wrote to Slava Astashonok:
AK> А почему - в общем-то, какая разница?
AK> Я вот полагаю, что это характеризует либо кривизну рук админа на том
AK> конце, либо вывих мозгов - админ, полагающий reverse dns "ненужными
AK> шашечками", вполне может полагать open relay на каждой машине своей
AK> сети нужным и полезным сервисом (а борьбу с ними - "ненужными
AK> шашечками", "есть же spamотсосин").
open relays способствуют распросранению спама, а хосты без обратных зон --
нет..
То, что тебе спамеров так проще выявлять, чем настроить нормальную систему это
как бы и так понятно.
See you in Never-Never Land, Alex Korchmar.
Mikkle V. Sokolov
<Пятница Январь 23 2004> Constantin Stefanov wrote to Dmitry Miloserdov:
CS> перебрасывать с центрального сервера). А если есть прямая, то я не
CS> вижу ни одной причины, почему бы не сделать обратную (ну кроме вот
CS> того, про что писал выше - но это считаю слабым доводом).
а я должен делать это для того, чтобы PQ и компания входили в священный экстаз
от вида отрезольвленных хостов в логах? странная, однако же, это мотивация...
See you in Never-Never Land, Constantin Stefanov.
Alex Korchmar
AK>> сети нужным и полезным сервисом (а борьбу с ними - "ненужными
AK>> шашечками", "есть же spamотсосин").
MVS> open relays способствуют распросранению спама, а хосты без обратных зон --
"а в каком rfc сказано что конфигурировать систему так, что через нее
могут распространять спам - нехорошо?" - так сказать, возвращаю обратно
аргумент защитников кривых сетей.
MVS> То, что тебе спамеров так проще выявлять, чем настроить нормальную
мне так проще выявлять кривые сети с кривыми админами. То, что с них либо
идет спам, либо они не являются нашими клиентами или моими респондентами
- интересное побочное явление, но совершенно неудивительное.
MVS> систему это как бы и так понятно.
а вот почему некоторые наивно полагают неконтролируемый ими и неизвестно
кем неизвестно как поддерживаемый черный список незнамочего "нормальной
системой" - меня не перестает удивлять.
Ладно бы еще мой же аргумент использовали...
> Alex
Denis V Klimkov
Sunday January 25 2004 14:06, Artem Chuprina wrote to Denis V Klimkov:
SA>>>> содеpжимым письма как-нибудь коppелиpует? ;)
AK>>> да, коppелиpует. ~99.9% таких писем - спам или письма от
AK>>> виpусов.
DVK>> 99.9% писем вообще - спам или письма от виpусов.
AC> Hаглая статистика. Hе больше 80%.
У меня есть ящики, на котоpых 100% писем - спам. А есть те, на котоpых 100% -
не спам. Впpочем, сути дела это не меняет, никакой коppеляции между спамом и
обpатным pесолвингом нет.
\ Sincerely yours
\B-Q Denis
Spartak Radchenko
SA>> А ну вот. Формально пожелания высказываются в rfc1912.
YP>
YP> о, спасибо! вот теперь можно и шашечку на законных основаниях применять к
YP> любителям ездить без номеров - к ублюдкам-спаммерам, то бишь.
Допустим, все дружно напрягутся и пропишут обратную зону.
И что, спама сразу станет меньше? По твоей логике - да.
Раз спам магически связан с резолвингом обратной зоны,
то согласно принципу подобия... Ну, ты понял ;)
Правда, всех сразу не заставишь... О! Я придумал! Надо на
корневых серверах прописать wildcard для IN-ADDR.ARPA! :)
Заодно и rfc1912 автоматом удовлетворим.
--
Spartak Radchenko SVR1-RIPE
Mikkle V. Sokolov
Какая встpеча - Alex!
<Воскресенье Январь 25 2004> Alex Korchmar wrote to Mikkle V Sokolov:
MVS>> систему это как бы и так понятно.
AK> а вот почему некоторые наивно полагают неконтролируемый ими и
AK> неизвестно кем неизвестно как поддерживаемый черный список незнамочего
AK> "нормальной системой" - меня не перестает удивлять. Ладно бы еще мой
AK> же аргумент использовали...
Что это еще за список такой? Я признаю единственный способ фильтрации спама --
контент анализ. И пусть его хоть через open relay мне пришлют, хоть из зоны без
реверса, хоть голубями почтовыми...
See you in Never-Never Land, Alex Korchmar.
Dmitriy Dubinin
MVS> *** Ответ на письмо из арии NNL.ECHOMAIL.IN (NNL.ECHOMAIL.IN).
MVS> Какая встpеча - Alex!
MVS> Что это еще за список такой? Я признаю единственный способ фильтрации
MVS> спама --
MVS> контент анализ. И пусть его хоть через open relay мне пришлют, хоть из
MVS> зоны без
MVS> реверса, хоть голубями почтовыми...
Даже если расход трафика не беспокоит, канал забивается.
--
Dmitriy Dubinin
Valentin Nechayev
>>> Alex Korchmar wrote:
AK>>> сети нужным и полезным сервисом (а борьбу с ними - "ненужными
AK>>> шашечками", "есть же spamотсосин").
MVS>> open relays способствуют распросранению спама, а хосты без обратных зон --
AK> "а в каком rfc сказано что конфигурировать систему так, что через нее
AK> могут распространять спам - нехорошо?" - так сказать, возвращаю обратно
AK> аргумент защитников кривых сетей.
Ну вообще-то есть такой - 2505. Хотя это, как и требование резолвинга,
в значительно большей мере идёт не от RFC, а от нормативных документов
RIR'ов (в нашем случае - RIPE NCC). Не RFC'ей единой жива сеть;))
-netch-
Valentin Nechayev
>>> Spartak Radchenko wrote:
YP>> о, спасибо! вот теперь можно и шашечку на законных основаниях применять к
YP>> любителям ездить без номеров - к ублюдкам-спаммерам, то бишь.
SR> Допустим, все дружно напрягутся и пропишут обратную зону.
SR> И что, спама сразу станет меньше? По твоей логике - да.
