nieprofesjonalne serwery WWW
zlotowinfo
tak prymitywnego zabezpieczenia jak autoryzacja SMTP
bez tego można spamować userów tego serwera i adminów
bezproblemowo dowolnym programem pocztowym
naturalnie bez żadnych haseł, z wyłączoną autoryzacją smtp
w dowolnym programie tworzysz skrzynkę i podajesz
1. maila nadawcy (zupełna dowolność)
2. podajesz maila odbiorcy, musi być prawidłowy
3. podajesz adres serwera smtp nadawcy, zazwyczaj jest to
smtp.domena.pl, mail.domena.pl lub domena.pl
jakie możliwości dają takie serwery?
1. przejęcia kont, można podać się za użytkownika
znając jego maila (np. z jego strony) pisząc do administratora
2. można dowoli spamować użytkowników serwera,
i administratora serwera, zmieniając na dowolnego nadawce
lub poprostu przestraszyć usera podając się za admina
z tego względu lepiej nie używać poniższych serwerów
gdyż admini nie za bardzo się spisali:
biznes-host.pl - mail.biznes-host.pl
cal.pl - smtp/mail.cal.pl
cjc.pl - mail.cjc.pl
firehost.pl - smtp/mail.firehost.pl
freecast.pl - smtp/mail.freecast.pl
hekko.pl - smtp/mail.hekko.pl
hitme.pl - smtp.hitme.pl
home.pl - mail.home.pl
ionic.pl - mail.ionic.pl
lh.pl - smtp/mail.lh.pl
linuxpl.com - mail.linuxpl.com
masternet.pl - mail.masternet.pl
mzone-net.eu - mail.mzone-net.eu
of.pl - smtp.of.pl
ovh.pl - smtp.nazwadomeny.pl
securityhost.pl - smtp.securityhost.pl
unixstorm.org - smtp/mail.unixstorm.org
vihost.pl - mail.vihost.pl
vipower.pl - smtp.vipower.pl
serwery z SMTP zabezpieczonym autoryzacją :
2be.pl - smtp.2be.pl
az.pl - mail.az.pl
castpol.pl - mail.castpol.pl
d2.pl - mail/smtp.d2.pl
hsms.pl - smtp/mail.hsms.pl
kei.pl - smtp/mail.kei.pl
mzone-net.eu - mail.mzone-net.eu
webh.pl - mail/smtp.webh.pl
webd.pl - smtp/mail.webd.pl
Tomasz Chmielewski
> dostawcy "profesjonalnych" hostingów nie włączają
> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
>
> bez tego można spamować userów tego serwera i adminów
> bezproblemowo dowolnym programem pocztowym
>
>
> naturalnie bez żadnych haseł, z wyłączoną autoryzacją smtp
> w dowolnym programie tworzysz skrzynkę i podajesz
> 1. maila nadawcy (zupełna dowolność)
> 2. podajesz maila odbiorcy, musi być prawidłowy
> 3. podajesz adres serwera smtp nadawcy, zazwyczaj jest to
> smtp.domena.pl, mail.domena.pl lub domena.pl
A czym sie to rozni od wyslania emaila z dowolnego innego serwera SMTP, hmm?
--
Tomasz Chmielewski
http://wpkg.org
Marcin Szewczyk
> dostawcy "profesjonalnych" hostingów nie włączają
> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
E?
> naturalnie bez żadnych haseł, z wyłączoną autoryzacją smtp
> w dowolnym programie tworzysz skrzynkę i podajesz
> 1. maila nadawcy (zupełna dowolność)
> 2. podajesz maila odbiorcy, musi być prawidłowy
> 3. podajesz adres serwera smtp nadawcy, zazwyczaj jest to
> smtp.domena.pl, mail.domena.pl lub domena.pl
Znakomita metoda :) Wygodniej pewnie jednak netcatem.
> jakie możliwości dają takie serwery?
> 1. przejęcia kont, można podać się za użytkownika
> znając jego maila (np. z jego strony) pisząc do administratora
> 2. można dowoli spamować użytkowników serwera,
> i administratora serwera, zmieniając na dowolnego nadawce
> lub poprostu przestraszyć usera podając się za admina
Hmm, wygląda jak zwykły MX dla domeny...
> serwery z SMTP zabezpieczonym autoryzacją :
> az.pl - mail.az.pl
Ten np. mnie o nic nie pytał.
--
Marcin Szewczyk http://wodny.org
mailto:Marcin....@wodny.borg <- remove b / usuń b
xmpp:wo...@ubuntu.pl xmpp:wo...@jabster.pl
zlotowinfo
news:ipch8n$he5$1...@inews.gazeta.pl...
>> dostawcy "profesjonalnych" hostingów nie włączają
>> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
> E?
> Znakomita metoda :) Wygodniej pewnie jednak netcatem.
wygodniej niż programem używanym na codzień? nie sądzę
> Hmm, wygląda jak zwykły MX dla domeny...
>
jestem zwyklym userem, nie mam pojecia co to mx
chodzi o to że jawnie udostępniają tak prostą
metodę podszywania się zwyklym programem pocztowym
>> serwery z SMTP zabezpieczonym autoryzacją :
>> az.pl - mail.az.pl
>
> Ten np. mnie o nic nie pytał.
>
w istocie przeszło, wkradł się błąd
zlotowinfo
news:91tucd...@mid.uni-berlin.de...
>
> A czym sie to rozni od wyslania emaila z dowolnego innego serwera SMTP,
> hmm?
>
głównie nagłówkiem, widzisz mail wysłany z tego samego serwera
na ktorym masz hosting, więc łatwo się podać za administratora
nie rozumiem czemu admini tak ułatwiają spamowanie
ciekaw jestem czy częściowo pomoże usunięcie z domeny pól A
mail, smtp, pop w sumie i tak kierują do tego samego IP
tylko by nie było problemow z pocztą
Marcin Szewczyk
> Użytkownik "Marcin Szewczyk" <wo...@nospam.nowhere> napisał w wiadomości
> news:ipch8n$he5$1...@inews.gazeta.pl...
>>> dostawcy "profesjonalnych" hostingów nie włączają
>>> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
>> E?
> byle darmowka wp ogranicza spam w ten sposób
Tzn. ogranicza wpisanie MAIL FROM:<*@wp.pl> bez AUTH?
Marcin Szewczyk
> news:ipch8n$he5$1...@inews.gazeta.pl...
>>> dostawcy "profesjonalnych" hostingów nie włączają
>>> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
>> E?
> byle darmowka wp ogranicza spam w ten sposób
Próbując wysłać coś z adresu @wp.pl przez mx.wp.pl wyleciałem na SPF,
nie na AUTH.
> jestem zwyklym userem, nie mam pojecia co to mx
Szkoda, bo dla tej dyskusji to dość istotne.
Marcin Szewczyk
Dyskutujemy o uwierzytelnianiu czy autoryzacji?
zlotowinfo
> On 04/28/2011 11:06 PM, zlotowinfo wrote:
>> Użytkownik "Marcin Szewczyk" <wo...@nospam.nowhere> napisał w wiadomości
>> news:ipch8n$he5$1...@inews.gazeta.pl...
>>>> dostawcy "profesjonalnych" hostingów nie włączają
>>>> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
>>> E?
>> byle darmowka wp ogranicza spam w ten sposób
>
> Próbując wysłać coś z adresu @wp.pl przez mx.wp.pl wyleciałem na SPF,
> nie na AUTH.
więc maila także nie udało się wysłać
>> jestem zwyklym userem, nie mam pojecia co to mx
> Szkoda, bo dla tej dyskusji to dość istotne.
>
ale i tacy dyskutują ;p
a już wogóle nie mają pojęcia co to i po co te MX
tym bardziej że program pocztowy go nie lubi
zlotowinfo
> On 04/28/2011 08:59 PM, zlotowinfo wrote:
>> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
>
> Dyskutujemy o uwierzytelnianiu czy autoryzacji?
>
żeby wysłać pocztę poprzez wp, nie da się
bez wpisania do programu pocztowego loginu i hasła
Lemat
> dostawcy "profesjonalnych" hostingów nie włączają
> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
>
> bez tego można spamować userów tego serwera i adminów
> bezproblemowo dowolnym programem pocztowym
autoryzacja nie ma nic do tego, że protokół SMTP jest zjebany i umożliwia
podszywanie się. To, że serwer pocztowy akceptuje pocztę skierowaną do jego
lokalnych użytkowników jest jak najbardziej naturalne.
To, że jakieś serwery blokują podszywanie się pod swoich userów oznacza też,
że ich lokalni userzy nie mogą forwardować poczty z innych serwerów - bo
zostanie odrzucona.
--
Pozdrawiam
Lemat
zlotowinfo
news:4db9e5d5$0$2488$6578...@news.neostrada.pl...
> zlotowinfo wrote:
>
>> dostawcy "profesjonalnych" hostingów nie włączają
>> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
>>
>> bez tego można spamować userów tego serwera i adminów
>> bezproblemowo dowolnym programem pocztowym
>
> autoryzacja nie ma nic do tego, że protokół SMTP jest zjebany i umożliwia
> podszywanie się. To, że serwer pocztowy akceptuje pocztę skierowaną do
> jego
> lokalnych użytkowników jest jak najbardziej naturalne.
>
dopuszczają robienie tego nie swoim userom (bez loginu i hasła)
zlotowinfo
> On 04/28/2011 11:06 PM, zlotowinfo wrote:
>> Użytkownik "Marcin Szewczyk" <wo...@nospam.nowhere> napisał w wiadomości
>> news:ipch8n$he5$1...@inews.gazeta.pl...
>>>> dostawcy "profesjonalnych" hostingów nie włączają
>>>> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
>>> E?
>> byle darmowka wp ogranicza spam w ten sposób
>
> Tzn. ogranicza wpisanie MAIL FROM:<*@wp.pl> bez AUTH?
>
- bez podania loginu i hasła,
- z niewlasciwym adresem nadawcy
i to jest dobre, pseudoadmini nie potrafią tego odpowiednio
zabezpieczyć, no cóż głównym celem jest jednak www
no ale to mi się nie podoba, stąd cały wątek
Michoo
> dostawcy "profesjonalnych" hostingów nie włączają
> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
Zabezpieczenia przed czym? Wiesz do czego służy uwierzytelnianie w SMTP?
> bez tego można spamować userów tego serwera i adminów
> bezproblemowo dowolnym programem pocztowym
Właściwie nikt tego nie robi ;)
> naturalnie bez żadnych haseł, z wyłączoną autoryzacją smtp
> w dowolnym programie tworzysz skrzynkę i podajesz
> 1. maila nadawcy (zupełna dowolność)
> 2. podajesz maila odbiorcy, musi być prawidłowy
> 3. podajesz adres serwera smtp nadawcy, zazwyczaj jest to
> smtp.domena.pl, mail.domena.pl lub domena.pl
Tak właśnie działa poczta elektroniczna. Na adres serwera smtp dostarcza
się pocztę przychodzącą dla użytkowników serwera.
> jakie możliwości dają takie serwery?
> 1. przejęcia kont, można podać się za użytkownika
> znając jego maila (np. z jego strony) pisząc do administratora
Do tego wystarczy manipulacja zawartością maila a nie nagłówkami. Możesz
sobie w programie pocztowym dowolnie ustawić jak się będziesz wyświetlał
odbiorcy.
> 2. można dowoli spamować użytkowników serwera,
> i administratora serwera, zmieniając na dowolnego nadawce
> lub poprostu przestraszyć usera podając się za admina
Jak wyżej - do straszenia użytkownika używa się odpowiedniej konstrukcji
maila - właściwie nikt nie patrzy w nagłówki.
> z tego względu lepiej nie używać poniższych serwerów
> gdyż admini nie za bardzo się spisali:
Bezpodstawne pisanie o tym, że się "nie spisali" może być przez
niektórych uznane za pomówienie...
> serwery z SMTP zabezpieczonym autoryzacją :
I niezgodne z RFC:
rcpt to:postm...@d2.pl
550 Email blocked by zen.spamhaus.org
P.S.
Szybkie "jak to działa":
$ telnet prowizorka.da.ru smtp
Trying 83.238.197.12...
Connected to prowizorka.da.ru.
Escape character is '^]'.
220 prowizorka.da.ru ESMTP Postfix (Debian/GNU)
helo prowizorka
250 prowizorka.da.ru
mail from:some...@example.org
250 2.1.0 Ok
rcpt to:spier...@prowizorka.da.ru
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
From: zlotowinfo <usunt...@go2.pl>
To: szanowny uższkodnik<spier...@prowizorka.da.ru>
Subject: Wygrałeś szkolenie z SMTP
<insert mail contents here>
.
250 2.0.0 Ok: queued as 184102150
quit
221 2.0.0 Bye
Wygląd maila:
http://prowizorka.da.ru/~michoo/smieci/smtp
--
Pozdrawiam
Michoo
Lemat
> tylko czemu admini serwerów SMTP i to w dodatku płatnych kont
> dopuszczają robienie tego nie swoim userom (bez loginu i hasła)
widocznie admini uważają, że działająca funkcjonalność otrzymywania
forwardowych emaili jest ważniejsza niż mozliwość podszywania się.
--
Pozdrawiam
Lemat
Michoo
> nie rozumiem do końca, smtp na wp nie wyśle nic
> - bez podania loginu i hasła,
> - z niewlasciwym adresem nadawcy
>
> i to jest dobre, pseudoadmini nie potrafią tego odpowiednio
> zabezpieczyć,
że tak atakujesz?
helo wp
250 mx.wp.pl
mail from:some...@example.org
250 ok
rcpt to:te...@wp.pl
250 ok
data
354 go ahead
From:Administrator<ro...@wp.pl>
To:Tester<te...@wp.pl>
Subject:Test
{empty}
.
250 ok 1304032002 qp 25431
quit
221 mx.wp.pl
Connection closed by foreign host.
--
Pozdrawiam
Michoo
mvoicem
> Użytkownik "Marcin Szewczyk" <wo...@nospam.nowhere> napisał w wiadomości
> news:ipcn6d$9i8$2...@inews.gazeta.pl...
>> On 04/28/2011 08:59 PM, zlotowinfo wrote:
>>> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
>>
>> Dyskutujemy o uwierzytelnianiu czy autoryzacji?
>>
> hmm, zagiąłeś mnie, to nie to samo?
Nie wpadłeś na to że warto by było zajrzeć choćby do wiki zanim zadasz
tak kompromitujące pytanie?
W ogóle, więcej czytaj a mniej pisz. Z pożytkiem dla wszystkich.
p. m.
Bartosz Feński aka fEnIo
> dostawcy "profesjonalnych" hostingów nie włączają
> tak prymitywnego zabezpieczenia jak autoryzacja SMTP
Chyba miałeś na myśli uwierzytelnienie.
> bez tego można spamować userów tego serwera i adminów
> bezproblemowo dowolnym programem pocztowym
Za to z tym "zabezpieczeniem" dostajesz pierdyliard zgłoszeń od userów, że
ustawili sobie forward du...@interia.pl na du...@wp.pl i nie działa.
NAPRAWCIE TO NATYCHMIAST!
> naturalnie bez żadnych haseł, z wyłączoną autoryzacją smtp
> w dowolnym programie tworzysz skrzynkę i podajesz
> 1. maila nadawcy (zupełna dowolność)
> 2. podajesz maila odbiorcy, musi być prawidłowy
> 3. podajesz adres serwera smtp nadawcy, zazwyczaj jest to
> smtp.domena.pl, mail.domena.pl lub domena.pl
Odkrywcą roku jesteś normalnie ;)
> jakie możliwości dają takie serwery?
> 1. przejęcia kont, można podać się za użytkownika
> znając jego maila (np. z jego strony) pisząc do administratora
> 2. można dowoli spamować użytkowników serwera,
> i administratora serwera, zmieniając na dowolnego nadawce
> lub poprostu przestraszyć usera podając się za admina
Uwierzytelnianie, które proponujesz nie zmienia praktycznie nic w tym
temacie. No chyba, że zakładasz iż pani Krysia zagląda w nagłówki maila
i analizuje ich zawartość. Bo jeśli nie zagląda, a zgadnij ilu ludzi
zagląda, to nadal jestem w stanie posłać tam maila z dowolnym From:.
Jedyną różnicą będzie fakt, że envelope-sender nie będzie z jego domeny.
> z tego względu lepiej nie używać poniższych serwerów
> gdyż admini nie za bardzo się spisali:
Dość kuriozalne stwierdzenie ze strony kogoś kto nie ma zielonego pojęcia
jak działają MTA.
[...]
pozdr,
fEnIo
--
,''`. Bartosz Fenski | mailto:fe...@debian.org | pgp:0x13fefc40 | irc:fEnIo
: :' : 32-050 Skawina - Glowackiego 3/15 - malopolskie v. - Poland
`. `' phone:+48602383548 | proud Debian maintainer and user
`- http://fenski.pl | xmpp:fe...@jabber.org | rlu:172001
Bartosz Feński aka fEnIo
>> bez tego można spamować userów tego serwera i adminów
>> bezproblemowo dowolnym programem pocztowym
>
> Za to z tym "zabezpieczeniem" dostajesz pierdyliard zgłoszeń od userów, że
> ustawili sobie forward du...@interia.pl na du...@wp.pl i nie działa.
> NAPRAWCIE TO NATYCHMIAST!
Ech... nauczka by bez kawy nie podchodzić do kompa. Oczywiście przykład
z dupy (bardziej SPF bez SRS jest uciążliwy w takim przypadku). Chodzi
o forwardy w ramach tej samej domeny.
Adam Płaszczyca
>> 3. podajesz adres serwera smtp nadawcy, zazwyczaj jest to
>> smtp.domena.pl, mail.domena.pl lub domena.pl
>
> A czym sie to rozni od wyslania emaila z dowolnego innego serwera SMTP, hmm?
A słyszałeś o czymś takim jak rekordy SPF w domenie?
Normalnie jest tak - serwer przyjmuje pocztę:
1. Od innych serwerów, jeśli dany nadawca jest podany w rekordzie SPF dla
danej domeny NADAWCY
2. Od każdego zautoryzowanego usera.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ Kęszyca Leśna 51/9, 66-305 Keszyca Leśna
_______/ /_ GG: 3524356
___________/ Wywoływanie slajdów http://trzypion.pl/
Bartosz Feński aka fEnIo
>>> 3. podajesz adres serwera smtp nadawcy, zazwyczaj jest to
>>> smtp.domena.pl, mail.domena.pl lub domena.pl
>>
>> A czym sie to rozni od wyslania emaila z dowolnego innego serwera SMTP, hmm?
>
> A słyszałeś o czymś takim jak rekordy SPF w domenie?
>
> Normalnie jest tak - serwer przyjmuje pocztę:
> 1. Od innych serwerów, jeśli dany nadawca jest podany w rekordzie SPF dla
> danej domeny NADAWCY
> 2. Od każdego zautoryzowanego usera.
To skonfiguruj sobie tak "normalnie" serwer, a odetniesz się od 90% poczty.
Michoo
> A słyszałeś o czymś takim jak rekordy SPF w domenie?
nadawców całkowicie normalnej korespondencji nie ma możliwości jego
ustawienia.
--
Pozdrawiam
Michoo
Stachu 'Dozzie' K.
> Użytkownik "Tomasz Chmielewski" <t...@nospam.wpkg.org> napisał w wiadomości
> news:91tucd...@mid.uni-berlin.de...
>>
>> A czym sie to rozni od wyslania emaila z dowolnego innego serwera SMTP,
>> hmm?
>>
>
> głównie nagłówkiem, widzisz mail wysłany z tego samego serwera
> na ktorym masz hosting, więc łatwo się podać za administratora
Nie rozumiem. Czym to się różni od podania własnych fałszywych
nagłówków?
> nie rozumiem czemu admini tak ułatwiają spamowanie
Bo żadne to zabezpieczenie, tak wyciąć w pień pocztę wysyłaną
z localhosta, a tylko utrudnia życie.
--
Secunia non olet.
Stanislaw Klekot
Lemat
> W dniu 29.04.2011 00:31, Adam Płaszczyca pisze:
>> A słyszałeś o czymś takim jak rekordy SPF w domenie?
> Tylko z SPF jest ten problem, że spamerzy mają poprawne,
niektórzy, ci od viagry nie
polscy spamerzy też mają fifty-fifty
zorganizowani polscy spamerzy - ci którzy wysyłaja mailingi wiele razy - na
pewno mają ustawiony spf.
> a wielu
> nadawców całkowicie normalnej korespondencji nie ma możliwości jego
> ustawienia.
od kiedy to jakiś "nadawca" ma możliwość ustawienia czegoś na serwerze? od
tego jest admin. Admin daje dupy - admina się wymienia.
--
Pozdrawiam
Lemat
Michoo
> Michoo wrote:
>
>> W dniu 29.04.2011 00:31, Adam Płaszczyca pisze:
>>> A słyszałeś o czymś takim jak rekordy SPF w domenie?
>> Tylko z SPF jest ten problem, że spamerzy mają poprawne,
>
> niektórzy, ci od viagry nie
[...]
>> Received: from 94.96.120.227.dynamic.saudi.net.sa [94.97.120.227]
>> by mx6.go2.pl with ESMTP id WIffnl;
>> Wed, 08 Sep 2010 13:26:35 +0200
>> Received-SPF: pass (mx6.go2.pl: domain of miyp...@saudi.net.sa
>> designates 94.97.120.227 as permitted sender)
[...]
>> To: goo...@go2.pl
>> From: Paulette <miyp...@saudi.net.sa>
>> Reply-to: miyp...@saudi.net.sa
>> Subject: Brand Viagra is now available
[...]
> polscy spamerzy też mają fifty-fifty
Obstawiam, że łatwiej znaleźć spamera niż małą firmę z poprawnym SPF.
>> a wielu
>> nadawców całkowicie normalnej korespondencji nie ma możliwości jego
>> ustawienia.
>
> od kiedy to jakiś "nadawca" ma możliwość ustawienia czegoś na serwerze? od
> tego jest admin. Admin daje dupy - admina się wymienia.
Małe firmy mają często domeny w takich miejscach, że nie mogą ustawić
odpowiednich wpisów do DNS.
Btw - ja uważam SPF za kompletnie chybiony pomysł - nie zabezpiecza
specjalnie przed spamem (bo to nie jego rola, zresztą i tak trzeba
przyjmować pocztę z serwerów bez SPF) nie zabezpiecza przed podszywaniem
się z punktu widzenia użytkownika (nie zagląda w ogóle w treść maila),
zabezpiecza przed podszywaniem się pod serwer, co wcale nie jest tak częste.
Mała statystyka - od stycznia 2010 roku O2 puściło (spam to poczta która
dostała <5,15) punktów od mojego spamassasina, SPAM 15+):
$ grep 'Received: from pop3.o2.pl' Mail/spam|wc -l
658
$ grep 'Received: from pop3.o2.pl' Mail/SPAM|wc -l
235
$ grep 'Received-SPF: pass' Mail/spam|wc -l
198
$ grep 'Received-SPF: pass' Mail/SPAM|wc -l
76
czyli odpowiednio 30% i 32% spamu było w myśl SPF poprawne
--
Pozdrawiam
Michoo
zlotowinfo
news:ipcs3e$ns8$1...@news.onet.pl...
> helo wp
> 250 mx.wp.pl
jak to mx.wp.pl wpisujesz do programu pocztowego?
czy to napewno jest smtp o ktorym mowa?
Bartosz Feński aka fEnIo
andy
> Bosz... czy Ty mógłbyś przestać się wypowiadać w tematach o których nie
> masz zielonego pojęcia?
>
Panie fEnIo już jest czas aby zabrać swoją watachę na pl.comp.os.advocacy
Michoo
> Użytkownik "Michoo" <micho...@vp.pl> napisał w wiadomości
> news:ipcs3e$ns8$1...@news.onet.pl...
>> helo wp
>> 250 mx.wp.pl
>
> jak to mx.wp.pl wpisujesz do programu pocztowego?
to jakiś pomijalny margines.
Pocztę przychodzącą wysyła się do serwera poczty przychodzącej a nie
wychodzącej.
> czy to napewno jest smtp o ktorym mowa?
To jest smtp o którym _należy_ rozmawiać.
To, że ktoś akceptuje pocztę wychodzącą do lokalnego użytkownika bez
uwierzytelniania nie jest błędem, bo akceptuje też POCZTĘ PRZYCHODZĄCĄ
do lokalnych użytkowników. Więc dokładnie taki sam mail można dostarczyć
- jedyna różnica między takimi mailami to inne 'Return-Path' w
nagłówkach w które nikt nie zagląda.
--
Pozdrawiam
Michoo
Adam Płaszczyca
>> Normalnie jest tak - serwer przyjmuje pocztę:
>> 1. Od innych serwerów, jeśli dany nadawca jest podany w rekordzie SPF dla
>> danej domeny NADAWCY
>> 2. Od każdego zautoryzowanego usera.
>
> To skonfiguruj sobie tak "normalnie" serwer, a odetniesz się od 90% poczty.