SR> Раз спам магически связан с резолвингом обратной зоны,
SR> то согласно принципу подобия... Ну, ты понял ;)
SR> Правда, всех сразу не заставишь... О! Я придумал! Надо на
SR> корневых серверах прописать wildcard для IN-ADDR.ARPA! :)
SR> Заодно и rfc1912 автоматом удовлетворим.
Не удовлетворишь. Имя, полученное из адреса, должно соответствовать адресу.
-netch-
Valentin Nechayev
>>> Mikkle V. Sokolov wrote:
MVS>>> И что, у тебя от этого сервера лучше работать стали?
SD>> telnetd перестал задумываться, кто к нему в гости пришёл.
MVS> !!! telnetd !!! А вам не кажется, любезный, что нормальный telnetd одинаково
MVS> долго делает запрос к днс, вне зависимости от наличия/отсутсвия обратной зоны?
Одинаково делает - это да, а вот одинаково ли долго - точно нет.
MVS>>> Я вообще фигею, бекрезольв
MVS>>> -- это же чисто шашечки,
SD>> Вам сколько лет, мальчик?
MVS> хм, то, что вам ответить нечего -- еще не значит, что пора хамить. В любом
MVS> случае, уровень аргументов ясен...
А я присоедининюсь к его... мнэээ... хамству. Потому что ты действительно
несёшь убогую чушь...
-netch-
Igor Ivanov
> Надо на корневых серверах прописать wildcard для IN-ADDR.ARPA! :)
И gethostbyname(gethostbyaddr(ip)) совпадёт с ip? :-)
Меня всегда всерьёз беспокоило резкое
различие в восприятии до и после эякуляции.
Nicolas Rodionov
>>> Я вот не помню - в том треде упоминалась какая-то RFC-ка с
>>> рекомендацией/требованием иметь реверсную зону или мне показалось?
>>> Потому что мне такую найти не удалось.
SA>> А ну вот. Формально пожелания высказываются в rfc1912.
YP> о, спасибо! вот теперь можно и шашечку на законных основаниях применять к
YP> любителям ездить без номеров - к ублюдкам-спаммерам, то бишь.
Т.е. ты всех, у кого нет реверсной зоны, называешь ублюдками-спамерами?
* Hет такого злодея, который не сделал бы какого-нибудь добра / Гвиггардини
Nicolas Rodionov
CS> Да, но я держу прямую зону (да и GMX media, я думаю, тоже). Если нет
CS> прямой зоны, то почта работать не будет вообще (ну разве по IP ее
CS> перебрасывать с центрального сервера). А если есть прямая, то я не вижу
CS> ни одной причины, почему бы не сделать обратную (ну кроме вот того, про
CS> что писал выше - но это считаю слабым доводом).
Сделай мне обратную зону, если нет ни одной причины, типа голландцев,
отвечающих на одно из десяти писем и разводящих бесконечную бюрократию. Ты
готов мне помочь? Цены тебе не будет.
* Бойся дешевых похвал, прикрытых лисьей шкурой / Гораций
Constantin Stefanov
> CS> По-моему, это что-то вроде запрета на AXFR всей зоны. Просто перебрать
> CS> диапазон IP довольно просто, там найдутся имена вроде buhgalteria, там
> CS> наверняка винда, а вдруг ее забыли пропатчить или у девочки пароль
> CS> "qwerty"...
>
> Теперь осталось найти сеть, где рабочие места бюстгальтерии на честных
> адресах - и админа можно смело увольнять порвав при этом все его сертификаты.
Ну хорошо, не бухгалтерия. Секретарь директора. У нее почта
директорская. И далеко не всегда админы дожимают свое управление такими
машинами до приемлемого уровня, к сожалению.
> А для DNS частных сетей есть отдельные зоны или view в BIND9.
Вот где уж обратная зона, на мой взгляд, совсем не обязательна, так это
в частной сетке. Если оттуда почта пойдет на мой релей, то я этой сетке
разрешу ее релеить и так, а на чужие и нефиг ходить (тем более что все
ранвно без NAT или прокси далеко не уйдешь).
> CS> Короче, люди хотят давать компам смысловые имена, но при
> CS> этом не хотят, чтобы другие могли узнать эти смыслы. Определнный резон в
> CS> этом, наверное, есть, но, по-моему, это все security by obscurity, т.е.
> CS> одна видимость.
>
> security by obscurity - отличный, полезный, обязательный _вспомогательный_
> механизм защиты. Он не даст того же результата как хлопец с АКМ на входе,
> но тому хлопцу окажет существенную помощь, будучи правильно применён.
> Не надо утверждать, что это "одна видимость", это позиция дальтоника.
На мой взгляд - действительно видимость. Ибо если есть файрволл - так
пусть знают имена - не поможет. А если нет - то можно сканировать все
подряд, пока не найдешь искомое. Хотя как вспомогательный механизм -
таки да, хорош. Хотя в данном конкретном случае мне кажется, что вреда
от него больше, чем пользы.
--
Константин Стефанов
Constantin Stefanov
> CS> перебрасывать с центрального сервера). А если есть прямая, то я не
> CS> вижу ни одной причины, почему бы не сделать обратную (ну кроме вот
> CS> того, про что писал выше - но это считаю слабым доводом).
>
> а я должен делать это для того, чтобы PQ и компания входили в священный экстаз
> от вида отрезольвленных хостов в логах? странная, однако же, это мотивация...
Нет, конечно. Лично мне удобнее в моих логах видеть, кто там чего делал,
а имя мне запомнить сильно легче, чем кому какой адрес выдан. А насчет
выставлять наружу - дело личное. Хотя лично я отношусь с подозрением,
если что-то происходит странное с адреса без обратной зоны. И отношение
может быть другое.
--
Константин Стефанов
Constantin Stefanov
> CS> Да, но я держу прямую зону (да и GMX media, я думаю, тоже). Если нет
> CS> прямой зоны, то почта работать не будет вообще (ну разве по IP ее
> CS> перебрасывать с центрального сервера). А если есть прямая, то я не вижу
> CS> ни одной причины, почему бы не сделать обратную (ну кроме вот того, про
> CS> что писал выше - но это считаю слабым доводом).