Tak właśnie mam. 90% poczty to SPAM :D
Adam Płaszczyca
>> A słyszałeś o czymś takim jak rekordy SPF w domenie?
> Tylko z SPF jest ten problem, że spamerzy mają poprawne, a wielu
> nadawców całkowicie normalnej korespondencji nie ma możliwości jego
> ustawienia.
SPF służy do odsiania fakeów. Jeśli dostaję pocztę z domeny aaa.bb, to
sprawdzam, czy dany nadawca jest w rekordzie SPF tejże domeny.
Jeśli nie ma, to znaczy, że ktoś lewiznę puszcza.
Odrębną sprawą są nadawcy z domen bez SPF. Tą traktuję jako podejrzaną.
Aczkolwiek przepuszczę, tylko oflagowaną.
Bartosz Feński aka fEnIo
>>> Normalnie jest tak - serwer przyjmuje pocztę:
>>> 1. Od innych serwerów, jeśli dany nadawca jest podany w rekordzie SPF dla
>>> danej domeny NADAWCY
>>> 2. Od każdego zautoryzowanego usera.
>>
>> To skonfiguruj sobie tak "normalnie" serwer, a odetniesz się od 90% poczty.
>
> Tak właśnie mam. 90% poczty to SPAM :D
Na prywatnym serwerze też tak mogę zrobić. Zrób to dla klientów.
Michoo
> Dnia Fri, 29 Apr 2011 09:41:25 +0200, Michoo napisał(a):
>
>>> A słyszałeś o czymś takim jak rekordy SPF w domenie?
>> Tylko z SPF jest ten problem, że spamerzy mają poprawne, a wielu
>> nadawców całkowicie normalnej korespondencji nie ma możliwości jego
>> ustawienia.
>
> SPF służy do odsiania fakeów.
poprawny wpis nie świadczy o niczym - implikacji się nie odwraca, więc
SPF jest de facto bezużyteczny, bo podszywanie się to margines. Dla
odsiewania spamu od nie-spamu kluczowa jest zawartość ("data" - do czego
SPF ma się nijak).
> Jeśli dostaję pocztę z domeny aaa.bb, to
> sprawdzam, czy dany nadawca jest w rekordzie SPF tejże domeny.
I masz jakieś statystyki na ile to pomaga? Bo z zamieszczonych przeze
mnie wynika, że 30% spamu miało prawidłowy SPF(32% "mocnego" spamu).
> Jeśli nie ma, to znaczy, że ktoś lewiznę puszcza.
Albo nie może takiego wpisu ustawić.
> Odrębną sprawą są nadawcy z domen bez SPF. Tą traktuję jako podejrzaną.
> Aczkolwiek przepuszczę, tylko oflagowaną.
>
Graylisting (i to taki w okolicy ~180 sec a nie jak na o2 dochodzący do
kilku dni) redukuje spam w przypadku naszego serwera (konta moje i
kumpla+chyba jakiś znajomych?) z kilkunastu-kilkudziesięciu
maili/dzień/konto do 1..2/dzień.
--
Pozdrawiam
Michoo
Michoo
> W artykule Adam Płaszczyca napisał(a):
>
>>>> Normalnie jest tak - serwer przyjmuje pocztę:
>>>> 1. Od innych serwerów, jeśli dany nadawca jest podany w rekordzie SPF dla
>>>> danej domeny NADAWCY
>>>> 2. Od każdego zautoryzowanego usera.
>>>
>>> To skonfiguruj sobie tak "normalnie" serwer, a odetniesz się od 90% poczty.
>>
>> Tak właśnie mam. 90% poczty to SPAM :D
>
> Na prywatnym serwerze też tak mogę zrobić.
> Zrób to dla klientów.
O2 bardzo długo nie przyjmowało ode mnie poczty, albo graylisotwało na
3godz. - 4 dni.
Home.pl nie przyjmuje dla swoich klientów prawie nic z zagranicznych ip.
Odpowiadają na wszystko "Twoja wiadomość wygląda na spam".
Etc.
--
Pozdrawiam
Michoo
Adam Płaszczyca
>> Na prywatnym serwerze też tak mogę zrobić.
> Na prywatnym serwerze nie ma to chyba specjalnego sensu?
Ma bardzo duży. Tak samo jak proste sprawdzenie, czy serwer przedstawia się
po HELO czy EHLO swoja własną nazwą.
Adam Płaszczyca
>> Tak właśnie mam. 90% poczty to SPAM :D
> Na prywatnym serwerze też tak mogę zrobić. Zrób to dla klientów.
Kwestia regulaminu ;)
Adam Płaszczyca
>> SPF służy do odsiania fakeów.
> To że mail ma sfałszowaną wartość from wskazuje, że to SPAM, to, że ma
> poprawny wpis nie świadczy o niczym - implikacji się nie odwraca, więc
Dlaczego więć odwróciłeś?
> SPF jest de facto bezużyteczny, bo podszywanie się to margines. Dla
Owszem, nie. Jakieś 90% spamu na tym odsiewam.
>> Jeśli dostaję pocztę z domeny aaa.bb, to
>> sprawdzam, czy dany nadawca jest w rekordzie SPF tejże domeny.
> I masz jakieś statystyki na ile to pomaga? Bo z zamieszczonych przeze
> mnie wynika, że 30% spamu miało prawidłowy SPF(32% "mocnego" spamu).
A u mnie jakieś 90%.
>> Jeśli nie ma, to znaczy, że ktoś lewiznę puszcza.
> Albo nie może takiego wpisu ustawić.
Jego problem.
> Graylisting (i to taki w okolicy ~180 sec a nie jak na o2 dochodzący do
> kilku dni) redukuje spam w przypadku naszego serwera (konta moje i
> kumpla+chyba jakiś znajomych?) z kilkunastu-kilkudziesięciu
> maili/dzień/konto do 1..2/dzień.
Cóż, ja tam daję dłuższy.
Artur Maśląg
> W artykule Adam Płaszczyca napisał(a):
>
>>>> Normalnie jest tak - serwer przyjmuje pocztę:
>>>> 1. Od innych serwerów, jeśli dany nadawca jest podany w rekordzie SPF dla
>>>> danej domeny NADAWCY
>>>> 2. Od każdego zautoryzowanego usera.
>>>
>>> To skonfiguruj sobie tak "normalnie" serwer, a odetniesz się od 90% poczty.
>>
>> Tak właśnie mam. 90% poczty to SPAM :D
>
> Na prywatnym serwerze też tak mogę zrobić.
No ja też, tylko efekt tego będzie podobnie średnio korzystny.
> Zrób to dla klientów.
Tutaj to w ogólne nie ma o czym deliberować. Większe opóźnienia
z greylistingu są mało akceptowalne, a co dopiero cięcie po
SPF-ach. Zresztą forwardy itd. Ehhh...
Michoo
> Dnia Fri, 29 Apr 2011 19:20:03 +0200, Michoo napisał(a):
>
>>> SPF służy do odsiania fakeów.
>> To że mail ma sfałszowaną wartość from wskazuje, że to SPAM, to, że ma
>> poprawny wpis nie świadczy o niczym - implikacji się nie odwraca, więc
>
> Dlaczego więć odwróciłeś?
>
>> SPF jest de facto bezużyteczny, bo podszywanie się to margines. Dla
>
> Owszem, nie. Jakieś 90% spamu na tym odsiewam.
W sensie na braku SPF, czy na nie zgadzającym się?
>
>> Graylisting (i to taki w okolicy ~180 sec a nie jak na o2 dochodzący do
>> kilku dni) redukuje spam w przypadku naszego serwera (konta moje i
>> kumpla+chyba jakiś znajomych?) z kilkunastu-kilkudziesięciu
>> maili/dzień/konto do 1..2/dzień.
>
> Cóż, ja tam daję dłuższy.
>
Z naszej obserwacji wynika, że krótki wystarcza a nie jest jeszcze
irytujący.
--
Pozdrawiam
Michoo
Bartosz Feński aka fEnIo
>>> Tak właśnie mam. 90% poczty to SPAM :D
>> Na prywatnym serwerze też tak mogę zrobić. Zrób to dla klientów.
>
> Kwestia regulaminu ;)
Pewnie dlatego nie jesteś ISP ;P
Bartosz Feński aka fEnIo
>>>>> Normalnie jest tak - serwer przyjmuje pocztę:
>>>>> 1. Od innych serwerów, jeśli dany nadawca jest podany w rekordzie SPF dla
>>>>> danej domeny NADAWCY
>>>>> 2. Od każdego zautoryzowanego usera.
>>>>
>>>> To skonfiguruj sobie tak "normalnie" serwer, a odetniesz się od 90% poczty.
>>>
>>> Tak właśnie mam. 90% poczty to SPAM :D
>>
>> Na prywatnym serwerze też tak mogę zrobić.
> Na prywatnym serwerze nie ma to chyba specjalnego sensu?
Chyba tylko tam ma sens.
>> Zrób to dla klientów.
> O2 bardzo długo nie przyjmowało ode mnie poczty, albo graylisotwało na
> 3godz. - 4 dni.
>
> Home.pl nie przyjmuje dla swoich klientów prawie nic z zagranicznych ip.
> Odpowiadają na wszystko "Twoja wiadomość wygląda na spam".
Ja sobie nie wyobrażam sytuacji gdy mówię klientom, że nie dojdzie do nich
część maili, bo wysyłający są zjebani i nie wiedzą co to SPF i Greylisting.
Bartosz Feński aka fEnIo
>>>>> Normalnie jest tak - serwer przyjmuje pocztę:
>>>>> 1. Od innych serwerów, jeśli dany nadawca jest podany w rekordzie SPF dla
>>>>> danej domeny NADAWCY
>>>>> 2. Od każdego zautoryzowanego usera.
>>>>
>>>> To skonfiguruj sobie tak "normalnie" serwer, a odetniesz się od 90% poczty.
>>>
>>> Tak właśnie mam. 90% poczty to SPAM :D
>>
>> Na prywatnym serwerze też tak mogę zrobić.
>
> No ja też, tylko efekt tego będzie podobnie średnio korzystny.
>
>> Zrób to dla klientów.
>
> Tutaj to w ogólne nie ma o czym deliberować. Większe opóźnienia
> z greylistingu są mało akceptowalne, a co dopiero cięcie po
> SPF-ach. Zresztą forwardy itd. Ehhh...
Są ISP co stosują greylisting i SPF i żyją. Ale ja nie chciałbym swoim
klientom tłumaczyć na okrętkę czemu ich mail sobie krąży gdzieś tam, bo
serwer odbiorcy jest dziwny.
Bartosz Feński aka fEnIo
>>> SPF służy do odsiania fakeów.
>> To że mail ma sfałszowaną wartość from wskazuje, że to SPAM, to, że ma
>> poprawny wpis nie świadczy o niczym - implikacji się nie odwraca, więc
>
> Dlaczego więć odwróciłeś?
>
>> SPF jest de facto bezużyteczny, bo podszywanie się to margines. Dla
>
> Owszem, nie. Jakieś 90% spamu na tym odsiewam.
A ile normalnego ruchu pocztowego przy okazji?
>>> Jeśli dostaję pocztę z domeny aaa.bb, to
>>> sprawdzam, czy dany nadawca jest w rekordzie SPF tejże domeny.
>> I masz jakieś statystyki na ile to pomaga? Bo z zamieszczonych przeze
>> mnie wynika, że 30% spamu miało prawidłowy SPF(32% "mocnego" spamu).
>
> A u mnie jakieś 90%.
A ile normalnego ruchu pocztowego przy okazji?
>>> Jeśli nie ma, to znaczy, że ktoś lewiznę puszcza.
>> Albo nie może takiego wpisu ustawić.
>
> Jego problem.
Ocho... czyli żeby posłać do Ciebie maila albo mam ustawić SPF w swojej
domenie albo na drzewo?
>> Graylisting (i to taki w okolicy ~180 sec a nie jak na o2 dochodzący do
>> kilku dni) redukuje spam w przypadku naszego serwera (konta moje i
>> kumpla+chyba jakiś znajomych?) z kilkunastu-kilkudziesięciu
>> maili/dzień/konto do 1..2/dzień.
>
> Cóż, ja tam daję dłuższy.
Na swoim prywatnym kurniku prawda?
Adam Płaszczyca
> Ja sobie nie wyobrażam sytuacji gdy mówię klientom, że nie dojdzie do nich
> część maili, bo wysyłający są zjebani i nie wiedzą co to SPF i Greylisting.
Ja tam sobie wyobrażam ;)
Adam Płaszczyca
>>> SPF jest de facto bezużyteczny, bo podszywanie się to margines. Dla
>> Owszem, nie. Jakieś 90% spamu na tym odsiewam.