>
> Сделай мне обратную зону, если нет ни одной причины, типа голландцев,
> отвечающих на одно из десяти писем и разводящих бесконечную бюрократию. Ты
> готов мне помочь? Цены тебе не будет.
С голландцами не общался - это да. Но бюрократизм голландцев не имеет
никакого отношения к безопасности. Ты, кажется, немного пропустил. Я
говорю, что не вижу ни одной причины, почему бы не сделать обратную -
именно я, в моей ситуации. Если тебе мешают бюрократические препоны, и
проблемы, которые могут возникнуть из-за отсутствия обратной зоны (а они
изредка возникают, хоть ты и считаешь, что люди, их создающие, не
правы), тебе легче обойти, чем потратить время на согласования с
бюрократами - да, это аргумент, согласен. Но у меня таких проблем еще не
бывало.
--
Константин Стефанов
Valentin Nechayev
>>> Constantin Stefanov wrote:
CS>> По-моему, это что-то вроде запрета на AXFR всей зоны. Просто перебрать
CS>> диапазон IP довольно просто, там найдутся имена вроде buhgalteria, там
CS>> наверняка винда, а вдруг ее забыли пропатчить или у девочки пароль
CS>> "qwerty"...
>> Теперь осталось найти сеть, где рабочие места бюстгальтерии на честных
>> адресах - и админа можно смело увольнять порвав при этом все его сертификаты.
CS> Ну хорошо, не бухгалтерия. Секретарь директора. У нее почта
CS> директорская. И далеко не всегда админы дожимают свое управление такими
CS> машинами до приемлемого уровня, к сожалению.
До такого, чтобы для секретарши сработал простой NAT? Это уже несерьёзно.
>> А для DNS частных сетей есть отдельные зоны или view в BIND9.
CS> Вот где уж обратная зона, на мой взгляд, совсем не обязательна, так это
CS> в частной сетке. Если оттуда почта пойдет на мой релей, то я этой сетке
CS> разрешу ее релеить и так, а на чужие и нефиг ходить (тем более что все
CS> ранвно без NAT или прокси далеко не уйдешь).
Зона делается хотя бы просто для того, чтобы намед не думал полчаса, когда
у него попросят ответ на такой адрес. Если она будет пустой - пофиг.
Лишь бы была.
>> security by obscurity - отличный, полезный, обязательный _вспомогательный_
>> механизм защиты. Он не даст того же результата как хлопец с АКМ на входе,
>> но тому хлопцу окажет существенную помощь, будучи правильно применён.
>> Не надо утверждать, что это "одна видимость", это позиция дальтоника.
CS> На мой взгляд - действительно видимость. Ибо если есть файрволл - так
CS> пусть знают имена - не поможет. А если нет - то можно сканировать все
CS> подряд, пока не найдешь искомое. Хотя как вспомогательный механизм -
CS> таки да, хорош. Хотя в данном конкретном случае мне кажется, что вреда
CS> от него больше, чем пользы.
Ну какой вред, если до некоторых тазиков просто нельзя добраться извне?
Какое бы имя ни подставлял.
-netch-
Spartak Radchenko
SR>> корневых серверах прописать wildcard для IN-ADDR.ARPA! :)
SR>> Заодно и rfc1912 автоматом удовлетворим.
Без проблем :) В обратной зоне:
*.IN-ADDR.ARPA IN PTR nikogo.net.
В прямой зоне:
nikogo.net IN A 1.1.1.1
1.1.1.2
1.1.1.3
......
И так далее.
--
Spartak Radchenko SVR1-RIPE
Spartak Radchenko
II> Spartak Radchenko шутит:
>> Надо на корневых серверах прописать wildcard для IN-ADDR.ARPA! :)
II> И gethostbyname(gethostbyaddr(ip)) совпадёт с ip? :-)
Легко! Ведь одному доменному имени может соответствовать несколько
IP. Правда, тут их будет побольше, чем несколько :)
--
Spartak Radchenko SVR1-RIPE
Ilya Kulagin
DVK> В общем-то, в чем-то такой админ пpав. Шашечки это. Hужные или не очень -
DVK> дpугой вопpос.
Hужные. Hапример, для скачивания некоторого софта пригождаются. Кстати, я не в
курсе, ftp.gamma.ru уже начал без обратной зоны анонимусов пускать или нет? Hо
это так, реплика в сторону.
DVK> И не всегда у админа есть возможность сделать pевеpс. Бывают pазные
DVK> администpативные замоpочки.
Заморочка бывает ровно одна. Когда провайдер даёт блок адресов, меньший сети
класса C, делегирование частичной зоны или как там его правильно по-русски
назвать не поддерживает хронически, а на письмо в NOC "ну тогда напишите хоть
что-нибудь" отвечает, что ему лень и недосуг. В результате из трёх моих блоков
адресов обратная зона прописана только у одного. Почту оттуда и отправляю, бо
ещё два месяца тому почту с релея без обратной зоны посылал лесом такой сервис,
например, как mail.yandex.ru.
2 AK: Hу и сволочи ж эти самые books.ru. Снаружи пишут, мол, есть, а внутри -
"нету и закончилось". Балин. Остаётся 4-го издания ждать. Раз первые три
разошлись, как пирожки - скорее всего, не заставит себя долго ждать...
Примите уверение в совершеннейшем к Вам почтении
/kiv
quotd: Я знаю джиу-джитсу, самбо, дзюдо, айкидо и много дpугих стpашных слов.
Constantin Stefanov
> VN>
> SR>> О! Я придумал! Надо на
> SR>> корневых серверах прописать wildcard для IN-ADDR.ARPA! :)
> SR>> Заодно и rfc1912 автоматом удовлетворим.
> VN> Не удовлетворишь. Имя, полученное из адреса, должно соответствовать адресу.
>
> Без проблем :) В обратной зоне:
>
> *.IN-ADDR.ARPA IN PTR nikogo.net.
>
> В прямой зоне:
>
> nikogo.net IN A 1.1.1.1
> 1.1.1.2
> 1.1.1.3
> ......
А теперь прикинь, сколько ты заплатишь после того, как попытаешься
отрезолвить этот nikogo.net (Если, конечно, найдется сервер, который
сможет сожрать такую зону).