> W sensie na braku SPF, czy na nie zgadzającym się?
W sensie 90% spamu uwala.
Podobna skutrecznośc ma sprawdzenie, czy nadawca przedstawił się swoja
nazwą.
>> Cóż, ja tam daję dłuższy.
>>
> Z naszej obserwacji wynika, że krótki wystarcza a nie jest jeszcze
> irytujący.
Na co? I tak spam dojdzie :P
Adam Płaszczyca
>> Owszem, nie. Jakieś 90% spamu na tym odsiewam.
>
> A ile normalnego ruchu pocztowego przy okazji?
Zero,. Normalny ruch pocztowy idzie z domenami z SPF. A nienormalny mnie
nie interesuje ;)
>> A u mnie jakieś 90%.
> A ile normalnego ruchu pocztowego przy okazji?
Zero.
>> Jego problem.
>
> Ocho... czyli żeby posłać do Ciebie maila albo mam ustawić SPF w swojej
> domenie albo na drzewo?
Mniej więcej.
>> Cóż, ja tam daję dłuższy.
> Na swoim prywatnym kurniku prawda?
Noo :D
Michoo
> Dnia Fri, 29 Apr 2011 22:48:08 +0200, Bartosz Feński aka fEnIo napisał(a):
>
>>> Owszem, nie. Jakieś 90% spamu na tym odsiewam.
>>
>> A ile normalnego ruchu pocztowego przy okazji?
>
> Zero,. Normalny ruch pocztowy idzie z domenami z SPF.
serwer nadawcy, w walce ze spamem jest praktycznie nieistotny bo skoro
już powstał to spamerzy dbają o to, żeby mieć odpowiednie wpisy i żeby
ich spamboty przedstawiały się jak należy - nie podszywają się.
> A nienormalny mnie
> nie interesuje ;)
Mam całkiem sporo wulgarnych określeń na takich administratorów od
siedmiu boleści, którzy mają swoją wizję świata i próbują naginać go do
tej wizji.
Coś jak bezpieczniki z polibudy, które nie były wstanie przeforwardować
jednego portu aby studenci mieli dostęp do oracla na którym należało
robić projekty co poskutkowało kopaniem 'lewych' tuneli.
>> Ocho... czyli żeby posłać do Ciebie maila albo mam ustawić SPF w swojej
>> domenie albo na drzewo?
>
> Mniej więcej.
Mniej więcej jest to idiotyczne. Na całe szczęście nie mam potrzeby
gadać z Twoim mailserwerem.
--
Pozdrawiam
Michoo
Jarosław Misztal
> W dniu 29.04.2011 23:30, Adam Płaszczyca pisze:
>> Dnia Fri, 29 Apr 2011 22:48:08 +0200, Bartosz Feński aka fEnIo
>> napisał(a):
>>
>>>> Owszem, nie. Jakieś 90% spamu na tym odsiewam.
>>>
>>> A ile normalnego ruchu pocztowego przy okazji?
>>
>> Zero,. Normalny ruch pocztowy idzie z domenami z SPF.
> SPF nie jest normalny. SPF miał chronić przed podszywaniem się pod
> serwer nadawcy, w walce ze spamem jest praktycznie nieistotny bo skoro
> już powstał to spamerzy dbają o to, żeby mieć odpowiednie wpisy i żeby
> ich spamboty przedstawiały się jak należy - nie podszywają się.
Trudno mi z Tobą polemizować, gdyż doświadczenia czerpię tylko z
domowego serwerka, ale u mnie większość spamu wykłada się na sprawdzaniu
revdns i spf. W tym roku chyba w ogóle jeszcze nic nie przyszło,
oczywiście pomijając spam przychodzący z "mailing-lists" (nie wiem jak
to zgrabnie przetłumaczyć). Oczywiście "biała lista" jest.
To tak na marginesie, poza zasadniczym pytaniem.
>>> Ocho... czyli żeby posłać do Ciebie maila albo mam ustawić SPF w swojej
>>> domenie albo na drzewo?
>>
>> Mniej więcej.
> Mniej więcej jest to idiotyczne. Na całe szczęście nie mam potrzeby
> gadać z Twoim mailserwerem.
Czy Ty lub ktoś o podobnych poglądach mógłby mi spokojnie i rzetelnie
wytłumaczyć, co by stracił, gdyby ustawił SPF dla swojej domeny? Jakoś
mimo przejrzenia tego wątku nie czuję problemu.
Pozdrawiam
Jarek
Stachu 'Dozzie' K.
>>>> Ocho... czyli żeby posłać do Ciebie maila albo mam ustawić SPF w swojej
>>>> domenie albo na drzewo?
>>>
>>> Mniej więcej.
>> Mniej więcej jest to idiotyczne. Na całe szczęście nie mam potrzeby
>> gadać z Twoim mailserwerem.
>
> Czy Ty lub ktoś o podobnych poglądach mógłby mi spokojnie i rzetelnie
> wytłumaczyć, co by stracił, gdyby ustawił SPF dla swojej domeny? Jakoś
> mimo przejrzenia tego wątku nie czuję problemu.
http://www.lemat.priv.pl/index.php?m=page&pg_id=97
Masz utrudnione forwardowanie poczty. Ale to akurat problem znany od
samego początku.
--
Secunia non olet.
Stanislaw Klekot
Jarosław Misztal
> On 2011-04-30, Jarosław Misztal<pe...@perio6.com> wrote:
>>>>> Ocho... czyli żeby posłać do Ciebie maila albo mam ustawić SPF w swojej
>>>>> domenie albo na drzewo?
>>>>
>>>> Mniej więcej.
>>> Mniej więcej jest to idiotyczne. Na całe szczęście nie mam potrzeby
>>> gadać z Twoim mailserwerem.
>>
>> Czy Ty lub ktoś o podobnych poglądach mógłby mi spokojnie i rzetelnie
>> wytłumaczyć, co by stracił, gdyby ustawił SPF dla swojej domeny? Jakoś
>> mimo przejrzenia tego wątku nie czuję problemu.
>
> http://www.lemat.priv.pl/index.php?m=page&pg_id=97
Bez przesady. :-)
> Masz utrudnione forwardowanie poczty. Ale to akurat problem znany od
> samego początku.
Czyli nic nowego? Kilka lat minęło i nadal całe zło SPF to to, że dla
"forwardowania" potrzebne jest, by ktoś się ruszył i spowodował, by
serwer przekazujący używał własnego adresu kopertowego albo na serwerze
docelowym dodał wyjątek tudzież "zmienił reguły punktowania", bo
przecież jakieś tam są?
Pozdrawiam
Jarek
AMX
Jarosław Misztal <pe...@perio6.com> wrote:
>
> Czy Ty lub ktoś o podobnych poglądach mógłby mi spokojnie i rzetelnie
> wytłumaczyć, co by stracił, gdyby ustawił SPF dla swojej domeny?
Tracę możliwość wysyłania maili z domu.
Chyba, że w domowym systemie wykupię domenę, zorganizuję MX,
przedrę się przez dynDNS itd.
Bardzo wiele wysiłku po to, aby wysłać _średnio_ w granicach 1
maila dziennie.
(wysyłał przez news bez SPF)
AMX
--
adres w rot13
Nyrxfnaqre Znghfmnx r-...@b2.cy
AMX
> to spamerzy dbają o to, żeby mieć odpowiednie wpisy i żeby
> ich spamboty przedstawiały się jak należy - nie podszywają się.
Zapewne jestem niedoedukowany ale czy mógłbyś mi wyjaśnić jak to
robią?
Wydawało mi się zawsze, że nie jest to tylko kwestia
przedstawiania się, ale IP z którego przychodzi poczta.
Przedstawiał
Piotr Kęplicz
>> Czy Ty lub ktoś o podobnych poglądach mógłby mi spokojnie i rzetelnie
>> wytłumaczyć, co by stracił, gdyby ustawił SPF dla swojej domeny?
>
> Tracę możliwość wysyłania maili z domu.
>
> Chyba, że w domowym systemie wykupię domenę, zorganizuję MX,
> przedrę się przez dynDNS itd.
A wysyłanie przez odpowiedni serwer pocztowy z uwierzytelnianiem to jest
jakiś problem?
.pk.
AMX
W zasadzie nie, o ile się korzysta z outlooka. Jeśli się używa
MTA to zaczynają się pewne problemy. MTA nie bardzo rozumie
dlaczego pocztę każdego użytkownika ma wysyłać przez inny serwer
i z innymi nagłówkami i jeszcze pamiętać hasła do
uwierzytelniania każdego. Nieco to komplikuje końfigurację, nawet
jeśli użytkowników jest sztuk trzy.
No chyba, że się nakaże użytkownikom korzystać z jakiegoś
substytutu outlooka. Wtedy wszystko działa. No, może z wyjątkiem
.forward, crontaba (jako przypominajki) i paru innych dodatków....
A kiedy pozbyliśmy się tych paru, w zasadzie zbędnych dodatków, to
właściwie po co nam linux?
Grubo przesadzał
Michoo
> On Fri, 29 Apr 2011 23:53:15 +0200, Michoo<micho...@vp.pl> wrote:
>
>> to spamerzy dbają o to, żeby mieć odpowiednie wpisy i żeby
>> ich spamboty przedstawiały się jak należy - nie podszywają się.
>
> Zapewne jestem niedoedukowany ale czy mógłbyś mi wyjaśnić jak to
> robią?
>
> Wydawało mi się zawsze, że nie jest to tylko kwestia
> przedstawiania się, ale IP z którego przychodzi poczta.
nadawcy i podanej domeny:
- neutral (domena nie ma wpisu spf, albo ip nie pasuje do reguł)
- pass (ip jest wpisany jako mogący wysyłać maila w tej domenie)
- fail (ip wpisany jako nie mogący wysyłać, zazwyczaj przez -all)
SPF dopasowuje tylko to - czy ip jest uprawnione do wysłania maila
pochodzącego z tej domeny.
Więc spamer mający botnet na neostradzie rejestruje/kradnie[*] domenę
example.org i wpisuje jej rekord TXT/SPF[*] o zawartości:
"v=spf1 ip4:80.48.0.0/13 mx [**] -all"
czy wręcz
"v=spf1 +all"
Dzięki czemu cały jego botnet może wysyłać maile "z example.org" i
zostać prawidłowo zweryfikowany przez SPF, bo przecież się pod nic nie
podszywa. Nadal może umieszczać dowolne wartości w treści maila, a więc
na to co zobaczy użytkownik SPF nie wpływa.
[*] niepotrzebne skreślić
[**] i kolejne alokacje tepsy
--
Pozdrawiam
Michoo
Michoo
> Kilka lat minęło i nadal całe zło SPF to to, że dla
> "forwardowania" potrzebne jest, by ktoś się ruszył i spowodował, by
> serwer przekazujący używał własnego adresu kopertowego albo na serwerze
> docelowym dodał wyjątek tudzież "zmienił reguły punktowania", bo
> przecież jakieś tam są?
Całe zło SPF polega na tym, że są idioci uważający go za narzędzie do
walki ze spamem podczas gdy z założeń wynika, że jest to narzędzie
dbania o autentyczność (i to porządnie dopiero w połączeniu z DNSsec).
Znaczne opóźnianie, czy wręcz nie przyjmowanie mail z domen bez wpisu
SPF to głupota, która będzie tym powszechniejsza im więcej ludzi będzie
SPF posiadać.
A cały czas dla spamera uzyskanie prawidłowego wpisu SPF nie jest trudne
(wystarczy dowolna domena), a dla wielu ludzi niemożliwe (subdomeny, czy
domeny zarządzane przez jakieś zewnętrzne podmioty).
--
Pozdrawiam
Michoo
AMX
Michoo <micho...@vp.pl> wrote:
> Więc spamer mający botnet na neostradzie rejestruje/
Jeśli dobrze rozumiem, to wymaga rejestracji domeny co nieco
komplikuje sprawę.
> kradnie[*] domenę
> example.org
Tego nie bardzo rozumiem. Musi sfałszwać DNS?
Jarosław Misztal
> On Sat, 30 Apr 2011 14:28:05 +0200,
> Piotr Kęplicz<kep...@example.com> wrote:
>
>>>> Czy Ty lub ktoś o podobnych poglądach mógłby mi spokojnie i rzetelnie
>>>> wytłumaczyć, co by stracił, gdyby ustawił SPF dla swojej domeny?
>>>
>>> Tracę możliwość wysyłania maili z domu.
>>>
>>> Chyba, że w domowym systemie wykupię domenę, zorganizuję MX,
>>> przedrę się przez dynDNS itd.
>>
>> A wysyłanie przez odpowiedni serwer pocztowy z uwierzytelnianiem to jest
>> jakiś problem?
>>
>
> W zasadzie nie, o ile się korzysta z outlooka. Jeśli się używa
> MTA to zaczynają się pewne problemy. MTA nie bardzo rozumie
> dlaczego pocztę każdego użytkownika ma wysyłać przez inny serwer
> i z innymi nagłówkami i jeszcze pamiętać hasła do
> uwierzytelniania każdego. Nieco to komplikuje końfigurację, nawet
> jeśli użytkowników jest sztuk trzy.
Rozumiem, że używasz MTA dla sportu? W porządku, czemu nie, ale:
1. To raczej kiepski przykład na szkodliwość SPF, tzn. mało zasadny i
oderwany od rzeczywistości.
2. W dobie spamu rozsyłanego przez botnety, obawiam się, że prędzej czy
później dotkną Cię dwie sprawy: blokada portu 25 przez ISP oraz
odrzucanie poczty przez odbiorców jako pochodzącej z niewiarygodnego
źródła (nie MX, nie A, brak SPF) a na dodatek z dynamicznego IP, więc
nie unikniesz skonfigurowania MTA by wysyłał pocztę za pośrednictwem
innych serwerów z uwierzytelnianiem.
3. DynDNS nie gryzie a subdomenę możesz mieć za darmo. Pierwszy z brzegu
http://freedns.afraid.org/. Nie sprawdzałem.
Pozdrawiam
Jarek
Artur Maśląg
> W artykule Artur Maśląg napisał(a):
>
>>>>>> Normalnie jest tak - serwer przyjmuje pocztę:
>>>>>> 1. Od innych serwerów, jeśli dany nadawca jest podany w rekordzie SPF dla
>>>>>> danej domeny NADAWCY
>>>>>> 2. Od każdego zautoryzowanego usera.
>>>>>
>>>>> To skonfiguruj sobie tak "normalnie" serwer, a odetniesz się od 90% poczty.
>>>>
>>>> Tak właśnie mam. 90% poczty to SPAM :D
>>>
>>> Na prywatnym serwerze też tak mogę zrobić.
>>
>> No ja też, tylko efekt tego będzie podobnie średnio korzystny.
>>
>>> Zrób to dla klientów.
>>
>> Tutaj to w ogólne nie ma o czym deliberować. Większe opóźnienia
>> z greylistingu są mało akceptowalne, a co dopiero cięcie po
>> SPF-ach. Zresztą forwardy itd. Ehhh...
>
> Są ISP co stosują greylisting i SPF i żyją.
Są - są też tacy, co mają w nosie wiele zasad i też żyją.
> Ale ja nie chciałbym swoim
> klientom tłumaczyć na okrętkę czemu ich mail sobie krąży gdzieś tam, bo
> serwer odbiorcy jest dziwny.
Niekoniecznie serwer odbiorcy jest dziwny (choć takich też dostatek),
ale problemy są również po stronie nadawczej i ścieżce przekazania tego
maila do adresata.
Zbigniew Cofała
> Więc spamer mający botnet na neostradzie rejestruje/kradnie[*] domenę
> example.org i wpisuje jej rekord TXT/SPF[*] o zawartości:
[...]
W jaki sposób spamer może "ukraść" mi domenę i jak się dostanie do
mojego DNS-a?
--
Zbigniew[at]Cofala[dot]com
http://turox.pl
mvoicem
> No chyba, że się nakaże użytkownikom korzystać z jakiegoś
> substytutu outlooka.
A czego użytkownicy używają?
p. m.
AMX
Jarosław Misztal <pe...@perio6.com> wrote:
>> W zasadzie nie, o ile się korzysta z outlooka. Jeśli się używa
>> MTA to zaczynają się pewne problemy.
> Rozumiem, że używasz MTA dla sportu?
W żadnym wypadku. Czy znasz jakiś inny sposób wysyłania poczty,
który:
a) nie korzysta z MTA
b) nie jest substytuem outlooka, t.j. masz jeden jedyny słuszny
program do obsługi poczty. Wódka i popitka w jednym, zamiast
elastycznego systemu narzędzi do wykonania pewnego zadania?
Bardzo by mi się przydał.
> W porządku, czemu nie, ale:
> 1. To raczej kiepski przykład na szkodliwość SPF, tzn. mało zasadny i
> oderwany od rzeczywistości.
Nie rozumiemy się. SPF sam w sobie nie jest szkodliwy. Jest po
prostu nieskuteczny. _Nieco_ utrudnia życie spammerom i nieco bardziej
utrudnia życie pewnej grupie użytkowników.
Dyskusja o SPFie jest dla mnie o tyle chybiona, że ukrywa
podstawowy problem z systemem pocztowym - brak mechanizmów
weryfikacji nadawcy. Jest to jakieś nieporozumienie, że system
technicznie doprowadzony do perfekcji - wiarygodność dostarczania
maila była większa niż listu poleconego ze zwrotnym
potwierdzeniem odbioru - od lat parunastu(?) leży na obu
łopatkach.
Akceptuje się rozwiązania, które czynią z systemu pocztowego
parodię godną Mrożka. Przeczytaj uważnie co sam napisałeś:
> 2. W dobie spamu rozsyłanego przez botnety, obawiam się, że prędzej czy
> później dotkną Cię dwie sprawy: blokada portu 25 przez ISP oraz
> odrzucanie poczty przez odbiorców jako pochodzącej z niewiarygodnego
> źródła (nie MX, nie A, brak SPF) a na dodatek z dynamicznego IP, więc
> nie unikniesz skonfigurowania MTA by wysyłał pocztę za pośrednictwem
> innych serwerów z uwierzytelnianiem.
Oprócz tego, w kontekście linuxa, nie rozumiem, dlaczego nie
pojawiło się narzędzie, które uwzględnia SPFa w systemie
pocztowym.
> 3. DynDNS nie gryzie a subdomenę możesz mieć za darmo. Pierwszy z brzegu
> http://freedns.afraid.org/. Nie sprawdzałem.
>
Wiem, że to jest możliwe. Podobnie jest możliwe abym napisał MTA,
który będzie spełniał wcześniejsze kryteria =:-)
Nie jestem ekspertem ale (IMVHO) moja wiedza o systemie jest
nieco większa od wiedzy człowieka, który właśnie zainstalował
pierwszy system. Jakim cudem ma on wiedzieć, jak to zrobić, aby na
desktopie zadziała poczta?
Pozdrawiam serdecznie
AMX
Nie bardzo rozumiem o co pytasz? Czego większość (cokolwiek
miałoby to znaczyć) używa. Czego w ogóle użytkownicy używają.
Jakie są MUA? Czego moi użytkownicy używają?
Kamil Jońca
[..]
>
> Nie jestem ekspertem ale (IMVHO) moja wiedza o systemie jest
> nieco większa od wiedzy człowieka, który właśnie zainstalował
> pierwszy system. Jakim cudem ma on wiedzieć, jak to zrobić, aby na
> desktopie zadziała poczta?
Taki człowiek wpisze adres mta "dostawcy poczty" w swoim thunderbirdzie
czy czymś podobnym.
--
http://blogdebart.pl/2010/03/17/dalsze-przygody-swinki-w-new-jersey/
KRETYNIZM - ułomność predysponująca często do wampiryzmu
(J.Collin de Plancy "Słownik wiedzy tajemnej")
Michoo
> Michoo wrote:
>
>> Więc spamer mający botnet na neostradzie rejestruje/kradnie[*] domenę
>> example.org i wpisuje jej rekord TXT/SPF[*] o zawartości:
>
> [...]
>
> W jaki sposób spamer może "ukraść" mi domenę
> i jak się dostanie do
> mojego DNS-a?
Tak samo jak się dostają do hostów z których potem spamują - botami.
--
Pozdrawiam
Michoo
Michoo
> Dyskusja o SPFie jest dla mnie o tyle chybiona, że ukrywa
> podstawowy problem z systemem pocztowym - brak mechanizmów
> weryfikacji nadawcy. Jest to jakieś nieporozumienie, że system
> technicznie doprowadzony do perfekcji - wiarygodność dostarczania
> maila była większa niż listu poleconego ze zwrotnym
> potwierdzeniem odbioru - od lat parunastu(?) leży na obu
> łopatkach.
dobrym "godnym zaufania potwierdzeniem odbioru".
> Oprócz tego, w kontekście linuxa, nie rozumiem, dlaczego nie
> pojawiło się narzędzie, które uwzględnia SPFa w systemie
> pocztowym.
postfix-policyd-spf-python - Postfix policy server for SPF checking
python-spf - sender policy framework (SPF) module for Python
--
Pozdrawiam
Michoo
mvoicem
> On Sat, 30 Apr 2011 22:19:54 +0200, mvoicem <mvo...@gmail.com> wrote:
>> (30.04.2011 18:42), AMX wrote:
>>> No chyba, że się nakaże użytkownikom korzystać z jakiegoś
>>> substytutu outlooka.
>>
>> A czego użytkownicy używają?
>
> Nie bardzo rozumiem o co pytasz? Czego większość (cokolwiek
> miałoby to znaczyć) używa. Czego w ogóle użytkownicy używają.
> Jakie są MUA? Czego moi użytkownicy używają?
Zakładam, że użytkownicy nie łączą się via nc z localhost:25, tylko
używają jakiegoś "substytutu outlooka". Tam sobie mogą wpisać
odpowiednie serwery/użytkowników/hasła.
p. m.
AMX
Kamil Jońca <kjo...@poczta.onet.pl> wrote:
>> Nie jestem ekspertem ale (IMVHO) moja wiedza o systemie jest
>> nieco większa od wiedzy człowieka, który właśnie zainstalował
>> pierwszy system. Jakim cudem ma on wiedzieć, jak to zrobić, aby na
>> desktopie zadziała poczta?
>
> Taki człowiek wpisze adres mta "dostawcy poczty" w swoim thunderbirdzie
> czy czymś podobnym.
>
>
I ma inną niż wszyscy ,,skórkę'' w swoim outlooku? I w ogóle ma
taki odlotowy wygląd swoich windowsów....
Zbigniew Cofała
> W dniu 30.04.2011 22:18, Zbigniew Cofała pisze:
>> Michoo wrote:
>>
>>> Więc spamer mający botnet na neostradzie rejestruje/kradnie[*]
>>> domenę example.org i wpisuje jej rekord TXT/SPF[*] o zawartości:
>>
>> [...]
>>
>> W jaki sposób spamer może "ukraść" mi domenę
> Dostając się do konfiguracji Twojego DNS.
Aha. Niezły teoretyk z ciebie.
"Jak się włamać do kasy pancernej?"
"Nie ma żadnego problemu, jedyne co, to musimy tylko zdobyć klucz."
Poza tym - znasz jakiegoś spamera który włamuje się do serwerów DNS,
żeby tam ustawić rekordy SPF? :)
>
>> i jak się dostanie do
>> mojego DNS-a?
> Tak samo jak się dostają do hostów z których potem spamują - botami.
Ale to spamują głównie zawirusowane komputery z windowsami. Na nich
raczej rzadko stoją serwery DNS. :)
AMX
> W dniu 30.04.2011 22:42, AMX pisze:
>> Dyskusja o SPFie jest dla mnie o tyle chybiona, że ukrywa
>> podstawowy problem z systemem pocztowym - brak mechanizmów
>> weryfikacji nadawcy. Jest to jakieś nieporozumienie, że system
>> technicznie doprowadzony do perfekcji - wiarygodność dostarczania
>> maila była większa niż listu poleconego ze zwrotnym
>> potwierdzeniem odbioru - od lat parunastu(?) leży na obu
>> łopatkach.
> DSN działa całkiem nieźle. W połączeniu z SPF i DNSsec jest relatywnie
> dobrym "godnym zaufania potwierdzeniem odbioru".
>
Pierwsze słyszę o DSN. Ale z tego co na szybko zobaczyłem w
rfc1891 to mówimy o dwu różnych rzeczach. Nie chodzi mi o
potwierdzenie odbioru. Chodzi o to, że system pocztowy został
(wielkim wysiłkiem) doprowadzony do stanu, gdzie jedynie
kataklizm albo inny wybuch bomby atomowej mógl sprawić, że mail
nie dotarł do odbiorcy. Teraz setkami i tysiącami wycina się
maile na serwerze. 99.99% z tego to spam. Ale reszta?
IMHO problemem jest zagwarantowanie autentyczności nadawcy.
>> Oprócz tego, w kontekście linuxa, nie rozumiem, dlaczego nie
>> pojawiło się narzędzie, które uwzględnia SPFa w systemie
>> pocztowym.