--
Константин Стефанов
Andrew Filonov
AK> гм. Ну и причем тут, простите? Я вот не использую на релее ни
AK> rbl, ни sender verify, полагая оба весьма подозрительными, а
AK> второй и откровенно опасной технологией.
Об опасности sender verify поподробнее плииз.
--
Andrew E. Filonov
Speak softly and own a big, mean doberman.
Slava Astashonok
> SA> Вот по данным моего почтаря (весьма засвеченного, принимающего почту для
> SA> десятка доменов), которые я вяло демонстрировал в прошлый раз, у 99%
> SA> отвергнутых (rbl-ем, exim-овским sender verify и drweb-ом) отправителей
При том, что всё зависит от цели, которую нужно достичь. Если она
заключается в фильтрации спама, то для меня абсолютно очевидно, что
блокирование писем с адресов без обратной зоны не приносит хоть
сколько-нибудь ощутимой пользы.
> Я вот не использую на релее ни rbl, ни sender verify, полагая оба весьма
> подозрительными, а второй и откровенно опасной технологией.
Мне вспонилась "ничья бабушка". "Она, как известно, жгла на своей
антресоли керосин, так как не доверяла электричеству." ;)
> И drweb не
> пользую по разным причинам (собственно, основная - что мне хотелось бы
> выкидывать мусорную почту на внешнем релее, а не тащить ее заботливо
> туда, где ее будет проверять антивирус, оплачивая траффик за ее прием
> и пересылку отлупов туда-сюда).
Что мешает запустить антивирус на внешнем релее и отвечать
вирусослателям 5xx сразу по завершении DATA?
--
All constants are variables.
Slawa Olhovchenkov
25 Jan 04, Alex Korchmar writes to Slawa Olhovchenkov:
SO>> Только вот RFC-непомню-что про делегирование части обратной зоны ты не
SO>> понимаешь, в результате мне, с прямыми руками, пришлось писми к тебе
SO>> через
AK> ты на 'forged' успел нарваться, что-ли? Так это глюк был.
AK> Hа моей, личной, машине. Вроде, я его достаточно быстро удавил.
AK> Или все же 550?
Вот уж не помню что было, но нарвался. Hа домен e-moe.ru. В середине декабря. А
логи я такие давнишние не храню :)
... Засуньте подальше ваше сообщение об ошибках.
Nicolas Rodionov
>> Сделай мне обратную зону, если нет ни одной причины, типа голландцев,
>> отвечающих на одно из десяти писем и разводящих бесконечную бюрократию.
>> Ты готов мне помочь? Цены тебе не будет.
CS> С голландцами не общался - это да. Hо бюрократизм голландцев не имеет
CS> никакого отношения к безопасности. Ты, кажется, немного пропустил. Я
CS> говорю, что не вижу ни одной причины, почему бы не сделать обратную -
CS> именно я, в моей ситуации.
Ага. И поэтому ты считаешь, что все остальные, кто по каким-то причинам не
может сделать обратную зону, являются спамерами?
CS> Если тебе мешают бюрократические препоны, и проблемы, которые могут
CS> возникнуть из-за отсутствия обратной зоны
CS> (а они изредка возникают, хоть ты и считаешь, что люди, их создающие,
CS> не правы),
В том. что они неправы, нет никаких сомнений.
CS> тебе легче обойти, чем потратить время на согласования с
CS> бюрократами - да, это аргумент, согласен. Hо у меня таких проблем еще
CS> не бывало.
Конечно, легче. Уже четвертый год переписки, если ее можно так назвать, пошел.
Если не больше. А воз и ныне там.
* С души не снимет камня ложь, как слово правды сделать может / Гете
Nick Gazaloff
Slava Astashonok <s...@0n.ru> wrote:
> > И drweb не
> > пользую по разным причинам (собственно, основная - что мне хотелось бы
> > выкидывать мусорную почту на внешнем релее, а не тащить ее заботливо
> > туда, где ее будет проверять антивирус, оплачивая траффик за ее прием
> > и пересылку отлупов туда-сюда).
>
> Что мешает запустить антивирус на внешнем релее и отвечать
> вирусослателям 5xx сразу по завершении DATA?
А трафик?
--
Best regards,
Nick
(GPG Key ID: 4396B2D0, fingerprint: 648E C3FE ACF6 A730 FF52 D717 776D
1CB0 4396 B2D0)
Constantin Stefanov
> >> Сделай мне обратную зону, если нет ни одной причины, типа голландцев,
> >> отвечающих на одно из десяти писем и разводящих бесконечную бюрократию.
> >> Ты готов мне помочь? Цены тебе не будет.
> CS> С голландцами не общался - это да. Hо бюрократизм голландцев не имеет
> CS> никакого отношения к безопасности. Ты, кажется, немного пропустил. Я
> CS> говорю, что не вижу ни одной причины, почему бы не сделать обратную -
> CS> именно я, в моей ситуации.
>
> Ага. И поэтому ты считаешь, что все остальные, кто по каким-то причинам не
> может сделать обратную зону, являются спамерами?
зоны, но недели через две прибил ее. Сейчас я так не делаю.
В данном треде я только утверждал, что не вижу серьезных причин,
связанных с безопасностью, понуждающих при наличии возможности сделать
обратную зону, отказываться от этого. Единственную причину, которую смог
придумать, я привел.
> CS> Если тебе мешают бюрократические препоны, и проблемы, которые могут
> CS> возникнуть из-за отсутствия обратной зоны
> CS> (а они изредка возникают, хоть ты и считаешь, что люди, их создающие,
> CS> не правы),
>
> В том. что они неправы, нет никаких сомнений.
У меня есть, но в данном случае я предпочитаю пропустить лишний спам,
чем отсеять номральную почту, по крайней мере, в тех пропорциях, в
которых это происходит при данном методе фильтрации. Хотя основной вой
на тему неходящей почты у нас поднял один [censored], который не получал
спама вообще, и вел переписку с единственным адресом, который не имелд
reverse dns. Естественно, он потерял 100% почты. Других воплей почти не
было слышно. Хотя, справедливости ради, я предлагал тому человеку
сделать исключение либо для его адреса, либо для того релея. И потом мы
на этом сошлись. Без таких механизмов исключений такую фильтрацию
запускать, по-моему, нельзя. Но его выступления меня настолько достали,
что потом я после уже следующей просьбу разобраться, почему не доходит
почта от какого-то кривого рассыльщика, просто отключил эту проверку.
Правда, почта от того рассыльщика ходить от этого не стала - у него
оказался Non FQDN HELO, а эту проверку я отключать не буду - она точно
режет в основном спам (да и регламентирована RFC).
> CS> тебе легче обойти, чем потратить время на согласования с
> CS> бюрократами - да, это аргумент, согласен. Hо у меня таких проблем еще
> CS> не бывало.
>
> Конечно, легче. Уже четвертый год переписки, если ее можно так назвать, пошел.
> Если не больше. А воз и ныне там.
Сочувствую.
Правда, я и сечас понимаю, что есть люди, которые не имеют обратной зоны
по нетехническим причинам. Но вот людей, которые не делают этого при
наличии возможности - не понимаю.
--
Константин Стефанов
Spartak Radchenko
>>
>> Без проблем :) В обратной зоне:
>>
>> *.IN-ADDR.ARPA IN PTR nikogo.net.
>>
>> В прямой зоне:
>>
>> nikogo.net IN A 1.1.1.1
>> 1.1.1.2
>> 1.1.1.3
>> ......
CS> отрезолвить этот nikogo.net (Если, конечно, найдется сервер, который
CS> сможет сожрать такую зону).
Ты решил, что я и впрямь собрался применять это на практике?
--
Spartak Radchenko SVR1-RIPE
Constantin Stefanov
>>>Без проблем :) В обратной зоне:
>>>
>>>*.IN-ADDR.ARPA IN PTR nikogo.net.
>>>
>>>В прямой зоне:
>>>
>>>nikogo.net IN A 1.1.1.1
>>> 1.1.1.2
>>> 1.1.1.3
>>> ......
>
> CS> А теперь прикинь, сколько ты заплатишь после того, как попытаешься
> CS> отрезолвить этот nikogo.net (Если, конечно, найдется сервер, который
> CS> сможет сожрать такую зону).
>
> Ты решил, что я и впрямь собрался применять это на практике?
Да нет, конечно. Но порой самые абсурдные идеи находят себе место в
сердцах. Вот я и решил эту довести до, так сказать, конца, чтоб никто
потом не начал вопить "а почему так действительно не сделано".
--
Константин Стефанов
Roman Bondarev
Monday, January 26, 2004, 10:45:09 AM, you wrote:
IK> Заморочка бывает ровно одна. Когда провайдер даёт блок
IK> адресов, меньший сети класса C,
IK> делегирование частичной зоны или как там его правильно
IK> по-русски назвать не поддерживает
IK> хронически, а на письмо в NOC "ну тогда напишите хоть
IK> что-нибудь" отвечает, что ему лень
гнилые отмазки. там делов на пару минут. в RFC про classless сети был
даже дан рецепт приготовления подобноой обратной зоны для named'а.
--
Best regards,
Roman Bondarev aka POMAH mailto:po...@kemsu.ru
Slava Astashonok
> On Mon, 26 Jan 2004 10:24:02 +0000 (UTC)
> Slava Astashonok <s...@0n.ru> wrote:
>
>
>>>И drweb не
>>>пользую по разным причинам (собственно, основная - что мне хотелось бы
>>>выкидывать мусорную почту на внешнем релее, а не тащить ее заботливо
>>>туда, где ее будет проверять антивирус, оплачивая траффик за ее прием
>>>и пересылку отлупов туда-сюда).
>>
>>Что мешает запустить антивирус на внешнем релее и отвечать
>>вирусослателям 5xx сразу по завершении DATA?
>
> А трафик?
Я знаю только одно красивое решение - какой-нибудь unlimited тариф ;)
Конечно, теоретически, вирус можно засечь без получения письма целиком,
но всё что можно сделать - это оборвать соединение, после чего нет ни
какой гарантии, что вирусослатель не повторит свою попытку. Вопрос в
том, что нам делать дальше. Можно забанить этот ip (на какой срок?),
снова проверять письмо на вирус (при настырном отправителе мы рискуем
ещё больше накрутить трафик), или ещё до DATA как-то попытаться угадать,
что нам снова будут слать вирус (вопрос - как не ошибиться?).
--
...I multi-task, I read in the bathroom.
Andrew Filonov
>> > И drweb не > пользую по разным причинам (собственно, основная -
>> что мне хотелось бы > выкидывать мусорную почту на внешнем релее,
>> а не тащить ее заботливо > туда, где ее будет проверять антивирус,
>> оплачивая траффик за ее прием > и пересылку отлупов туда-сюда).
>>
>> Что мешает запустить антивирус на внешнем релее и отвечать
>> вирусослателям 5xx сразу по завершении DATA?
NG> А трафик?
А тут без вариантов - разве что игнорировать соединения от совсем уж
наглых вирусорассылателей.
--
Andrew E. Filonov
The more elaborate and costly the equipment, the greater
the chance of having to stop at the fish market
on the way home.
Denis V Klimkov
Monday January 26 2004 10:45, Ilya Kulagin wrote to Denis V Klimkov:
DVK>> В общем-то, в чем-то такой админ пpав. Шашечки это. Hужные или
DVK>> не очень - дpугой вопpос.
IK> Hужные. Hапpимеp, для скачивания некотоpого софта пpигождаются.
IK> Кстати, я не в куpсе, ftp.gamma.ru уже начал без обpатной зоны
IK> анонимусов пускать или нет? Hо это так, pеплика в стоpону.
А каким боком pевеpс к скачиванию софта? Какой пpотокол скачивания софта не
pаботает без pевеpса?
DVK>> И не всегда у админа есть возможность сделать pевеpс. Бывают
DVK>> pазные администpативные замоpочки.
IK> Замоpочка бывает pовно одна. Когда пpовайдеp даёт блок адpесов,
IK> меньший сети класса C,
Если бы только одна. :(
\ Sincerely yours
\B-Q Denis
Ilya Kulagin
IK>> Hужные. Hапpимеp, для скачивания некотоpого софта пpигождаются.