> postfix-policyd-spf-python - Postfix policy server for SPF checking
> python-spf - sender policy framework (SPF) module for Python
>
Jeśli ktoś chce prowadzić serwer pocztowy to tak. Ale jeśli ktoś
chce obsługiwać pocztę na własne potrzeby to ... albo sobie
postawi serwer pocztowy (taki jak dla porządnej firmy) albo
będzie używał outlooka. Nie istnieje MTA (AFAIK), który się
nadaje na desktop.
Linux na serwery, windows na desktopy?
AMX
> Zakładam, że użytkownicy nie łączą się via nc z localhost:25, tylko
> używają jakiegoś "substytutu outlooka".
Proszę, przeczytaj poprzednie posty.
Michoo
> Michoo wrote:
>
>> W dniu 30.04.2011 22:18, Zbigniew Cofała pisze:
>>> Michoo wrote:
>>>
>>>> Więc spamer mający botnet na neostradzie rejestruje/kradnie[*]
>>>> domenę example.org i wpisuje jej rekord TXT/SPF[*] o zawartości:
>>>
>>> [...]
>>>
>>> W jaki sposób spamer może "ukraść" mi domenę
>> Dostając się do konfiguracji Twojego DNS.
>
> Aha. Niezły teoretyk z ciebie.
> "Jak się włamać do kasy pancernej?"
> "Nie ma żadnego problemu, jedyne co, to musimy tylko zdobyć klucz."
to zajrzyj na milw0rm, czy coś w tym stylu.
>
> Poza tym - znasz jakiegoś spamera który włamuje się do serwerów DNS,
> żeby tam ustawić rekordy SPF? :)
Nie, nie znam spamerów(a przynajmniej mam taką nadzieję). Dlatego było
to podane jako teoretyczna alternatywa po "zarejestrować".
>>> i jak się dostanie do
>>> mojego DNS-a?
>> Tak samo jak się dostają do hostów z których potem spamują - botami.
>
> Ale to spamują głównie zawirusowane komputery z windowsami. Na nich
> raczej rzadko stoją serwery DNS. :)
Miałem kiedyś takie hobby, że sprawdzałem, czy to co złapało dennyhosts
jest klientem czy na jakimś hostingu i jeżeli tak to zgłaszałem do
abuse. Proporcje były 50-50. Wątpię, że jedynym zadaniem takich
zcrackowanych hostów było skanowanie ssh/ftp.
--
Pozdrawiam
Michoo
Jarosław Misztal
> Pierwsze słyszę o DSN. Ale z tego co na szybko zobaczyłem w
> rfc1891 to mówimy o dwu różnych rzeczach. Nie chodzi mi o
> potwierdzenie odbioru. Chodzi o to, że system pocztowy został
> (wielkim wysiłkiem) doprowadzony do stanu, gdzie jedynie
> kataklizm albo inny wybuch bomby atomowej mógl sprawić, że mail
> nie dotarł do odbiorcy. Teraz setkami i tysiącami wycina się
> maile na serwerze. 99.99% z tego to spam. Ale reszta?
>
> IMHO problemem jest zagwarantowanie autentyczności nadawcy.
Tzn.?
Rozwiązania takie jak SPF czy DK(IM) mają zwiększać prawdopodobieństwo
(gwarantować to chyba za dużo powiedziane), że list pochodzi od
uprawnionej osoby. Użytkownik się uwierzytelnia na serwerze, który jest
jednocześnie jedynym (upraszczam) serwerem uprawnionym do wysłania
listu. Jeśli otrzymany przez odbiorcę list nie spełnia kryteriów
SPF/DK(IM), to znaczy, że najprawdopodobniej został wysłany przez kogoś
innego.
Jeśli to za mało, to pozostaje tylko podpis cyfrowy. List podpisuje
nadawca (nie serwer) a sprawdza odbiorca.
>>> Oprócz tego, w kontekście linuxa, nie rozumiem, dlaczego nie
>>> pojawiło się narzędzie, które uwzględnia SPFa w systemie
>>> pocztowym.
>> postfix-policyd-spf-python - Postfix policy server for SPF checking
>> python-spf - sender policy framework (SPF) module for Python
>>
>
> Jeśli ktoś chce prowadzić serwer pocztowy to tak. Ale jeśli ktoś
> chce obsługiwać pocztę na własne potrzeby to ... albo sobie
> postawi serwer pocztowy (taki jak dla porządnej firmy) albo
> będzie używał outlooka. Nie istnieje MTA (AFAIK), który się
> nadaje na desktop.
Po co Ci MTA na desktopie? Od kogo do kogo chcesz wysyłać? Jaką
funkcjonalność chcesz osiągnąć? Napisz coś więcej, bo póki co wygląda na
to, że nie ja jeden mam problem ze zrozumieniem co próbujesz osiągnąć.
Pozdrawiam
Jarek
AMX
Jarosław Misztal <pe...@perio6.com> wrote:
>> IMHO problemem jest zagwarantowanie autentyczności nadawcy.
>
> Tzn.?
> Rozwiązania takie jak SPF czy DK(IM) mają zwiększać prawdopodobieństwo
Trafne określenie: _zwiększać prawdopodobieństwo_
> (gwarantować to chyba za dużo powiedziane),
zdecydowanie za dużo powiedziane
> że list pochodzi od
> uprawnionej osoby.
W mniej ambitnym ujęciu: ktoś ponosi odpowiedzialność.
Kiedy system pocztowy był tworzony, wydawłało się, że mechanizmy
weryfikacji nadawcy są zbędne, bo po co Kowalski miałby udawać
Nowaka? Ale okazało się to zbyt optymistycznym założeniem.
Zamiast sięgnąć do źródła problemu, pojawia się łata na łacie. W
efekcie prosty, przejrzysty i skuteczny system stał się jak
połatane ale dalej dziurawe spodnie.
> Użytkownik się uwierzytelnia na serwerze, który jest
> jednocześnie jedynym (upraszczam) serwerem uprawnionym do wysłania
> listu. Jeśli otrzymany przez odbiorcę list nie spełnia kryteriów
> SPF/DK(IM), to znaczy, że najprawdopodobniej został wysłany przez kogoś
> innego.
Skomplikowany system. Do tego dołóż blokowanie portów, RBLe,
greylists i całe mnóstwo innych rzeczy. Użycie kafara do wbijania
gwoździa. A jest to wszystko mało skuteczne.
> Jeśli to za mało, to pozostaje tylko podpis cyfrowy. List podpisuje
> nadawca (nie serwer)
serwer też może podpisywać
> a sprawdza odbiorca.
równie dobrze może sprawdzać serwer odbiorcy.
Weryfikował i łatał
AMX
PS. Na resztę w osobnym poście, bo to dłuższe.
Jan Stożek
>>>> Czy Ty lub ktoś o podobnych poglądach mógłby mi spokojnie i
>>>> rzetelnie wytłumaczyć, co by stracił, gdyby ustawił SPF dla
>>>> swojej domeny?
>>>
>>> Tracę możliwość wysyłania maili z domu.
Not at all.
>>> Chyba, że w domowym systemie wykupię domenę, zorganizuję MX,
>>> przedrę się przez dynDNS itd.
>>
>> A wysyłanie przez odpowiedni serwer pocztowy z uwierzytelnianiem to
>> jest jakiś problem?
>>
>
> W zasadzie nie, o ile się korzysta z outlooka. Jeśli się używa
> MTA to zaczynają się pewne problemy. MTA nie bardzo rozumie
MTA w ogóle nie bardzo rozumie. Jak każdy program - tylko robi
to, co mu każesz.
> dlaczego pocztę każdego użytkownika ma wysyłać przez inny serwer
A dlaczego ma wysyłać przez inny serwer? Czy u Ciebie każdy
użytkownik ma konto pocztowe w innej domenie? Ale nawet jeżeli tak -
to nadal nie jest problem dla MTA.
> i z innymi nagłówkami i jeszcze pamiętać hasła do
> uwierzytelniania każdego. Nieco to komplikuje końfigurację, nawet
> jeśli użytkowników jest sztuk trzy.
Też mam użyszkodników sztuk trzy. Poświęciłem kiedyś na
skonfigurowanie poczty bodaj jedno popołudnie rozpoznając jej
funkcjonowanie bojem i guglem - bo mam na ten temat mierne pojęcie. W
efekcie mam tak:
- mam swoją domenę (to akurat jest mój widzimiś, który nie ma
nic wspólnego z SPF), której pocztę obsługuje google
- każdy użyszkodnik ma na guglu założone konto z włączonym
ściąganiem przez POP3
- pocztę ściągam fetchmailem i doręczam na skrzynki
użytkowników (a ściślej - do /var/spoil/mail/user)
- użytkownicy lokalnie korzystają z kmail - ale w tej
konfiguracji mogliby właściwie korzystać z czegokolwiek
- poczta jest wysyłana przez localhost:25 i trafia do mta
(postfix)
- mta ma ustawione wysyłanie poczty pochodzącej z własnej
domeny do google'a (z autoryzacją - dla trzech użytkowników to pikuś),
natomiast maile z innych domen wysyła przez serwer ISP.
Tak naprawdę, to jest to trochę bardziej skomplikowane, bo
ciągnę kilka zaszłości (np. parę kont w innych serwisach, konto w
domenie operatora z aliasami, które były przypisane do użytkowników -
bo operator kiedyś dawał tylko jedno konto na abonenta itp).
Nota bene, kmail jest w stanie obsłużyć bezpośrednio ściąganie
i wysyłanie poczty z autoryzacją. Wiele innych klientów pocztowych
też, więc nie trzeba do tego outlooka. Na dobrą sprawę, dziś mógłbym
się w ogóle obyć bez MTA i fetchmaila (ok.... podwiesiłem do tego
jeszcze spamassassina :) ale kiedyś, kiedy łącza były znacznie
wolniejsze chciałem uzyskać lepsze czasy odpowiedzi.
--
Pozdrawiam, | Three switched witches watch three Swatch watch
switches.
| Which switched witch watch which Swatch watch switch?
(js).
PS. Odpowiadając bezpośrednio proszę usunąć minus wraz ze wszystkimi
kolejnymi literami.
AMX
Jarosław Misztal <pe...@perio6.com> wrote:
>> Jeśli ktoś chce prowadzić serwer pocztowy to tak. Ale jeśli ktoś
>> chce obsługiwać pocztę na własne potrzeby to ... albo sobie
>> postawi serwer pocztowy (taki jak dla porządnej firmy) albo
>> będzie używał outlooka. Nie istnieje MTA (AFAIK), który się
>> nadaje na desktop.
>
> Po co Ci MTA na desktopie? Od kogo do kogo chcesz wysyłać? Jaką
> funkcjonalność chcesz osiągnąć? Napisz coś więcej, bo póki co wygląda na
> to, że nie ja jeden mam problem ze zrozumieniem co próbujesz osiągnąć.
To jest kwestia koncepcji budowy środowiska pracy. Są dwie
możliwości: kombajn i klocki.
Przykładami kombajnów są wszelakie office'y, outlooki,
buildery i t.d.
All in one. Po uruchomieniu, pracujemy w tym programie bez
konieczności wychodzenia na zewnątrz. Przestaje mieć znaczenie w
jakim systemie operacyjnym to wszystko funkcjonuje. OpenOffice
pod linuxem to jest (AFAIK) ten sam program, co pod M$.
Koncepcja kombajnu wywodzi się z DOSa, tam mógł być tylko jeden
program, więc nie było innej możliwości. Kombajn sam w sobie
określa w całości środowisko pracy. Z zasady nie współpracuje z
innymi programami, chyba że z własnego pakietu.
Kombajn robi wszystko to, do czego został przeznaczony plus
dziesięć razy tyle rzeczy w okolicy. ,,Obrasta'' w różne dodatki,
które są przydatne rzadko ale bez nich _czasami_ nie da się
wykonać różnych zadań. Mało kto wysyła maile seryjnie (do dużej
grupy odbiorców), ale jeśli program nie będzie miał takiej
możliwości to jest niefunkcjonalny.
Przeciwna koncepcja to klocki. Nie ma programu do A/B/C... są
tylko moduły, z których taki program można sobie zbudować i
mechanizm współpracy między modułami.
Taki wc, sam w sobie, nic pożytecznego nie robi, ale
#v+
ls /usr/local/bin | wc -l
#v-
pozwala uniknąć liczenia palcem na ekranie.
Kiedy dawno temu (chyba gdzieś zaraz po ostatnim zlodowaceniu)
posadzili mnie pod unixem, to byłem bardzo nieszczęśliwy. Jakieś
dziwne programy ale żaden do czegoś konkretnego. Kiedy
zrozumiałem, że z cat, grep, sed, awk i niewielu innych mogę
sobie sam *zrobić program*, _taki jak chcę i potrzebuję_ to już
nigdy nie chciałem tknąć M$.