IK>> Кстати, я не в куpсе, ftp.gamma.ru уже начал без обpатной зоны
IK>> анонимусов пускать или нет? Hо это так, pеплика в стоpону.
DVK> А каким боком pевеpс к скачиванию софта? Какой пpотокол скачивания софта
DVK> не pаботает без pевеpса?
Hе протокол, а сервис. Hапример, на ftp.gamma.ru. Hапример, на fwtk.org.
Кстати, no form of redistribution is allowed, это если кто найдётся знающий про
filesearch.ru. И так далее, примеры есть и ещё.
DVK> Если бы только одна. :(
Что, регистрация в RIPE стала за последние 5 лет, пока я её не проходил,
проблемной? О, ужас. Куда катится этот мир...
Примите уверение в совершеннейшем к Вам почтении
/kiv
quotd: Кому-то мил портвейн, кому милей трава...
Ilya Kulagin
IK>> хронически, а на письмо в NOC "ну тогда напишите хоть
IK>> что-нибудь" отвечает, что ему лень
RB> гнилые отмазки. там делов на пару минут. в RFC про classless сети был
RB> даже дан рецепт приготовления подобноой обратной зоны для named'а.
Я знаю, что гнилые. Hо против аргумента "лень" не канает.
Разжёвываю. Мне сегодня не лень. "Приготовить" - это ж тоже надо файлы править.
А именно, вносить в них записи типа IN NS и IN CNAME. У того named-а, который в
RIPE записан. То, что я своему собственному named-у чего-то такого написал,
никакой реальной силы для моих корреспондентов не имеет. До той поры, пока их
named (точнее, resolver, но хрен редьки не слаще, хоть и длиннее) про это не
узнает. А узнает он от ARIN. Где зарегистрирован RIPE. Где зарегистрирован
named моего провайдера. Где никаких записей в обратной зоне нет вообще. А
зарегистрирован он (а не я) потому, что сеть класса C зарегистрирована. У
провайдера. А мне добрый провайдер дал подсеть. Которую, конечно, можно тоже
зарегистрировать, но счастья это не принесёт. Потому, что named (точнее,
resolver, но я об этом уже говорил) всё равно за сетью класса C пойдёт.
Так - понятнее?
P.S. Чтобы подробнее поглядеть, как оно функционирует, достаточно сказать
nslookup -type=SOA xxx.yyy.zzz.ttt.in-addr.arpa.
(не забыть, что цифры пишутся в обратном порядке) и подумать над результатом.
Примите уверение в совершеннейшем к Вам почтении
/kiv
quotd: Пора расставить точки над "ё"
Eugene B. Berdnikov
MVS> Что это еще за список такой? Я признаю единственный способ фильтрации спама --
MVS> контент анализ. И пусть его хоть через open relay мне пришлют, хоть из зоны без
MVS> реверса, хоть голубями почтовыми...
Пришлют, пришлют. За твои же деньги.
И булькать хлебальником в анализации контента придется тоже за свои.
--
Eugene Berdnikov
Yuri PQ
Ку!
[040123] Denis V Klimkov (2:450/8) ─> Yuri PQ (2:5010/2.2)
YP>> о, спасибо! вот тепеpь можно и шашечку на законных основаниях
YP>> пpименять к любителям ездить без номеpов - к ублюдкам-спаммеpам,
YP>> то бишь.
DK> Хм. Во-пеpвых там высказываются именно пожелания, но не
DK> обязательность. Во-втоpых, какое отношение имеют спамеpы к pевеpсу?
я не могу считать нормальной попытку соединения с адреса, не имеющего
прописанной обратной зоны. ты в квартиру тоже всех подряд пускаешь?
Ку! 8*{PQ}
Yuri PQ
Ку!
[040123] Denis V Klimkov (2:450/8) ─> Yuri PQ (2:5010/2.2)
YP>> ну ладно, не совсем без номеpов, а с самодельными наклейками типа
YP>> "свадьба"...
DK> Т.е. ты считаешь такие самодельные наклейки (pевеpсные записи) злом?
DK> Почему? Они ведь не отменяют госномеpов (whois). Только дополняют. И
DK> это может быть полезно.
где ты видел "дополняющие" наклейки у спаммеров?!
Ку! 8*{PQ}
Valentin Davydov
> <Mikkle.V...@p1069.f1069.n5030.z2.fidonet.org>
> Date: Mon, 26 Jan 2004 02:18:30 +0300
>
>Я признаю единственный способ...
Тем самым ты только ограничиваешь свои возможности.
Вал. Дав.
Valentin Davydov
> Date: Sun, 25 Jan 2004 16:16:14 +0000 (UTC)
>
> DVK>> 99.9% писем вообще - спам или письма от виpусов.
>AC> Наглая статистика. Не больше 80%.
>я думаю, это сильно зависит от email'а и от домена.
>на [censored]@theatre.ru ситуация, по-моему, существенно хуже чем 99.9.
>
>А еще у меня есть замечательный домен, на который (на несуществующие
>адреса) 100% писем - спам. (кто-то когда-то, похоже, украл релкомовскую
>базу uucp'шных логинов)
Не украл, а честно взял MXы из зоны DNS.
Вал. Дав.
Valentin Davydov
>
> MVS>> И что, у тебя от этого сервера лучше работать стали?
> SD> telnetd перестал задумываться, кто к нему в гости пришёл.
>
>!!! telnetd !!! А вам не кажется, любезный, что нормальный telnetd одинаково
>долго делает запрос к днс, вне зависимости от наличия/отсутсвия обратной зоны?
Запрос - да. А вот ответа дожидается таки по-разному долго.
Вал. Дав.
Valentin Davydov
> Date: Fri, 23 Jan 2004 11:38:53 +0000 (UTC)
>
>> Самый шедевральный ответ пришел из английской фирмы GMX Media:
>> "Мы не можем включить у себя обратный ресолвинг, т.к. это сделает наши сервер
>а
>> доступными хакерам и спаммерам". Я отстал от жизни и обратный ресолвинг - это
>> уже не модно или где-то вскрылись супер-дыры в DNS -серверах при обработке
>> обратных зон?
>По-моему, это что-то вроде запрета на AXFR всей зоны. Просто перебрать
А вот у меня обратная зона выглядит так:
1 PTR ip001.domain
2 PTR ip002.domain
..
254 PTR ip254.domain
Вал. Дав.
Victor Sudakov
>
> DVK> В общем-то, в чем-то такой админ пpав. Шашечки это. Hужные или не очень -
> DVK> дpугой вопpос.
>
> Hужные. Hапример, для скачивания некоторого софта пригождаются.
> Кстати, я не в курсе, ftp.gamma.ru уже начал без обратной зоны
> анонимусов пускать или нет? Hо это так, реплика в сторону.
Давно хотел узнать, но стеснялся спросить. В чем смысл непускания на
FTP анонимусов без обратной зоны?
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
Igor Ivanov
>> диапазон IP довольно просто, там найдутся имена вроде buhgalteria,
Valentin Davydov пишет:
> А вот у меня обратная зона выглядит так: ip001.domain .. ip254.domain
Рекомендую odin, dva, ... dvestipiatdesiatchetyre :-)
В этом случае не сработает регулярное выражение \d{1,3}.
Меня всегда всерьёз беспокоило резкое
различие в восприятии до и после эякуляции.
Igor Ivanov
Victor Sudakov пишет:
> В чём смысл непускания на FTP анонимусов без обратной зоны?
Чтобы имя можно было записать в лог, или
сопоставить с регулярным выражением :-)
Плагиат использует авторские идиомы, уничтожает
ложные мысли, заменяет ложное правильным.
Spartak Radchenko
VS>
VS> Давно хотел узнать, но стеснялся спросить. В чем смысл непускания на
VS> FTP анонимусов без обратной зоны?
Как я понимаю, чисто воспитательная мера. Кстати, я когда-то грязно
матерился по этому поводу. Свежепроложенная сеть, ещё нет никакого
DNS. Дистрибутива FreeBSD тоже нет, есть только компьютер, куда
надо поставить систему и поднять DNS и прочее. Дальше объяснять?
Хорошо, что не на всех зеркалах freebsd.org такие принципиальные
админы, как на gamma.ru ;)
--
Spartak Radchenko SVR1-RIPE
Eugene Grosbein
VS> Давно хотел узнать, но стеснялся спросить. В чем смысл непускания на
VS> FTP анонимусов без обратной зоны?
IMHO, чисто воспитательная функция.
Eugene
--
"Люди забыли эту истину," - сказал Лис, - "но ты не забывай"
Mikkle V. Sokolov
<Понедельник Январь 26 2004> Valentin Nechayev wrote to Mikkle V Sokolov:
MVS>> telnetd одинаково долго делает запрос к днс, вне зависимости от
MVS>> наличия/отсутсвия обратной зоны?
VN> Одинаково делает - это да, а вот одинаково ли долго - точно нет.
ничего, что я разницы на глазок не вижу? мне как бы не шашечки, я повторяю.
Хост без обратной зоны резольвинг не тормозит -- и ладно.
MVS>> хм, то, что вам ответить нечего -- еще не значит, что пора
MVS>> хамить. В любом случае, уровень аргументов ясен...
VN> А я присоедининюсь к его... мнэээ... хамству. Потому что ты
VN> действительно несёшь убогую чушь...
Hу прямо так вот и убогую? Мне вот байки про telnetd видятся во сто крат более
убогой чушью, нежели то, что кто-то может больше чем я ценить содержание писем.
И гораздо менее -- расходы на получение этих писем.
See you in Never-Never Land, Valentin Nechayev.
Mikkle V. Sokolov
<Понедельник Январь 26 2004> Victor Sudakov wrote to Ilya Kulagin:
>> Кстати, я не в курсе, ftp.gamma.ru уже начал без обратной зоны
>> анонимусов пускать или нет? Hо это так, реплика в сторону.
VS> Давно хотел узнать, но стеснялся спросить. В чем смысл непускания на
VS> FTP анонимусов без обратной зоны?
ты что! это точно хакиры и прочие асоциальные элементы...
See you in Never-Never Land, Victor Sudakov.
Mikkle V. Sokolov
<Понедельник Январь 26 2004> Dmitriy Dubinin wrote to Mikkle V. Sokolov:
MVS>> фильтрации спама -- контент анализ. И пусть его хоть через open
MVS>> relay мне пришлют, хоть из зоны без реверса, хоть голубями
MVS>> почтовыми...
DD> Даже если расход трафика не беспокоит, канал забивается.
Так у нас как бы канал для почты, а не наоборот.
See you in Never-Never Land, Dmitriy Dubinin.
Mikkle V. Sokolov
<Понедельник Январь 26 2004> Eugene B. Berdnikov wrote to Mikkle V Sokolov:
MVS>> Что это еще за список такой? Я признаю единственный способ
MVS>> фильтрации спама -- контент анализ. И пусть его хоть через open
MVS>> relay мне пришлют, хоть из зоны без реверса, хоть голубями
MVS>> почтовыми...
EB> Пришлют, пришлют. За твои же деньги.
А тебе что-то шлют за "чужие" деньги? :-) Смешно, ей богу.
EB> И булькать хлебальником в анализации контента придется тоже за свои.
Вот это оставьте себе, ежели не булькать не в состоянии.
See you in Never-Never Land, Eugene B. Berdnikov.
Mikkle V. Sokolov
<Понедельник Январь 26 2004> Valentin Davydov wrote to Mikkle V. Sokolov:
>> Я признаю единственный способ...
VD> Тем самым ты только ограничиваешь свои возможности.
увы и ах, все мы не совершенны...
See you in Never-Never Land, Valentin Davydov.
Denis V Klimkov
Monday January 26 2004 16:15, Ilya Kulagin wrote to Denis V Klimkov:
DVK>> А каким боком pевеpс к скачиванию софта? Какой пpотокол
DVK>> скачивания софта не pаботает без pевеpса?
IK> Hе пpотокол, а сеpвис. Hапpимеp, на ftp.gamma.ru.
Дык, впpавить админам этих сеpвисов мозги? Если за сеpвис деньги плачены, то
сеpвис должен pаботать. А вот pевеpс не должен, pевеpс всего лишь pекомендован.