Mail nie służy do wysyłania poczty. Jest jednym z klocków
(modułów) tego systemu.
#v+
(program_dwa_dni_liczący; echo skończyłem | mail $USER) &
nail -a plik kolega@host # ^n a nie ^m
#v-
Średnio raz do roku potrzebuję wysłać w/w korespondencję seryjną.
Klockami generuję plik tekstowy:
#v+
#!/bin/sh
mail -s Powiadomienie user@host <<EOF
Szanowny Panie Kowalski!
Uprzejmię donoszę....
..
EOF
mail -s Powiadomienie user2@domain <<EOF
Szanowny Panie Nowak!
...
EOF
...
#v-
Jeśli to ma tak działać, to chcę mieć _różne_ programy do
,,poczty''. A nie chcę (i najczęściej nie mogę) skonfigurować
każdego z nich, aby wiedział przez jaki serwer i t.d.
Koncepcyjnie, nigdy nie było to potrzebne, bo program
,,pocztowy'' jedynie zamykał tekst w nagłówki i przekazywał do
MTA, który się dalej tym martwił.
Jeśli zrezygnuję z MTA i zamknę się w jakimś outlooku, to kawałek
środowiska przestanie działać. A ponieważ kombajn w ten czy inny
sposób wymusza użycie własnego, hermetycznego systemu pracy więc
albo będę używał kawałkami dwu niezgodnych albo (raczej) przejdę na
ten drugi. I już nie mogę sobie zbudowć dowolnego programu....
To tak w telegraficznym (pocztowym?) skrócie...
Jan Stożek
> To jest kwestia koncepcji budowy środowiska pracy. Są dwie
> możliwości: kombajn i klocki.
I całe spektrum wariantów pośrednich. ;)
> Przykładami kombajnów są wszelakie office'y, outlooki,
> buildery i t.d.
I Opera. Albo dowolna przeglądarka w środowisku chmury. :)
> Koncepcja kombajnu wywodzi się z DOSa, tam mógł być tylko jeden
> program, więc nie było innej możliwości.
A ile znasz "kombajnów" z prawdziwego zdarzenia chodzących pod
DOS-em? Ja pamiętam jeden i nazywał się, o ile dobrze pamiętam,
Framework. Nigdy zresztą nie zyskał większej popularności, bo w
pamięci się słabo mieścił, a jak mu się włączyło namiastkę pamięci
wirtualnej, to szybsza była praca długopisem. Inne programy można co
najwyżej określić mianem "kombajników" albo "kombajniątek". Zresztą
epoka DOS-a (w sensie produktu, bo w pewnym sensie uniks/linuks też
jest DOS-em :) minęła ponad 15 lat temu.
> mogę sobie sam *zrobić program*, _taki jak chcę i potrzebuję_
I TU jest właśnie pies pochowany.
Jeśli już chcesz rozwijać takie filozofie, to nazwij to
filozofią "zwykłego użytkownika" i "informatyka". ZU może być
handlowcem, prawnikiem, lekarzem, rolnikiem albo kurą domową, ale nie
będzie sobie sam pisał programów. ZU traktuje komputer jak pralkę:
włożyć brudy, wsypać proszek, nacisnąć, poczekać, powiesić. Dlatego
potrzebuje "kombajnu", w którym wyklika sobie wszystko, co mu może być
potrzebne do szczęścia. Takie jego zbójeckie prawo i OS nie ma tu nic
do rzeczy.
> Jeśli zrezygnuję z MTA i zamknę się w jakimś outlooku, to kawałek
> środowiska przestanie działać. A ponieważ kombajn w ten czy inny
> sposób wymusza użycie własnego, hermetycznego systemu pracy więc
> albo będę używał kawałkami dwu niezgodnych albo (raczej) przejdę na
> ten drugi.
Niczego nie wymusza. Kto Ci broni wyeksportować bazę kontaktów
z "outlooka" do csv i wysłać taką masówkę mailem - skoro tak wolisz?
> I już nie mogę sobie zbudowć dowolnego programu....
Cóż... znałem gościa, który wszystkie swoje programy pisał w
assemblerze, bo twierdził, że jak pisze w języku wysokiego poziomu, to
nie wie, co ten program tak naprawdę robi.
Ale to są tylko takie dywagacje. Nie zmieniające faktu, że
postfix NAPRAWDĘ nie ma problemów z przesyłaniem poczty do więcej, niż
jednego serwera z autoryzacją nadawcy.
--
Pozdrawiam,
(js).
Jan Stożek
>> Rozwiązania takie jak SPF czy DK(IM) mają zwiększać
>> prawdopodobieństwo
>
> Trafne określenie: _zwiększać prawdopodobieństwo_
Nikt Cię jeszcze nie poinformował, że WSZELKIE działania w
obszarze bezpieczeństwa są tylko i wyłącznie _zwiększaniem
prawdopodobieństwa_?
>> (gwarantować to chyba za dużo powiedziane),
Oczywiście. Chyba nikt normalny Ci nie ZAGWARANTUJE
bezpieczeństwa.
> Kiedy system pocztowy był tworzony, wydawłało się, że mechanizmy
> weryfikacji nadawcy są zbędne, bo po co Kowalski miałby udawać
> Nowaka?
IMHO, to są odroczone skutki oddania internetu w ręce uczelni.
Jakby cały czas pozostawał w rękach wojska, zapewne byłoby inaczej.
> Ale okazało się to zbyt optymistycznym założeniem.
> Zamiast sięgnąć do źródła problemu, pojawia się łata na łacie.
Typowy problem zapewnienia kompatybilności wstecznej.
Zarządzisz przejście całego Internetu od jutra na IPv6 z pełnym
uwierzytelnianiem wszystkich użytkowników i mikropłatnościami za każdy
przesłany mail - i pies trącał tych, którzy muszą zostać na IPv4 i
SMTP?
>> Jeśli to za mało, to pozostaje tylko podpis cyfrowy. List podpisuje
>> nadawca (nie serwer)
> serwer też może podpisywać
O ile może potwierdzić tożsamość nadawcy. Inaczej nie miałoby
to większego sensu.
Stachu 'Dozzie' K.
> Nota bene, kmail jest w stanie obsłużyć bezpośrednio ściąganie
> i wysyłanie poczty z autoryzacją.
Z autoryzacją to poradzi sobie dokładnie *każdy* klient pocztowy. Bo to
zadanie dla serwera, nie klienta, i klient co najwyżej dowiaduje się
"nie jesteś autoryzowany do nadania tej przesyłki".
To z uwierzytelnianiem bywają problemy.
--
Secunia non olet.
Stanislaw Klekot
AMX
> Po głębokim namyśle AMX napisał w niedziela, 1 maja 2011 11:49:
>
>>> Rozwiązania takie jak SPF czy DK(IM) mają zwiększać
>>> prawdopodobieństwo
>>
>> Trafne określenie: _zwiększać prawdopodobieństwo_
>
> Nikt Cię jeszcze nie poinformował, że WSZELKIE działania w
> obszarze bezpieczeństwa są tylko i wyłącznie _zwiększaniem
> prawdopodobieństwa_?
> bezpieczeństwa.
Przecież nie dyskutujemy tu o bezpieczeństwie!! Dostarczanie
paczek pocztowych to jedno. Czy przesyłki zawierają bomby to
drugie.
>
>> Kiedy system pocztowy był tworzony, wydawłało się, że mechanizmy
>> weryfikacji nadawcy są zbędne, bo po co Kowalski miałby udawać
>> Nowaka?
>
> IMHO, to są odroczone skutki oddania internetu w ręce uczelni.
> Jakby cały czas pozostawał w rękach wojska, zapewne byłoby inaczej.
Nie podzielam.
>
>> Ale okazało się to zbyt optymistycznym założeniem.
>> Zamiast sięgnąć do źródła problemu, pojawia się łata na łacie.
>
> Typowy problem zapewnienia kompatybilności wstecznej.
7bit i MIME nie były problemem nie do przezwyciężenia. Dodanie
pola, które dawałoby pewną identyfikację nadawcy wydaje się
być trudniejsze niż opanowanie zimnej fuzji jądrowej.
> Zarządzisz przejście całego Internetu od jutra na IPv6 z pełnym
> uwierzytelnianiem wszystkich użytkowników i mikropłatnościami za każdy
> przesłany mail
Znaczący spójnik ,,i'' mówi jasno, że przekonano Cię, że jeśli
zapłacisz, to rozwiążą problem spamu. Tymczasem pieniądze nie
rozwiążą problemu, wręcz przeciwnie, to właśnie z powodu pieniędzy
spam się pojawił.
> SMTP?
>
>>> Jeśli to za mało, to pozostaje tylko podpis cyfrowy. List podpisuje
>>> nadawca (nie serwer)
>> serwer też może podpisywać
>
> O ile może potwierdzić tożsamość nadawcy. Inaczej nie miałoby
> to większego sensu.
Wręcz przeciwnie. Tożsamość jest potrzebna dopiero, kiedy w
rachubę wchodzi odpowiedzialność. Na allegro nie znasz tożsamości
uczestników, dopiero kiedy trzeba zrealizować zawartą transakcję
tożsamość obu stron jest im ujawniana.
Zagadnienie jest zbyt złożone aby coś z sensem napisać ale pomyśl
o Chińczyku, który wysłał maila o treści niezgodnej o oficjalną
linią Partii....
Wracając do rzeczy, nie potrzebuję wiedzieć jaki jest numer pesel
spamera, wystarczy aby jego ISP odciął mu dostęp. Czyli muszę
wiedzieć, kto weźmie odpowiedzialność. Ta strategia sprawdza się w
praktyce.
Pozdrawiam
AMX
PS. Dzięki za pomoc przy końfiguracji MTA.
Jarosław Misztal
Zrozumiałem o co Ci chodzi.
W dniu 2011-05-01 13:30, AMX pisze:
> Jeśli to ma tak działać, to chcę mieć _różne_ programy do
> ,,poczty''. A nie chcę (i najczęściej nie mogę) skonfigurować
> każdego z nich, aby wiedział przez jaki serwer i t.d.
Jaki adres źródłowy chcesz użyć? Jeśli nieistniejący, to jesteś
nieodróżnialny od spamera. Możesz użyć adresu user@[ip], ale to raczej
zostanie odrzucone, albo user@revdns. Może to Ci wystarczy?
Zakładam jednak, że chcesz użyć adres istniejący gdzieś na jakimś
serwerze. W tym przypadku dla internetu twój MTA jest klientem a nie
partnerem, pocztę powinieneś wysyłać za pośrednictwem tamtego serwera
uwierzytelniając się. Jeśli tego nie robisz, jesteś nieodróżnialny od
spamera lub "złodzieja". Taki jest dziś kierunek zmian i nie zmienisz
tego. Poza tym, dzięki temu zwiększa się wiarygodność nadawców i
spamowanie zostaje nieco utrudnione. To, jaką metodą będzie to wymuszane
(blokada portu 25, DK(IM), SPF itd.), to już sprawa wtórna.
Pozdrawiam
Jarek
Jarosław Misztal
> On Sun, 01 May 2011 01:00:32 +0200,
> Jarosław Misztal<pe...@perio6.com> wrote:
>
>
>>> IMHO problemem jest zagwarantowanie autentyczności nadawcy.
>>
>> Tzn.?
>> Rozwiązania takie jak SPF czy DK(IM) mają zwiększać prawdopodobieństwo
>
> Trafne określenie: _zwiększać prawdopodobieństwo_
>
>> (gwarantować to chyba za dużo powiedziane),
>
> zdecydowanie za dużo powiedziane
Nie tak znowu mało. W jaki sposób można podszyć się pod kogoś, ale tak
aby było to OPŁACALNE w kontekście Kowalskiego? Przy zaimplementowanym
DK lub SPF. Poznać hasło nadawcy lub odbiorcy, włamać się na serwer
nadawcy lub odbiorcy, czy wreszcie "zaatakować DNS". Aż tak proste to
nie jest. Kluczowe słowo "opłacalne".
>> Użytkownik się uwierzytelnia na serwerze, który jest
>> jednocześnie jedynym (upraszczam) serwerem uprawnionym do wysłania
>> listu. Jeśli otrzymany przez odbiorcę list nie spełnia kryteriów
>> SPF/DK(IM), to znaczy, że najprawdopodobniej został wysłany przez kogoś
>> innego.