DVK>> Если бы только одна. :(
IK> Что, pегистpация в RIPE стала за последние 5 лет, пока я её не
IK> пpоходил, пpоблемной? О, ужас. Куда катится этот миp...
Hе знаю, навеpное. LIR, котоpый мне адpеса выделил, говоpит, что да.
\ Sincerely yours
\B-Q Denis
Alex Korchmar
IK> Заморочка бывает ровно одна. Когда провайдер даёт блок адресов,
IK> меньший сети класса C, делегирование частичной зоны или как там его
тебе цельную 'C' с ALLOCATED PA и отсутствующим реверсом показать?
или на слово поверишь, что и это не редкость? (и /19 тоже бывают)
IK> назвать не поддерживает хронически, а на письмо в NOC "ну тогда
IK> напишите хоть что-нибудь" отвечает, что ему лень и недосуг. В
'F' manager@этотпровайдер.tut
Если за ТАКОЙ ответ этот NOC не выебут поголовно - валить от такого
провайдера бегом - ты ему "у меня канал лег", а он тебе так же и
ответит. Но скорее всего таки выебут.
Обычно все же стараются отделаться какой-нибудь более-менее правдоподобной
брехней, почему именно этот сервис у них ну никак не реализуем. (по правде
говоря, им таки лень и недосуг - так же как и тем, у кого 'ALLOCATED' хрен
знает что, где живут хрен знает кто. И я этих хренов заношу не в блэклист,
а в файрвол, и другим посоветую. Поумнеют - заставят своего провайдера
почесаться лишний разок.)
> Alex
Alex Korchmar
VS> Давно хотел узнать, но стеснялся спросить. В чем смысл непускания на
VS> FTP анонимусов без обратной зоны?
а в том же самом - badly administrated network.
Скорее всего и жалобы на поведение этих анонимусов в этой сети отправят
лесом.
> Alex
Alex Korchmar
IK> Что, регистрация в RIPE стала за последние 5 лет, пока я её не проходил,
IK> проблемной? О, ужас. Куда катится этот мир...
вообще-то да. ripe сейчас сильно жадничает. В частности потому, что процедуры
от'ема однажды выданных адресов не имеет. Похоже, самому сделаться LIR
ничуть не сложнее, чем несчастные /25 пробить.
Конечно, то и другое вопрос лишь потраченного времени и терпения - но
если люди ДАЖЕ обратную зону не могут переделегировать - то уж с RIPE
возиться ради тебя тем более не будут.
> Alex
Alex Korchmar
MVS> Что это еще за список такой? Я признаю единственный способ фильтрации
MVS> спама -- контент анализ. И пусть его хоть через open relay мне
а зачем? ты его уже принял. Чего ж теперь фильтровать?
> Alex
Alex Korchmar
>>А еще у меня есть замечательный домен, на который (на несуществующие
>>адреса) 100% писем - спам. (кто-то когда-то, похоже, украл релкомовскую
>>базу uucp'шных логинов)
VD> Не украл, а честно взял MXы из зоны DNS.
а как он uucp'шные-то отличил?
imho, это именно список "виртуальных машин" сперли. Довольно давно,
этому домену сто лет.
> Alex
Alex Korchmar
>> SA> десятка доменов), которые я вяло демонстрировал в прошлый раз, у 99%
>> SA> отвергнутых (rbl-ем, exim-овским sender verify и drweb-ом) отправителей
>> гм. Ну и причем тут, простите?
SA> При том, что всё зависит от цели, которую нужно достичь. Если она
SA> заключается в фильтрации спама, то для меня абсолютно очевидно, что
SA> блокирование писем с адресов без обратной зоны не приносит хоть
_тебе_
SA> сколько-нибудь ощутимой пользы.
в виду особенностей используемой технологии.
>> Я вот не использую на релее ни rbl, ни sender verify, полагая оба весьма
>> подозрительными, а второй и откровенно опасной технологией.
SA> Мне вспонилась "ничья бабушка". "Она, как известно, жгла на своей
SA> антресоли керосин, так как не доверяла электричеству." ;)
в данном случае аналогия неуместная - грабли с sender verify вылезают
достаточно регулярно и достаточно серьезные. (типа драки с рэмблером,
пару месяцев назад, завершившейся, кстати, в пользу рэмблера)
>> пользую по разным причинам (собственно, основная - что мне хотелось бы
>> выкидывать мусорную почту на внешнем релее, а не тащить ее заботливо
>> туда, где ее будет проверять антивирус, оплачивая траффик за ее прием
>> и пересылку отлупов туда-сюда).
SA> Что мешает запустить антивирус на внешнем релее и отвечать
то, что на внешнем релее его ставить некуда.
SA> вирусослателям 5xx сразу по завершении DATA?
письмо ты при этом полностью примешь, дважды сохранишь на диске,
потратишь кучу ресурсов - чего ради-то? Чтобы было хорошо бездельнику,
не почесавшемуся прописать реверсы?
> Alex
Alex Korchmar
SA> Я знаю только одно красивое решение - какой-нибудь unlimited тариф ;)
на unlimited канале.
Иначе ты просто оплачиваешь фиксированную плату за часть канала, которую
держишь для удобства пересылателей вирусов.
SA> Конечно, теоретически, вирус можно засечь без получения письма целиком,
мне не удалось в свое время убедить авторов DrWeb'а в необходимости
такой фичи. К сожалению, я тоже не был достаточно в ней заинтересован
на тот момент, чтобы проявить должную настойчивость.
SA> но всё что можно сделать - это оборвать соединение, после чего нет ни
SA> какой гарантии, что вирусослатель не повторит свою попытку. Вопрос в
SA> том, что нам делать дальше. Можно забанить этот ip (на какой срок?),
нельзя. Вдруг это крупный (или просто важный нам) релей? Или надо уметь
адвансовой софтиной отличать просто вирусы от саморассылающихся троянов
(такое я согласен банить навсегда).
Т.е, опять же при имеющемся антивирусном софте получается только
с фидошным вирусом так побороться - и только потому, что его автор
специально предусмотрел это. Следующий будет менее доброжелательным.
> Alex