>
> Skomplikowany system. Do tego dołóż blokowanie portów, RBLe,
> greylists i całe mnóstwo innych rzeczy. Użycie kafara do wbijania
> gwoździa. A jest to wszystko mało skuteczne.
RBL, greylists nie mają nic wspólnego z weryfikacją użytkownika, to
tylko sposób walki ze spamem.
>> Jeśli to za mało, to pozostaje tylko podpis cyfrowy. List podpisuje
>> nadawca (nie serwer)
> serwer też może podpisywać
>
>> a sprawdza odbiorca.
>
> równie dobrze może sprawdzać serwer odbiorcy.
Nie zgodzę się z Tobą. Jeśli ufasz infrastrukturze sieciowej (w
szczególności serwerom nadawcy i odbiorcy, DNS) to DK/SPF jest
stosunkowo dobrym zabezpieczeniem. Dodanie doń podpisu cyfrowego wiele
tu nie zmieni a mocno skomplikuje.
Jeśli nie ufasz, to operacje na podpisie cyfrowym powinny odbywać tylko
u użytkowników.
Pozdrawiam
Jarek
AMX
Jarosław Misztal <pe...@perio6.com> wrote:
> Witam.
>
> Zrozumiałem o co Ci chodzi.
>
> W dniu 2011-05-01 13:30, AMX pisze:
>> Jeśli to ma tak działać, to chcę mieć _różne_ programy do
>> ,,poczty''. A nie chcę (i najczęściej nie mogę) skonfigurować
>> każdego z nich, aby wiedział przez jaki serwer i t.d.
>
> Jaki adres źródłowy chcesz użyć? Jeśli nieistniejący, to jesteś
> nieodróżnialny od spamera. Możesz użyć adresu user@[ip], ale to raczej
> zostanie odrzucone, albo user@revdns. Może to Ci wystarczy?
To wiem (aż za dobrze).
> Zakładam jednak, że chcesz użyć adres istniejący gdzieś na jakimś
> serwerze. W tym przypadku dla internetu twój MTA jest klientem a nie
> partnerem, pocztę powinieneś wysyłać za pośrednictwem tamtego serwera
> uwierzytelniając się. Jeśli tego nie robisz, jesteś nieodróżnialny od
> spamera lub "złodzieja".
Ale w takim razie zapewne dostrzegasz problem. Jeśli na desktopie
jest n użytkowników (n>1) to przy wysyłaniu każdy musi się
uwierzytelniać _swoim_ hasłem. Jednocześnie, jeśli chcesz używać
różnych klientów (w tym prymitywnych /bin/mail) to albo każdego
nauczysz, że teraz nie wysyłamy przez sendmaila tylko inaczej
albo nauczymy sendmaila rozróżniać użytkowników i każdego
obsługiwać inaczej.
> Taki jest dziś kierunek zmian i nie zmienisz
> tego. Poza tym, dzięki temu zwiększa się wiarygodność nadawców i
> spamowanie zostaje nieco utrudnione. To, jaką metodą będzie to wymuszane
> (blokada portu 25, DK(IM), SPF itd.), to już sprawa wtórna.
Tak i nie. Ten kierunek to ścieżka do nikąd (IMVHO) ale nie
zamierzam po raz kolejny opowiadać dowcipu o bacy.
Z drugiej strony, dokąd nie napisałem lepszego RFC, należy się
dostosować.
Irytuje mnie jedynie, że świat się zmienił ale nie powstał MTA,
który wyszedłby poza koncepcję sendmaila - w tym momencie
zupełnie anachroniczną.
Pozdrawiam serdecznie
AMX
Jarosław Misztal <pe...@perio6.com> wrote:
>>> Rozwiązania takie jak SPF czy DK(IM) mają zwiększać prawdopodobieństwo
>>
>> Trafne określenie: _zwiększać prawdopodobieństwo_
>>
>>> (gwarantować to chyba za dużo powiedziane),
>>
>> zdecydowanie za dużo powiedziane
>
> Nie tak znowu mało. W jaki sposób można podszyć się pod kogoś, ale tak
> aby było to OPŁACALNE w kontekście Kowalskiego? Przy zaimplementowanym
> DK lub SPF. Poznać hasło nadawcy lub odbiorcy, włamać się na serwer
> nadawcy lub odbiorcy, czy wreszcie "zaatakować DNS". Aż tak proste to
> nie jest. Kluczowe słowo "opłacalne".
Trudno byłoby podważyć taką argumentację, gdyby nie jeden
czynnik: *czas*.
Sprawdź proszę kiedy pojawił się SPF i podaj, jaki procent maili,
obecnie po wielu latach, go stosuje.
Gdyby SPF został wprowadzonony w ciągu np. roku, to ponieślibyśmy
jednorazowy koszt (zamieszanie) jego wprowadzenia a potem (wersja
dla skrajnych optymistów) przez wiele lat czerpalibyśmy korzyści.
Ale przez te wszystkie lata ponosimy koszta (część wprowadziła,
część nie, spam dociera, poczta nie) ale zysków nie widać.
Czy to jest opłacalne?
[..]
> RBL, greylists nie mają nic wspólnego z weryfikacją użytkownika, to
> tylko sposób walki ze spamem.
A po co nam byłaby weryfikacja użytkownika gdyby nie było spamu?
niezweryfikowany ale niespamujący
AMX
Jan Stożek
2011 16:34:
Ups...
"Nota bene, kmail jest w stanie obsłużyć bezpośrednio wysyłanie
poczty z uwierzytelnieniem".
Teraz dobrze?
Adam Płaszczyca
> http://www.lemat.priv.pl/index.php?m=page&pg_id=97
>
> Masz utrudnione forwardowanie poczty. Ale to akurat problem znany od
> samego początku.
Nie mam. Forwardery dopisuję do SPF i po sprawie.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ Kęszyca Leśna 51/9, 66-305 Keszyca Leśna
_______/ /_ GG: 3524356
___________/ Wywoływanie slajdów http://trzypion.pl/
Adam Płaszczyca
>> Zero,. Normalny ruch pocztowy idzie z domenami z SPF.
> SPF nie jest normalny. SPF miał chronić przed podszywaniem się pod
> serwer nadawcy, w walce ze spamem jest praktycznie nieistotny bo skoro
> już powstał to spamerzy dbają o to, żeby mieć odpowiednie wpisy i żeby
> ich spamboty przedstawiały się jak należy - nie podszywają się.
Jest bardzo normalny i pomocny. Zapewnia, że spamerzy się nie podszywają
pod jakiegoś nadawcę. Dzięki temu można na przykłąd bez większego problemu
uzywac whitelist, omijając kontrolę antyspamową.
>> A nienormalny mnie
>> nie interesuje ;)
> Mam całkiem sporo wulgarnych określeń na takich administratorów od
> siedmiu boleści, którzy mają swoją wizję świata i próbują naginać go do
> tej wizji.
A miej. Co mnie to?
>> Mniej więcej.
> Mniej więcej jest to idiotyczne. Na całe szczęście nie mam potrzeby
> gadać z Twoim mailserwerem.
I dobrze, bo byś sobie nei pogadał.
Stachu 'Dozzie' K.
> Po głębokim namyśle Stachu 'Dozzie' K. napisał w niedziela, 1 maja
> 2011 16:34:
>
>> On 2011-05-01, Jan Stożek <conu...@chello.pl> wrote:
>>> Nota bene, kmail jest w stanie obsłużyć bezpośrednio ściąganie
>>> i wysyłanie poczty z autoryzacją.
>>
>> Z autoryzacją to poradzi sobie dokładnie *każdy* klient pocztowy. Bo
>> to zadanie dla serwera, nie klienta, i klient co najwyżej dowiaduje
>> się "nie jesteś autoryzowany do nadania tej przesyłki".
>> To z uwierzytelnianiem bywają problemy.
>
> Ups...
>
> "Nota bene, kmail jest w stanie obsłużyć bezpośrednio wysyłanie
> poczty z uwierzytelnieniem".
>
> Teraz dobrze?
Teraz dobrze.
>
> --
[...]
> PS. Odpowiadając bezpośrednio proszę usunąć minus wraz ze wszystkimi
> kolejnymi literami.
A nie myślałeś o tym żeby zmienić delimiter? Zwyczaj mówi że to jest
"dash-dash-space", bez dodatkowych dwóch tabów na końcu. Taka uwaga przy
okazji.
Jan Stożek
> A po co nam byłaby weryfikacja użytkownika gdyby nie było spamu?
A czy walka ze spamem jest jedynym celem potwierdzenia
tożsamości nadawcy?
Weź przykład: prowadzisz firmę, przychodzi zamówienie (albo
choćby tylko zapytanie) mailem. Interesuje Cię, czy dup...@domena.pl,
to naprawdę - i niezaprzeczalnie - Jan Nowak, ul. Morska 12, 81-453
Gdańsk? Bo jeżeli tak jest, to możesz potraktować mail jako dokument
na równi z papierem.
--
Pozdrawiam, | Three switched witches watch three Swatch watch
switches.
| Which switched witch watch which Swatch watch switch?
(js).
PS. Odpowiadając bezpośrednio proszę usunąć minus wraz ze wszystkimi
kolejnymi literami.
Adam Płaszczyca
>> Czy Ty lub ktoś o podobnych poglądach mógłby mi spokojnie i rzetelnie
>> wytłumaczyć, co by stracił, gdyby ustawił SPF dla swojej domeny?
>
> Tracę możliwość wysyłania maili z domu.
Ciekawe. Dlaczego?
Ja jakoś nie mam takiego problemu.
Adam Płaszczyca
> Całe zło SPF polega na tym, że są idioci uważający go za narzędzie do
> walki ze spamem podczas gdy z założeń wynika, że jest to narzędzie
> dbania o autentyczność (i to porządnie dopiero w połączeniu z DNSsec).
I co za tym idzie - bardzo dobrze sprawdza się przy walce ze spamem.
> SPF to głupota, która będzie tym powszechniejsza im więcej ludzi będzie
> SPF posiadać.
I dobrze.
> A cały czas dla spamera uzyskanie prawidłowego wpisu SPF nie jest trudne
> (wystarczy dowolna domena), a dla wielu ludzi niemożliwe (subdomeny, czy
> domeny zarządzane przez jakieś zewnętrzne podmioty).
I dobrze. Niemal 100% spamu dostaję z kompów z adresem dynamicznym - czyli
różne neostrady i inne takie. Sprawdzenei SPF wraz ze sprawdzeniem
zgodności rev-DNS z HELO lub EHLO odsiewa 95% spamu.
I bardzo mi się to podoba.
Stachu 'Dozzie' K.
> Dnia Sat, 30 Apr 2011 08:48:48 +0000 (UTC), Stachu 'Dozzie' K. napisał(a):
>
>> http://www.lemat.priv.pl/index.php?m=page&pg_id=97
>>
>> Masz utrudnione forwardowanie poczty. Ale to akurat problem znany od
>> samego początku.
>
> Nie mam. Forwardery dopisuję do SPF i po sprawie.
Masz. Musisz dodać kolejnego forwardera (cokolwiek rozumiesz przez
forwardera; bo chyba myślisz o innej sprawie niż przekazywanie
przychodzącej poczty na jakiś zewnętrzny serwer (~/.forward)).
Poza tym jeśli ktoś z odbiorców któregoś twojego użytkownika chce
forwardować pocztę na konto na innym serwerze, a serwer docelowy
weryfikuje SPF, to pierwszy serwer odbiorcy musi robić SRS.
Adam Płaszczyca
> Więc spamer mający botnet na neostradzie rejestruje/kradnie[*] domenę
> example.org i wpisuje jej rekord TXT/SPF[*] o zawartości:
> "v=spf1 ip4:80.48.0.0/13 mx [**] -all"
> czy wręcz
> "v=spf1 +all"
>
> Dzięki czemu cały jego botnet może wysyłać maile "z example.org" i
... natychmiast ta domena trafia na blacklistę. A przy okazji i tak spam
wyleci na porównanuiu rev-dns z EHLO lub HELO.
AMX
Jan Stożek <conu...@chello.pl> wrote:
> Po głębokim namyśle AMX napisał w niedziela, 1 maja 2011 17:42:
>
>> A po co nam byłaby weryfikacja użytkownika gdyby nie było spamu?
>
> A czy walka ze spamem jest jedynym celem potwierdzenia
> tożsamości nadawcy?
W wielkim uproszczeniu i skótowo: ze względów praktycznych
*jedynym*. (<-- kropka)
>
> Weź przykład: prowadzisz firmę, przychodzi zamówienie (albo
> choćby tylko zapytanie) mailem. Interesuje Cię, czy dup...@domena.pl,
> to naprawdę - i niezaprzeczalnie -
Jeśli mail przyjdzie z adresu r-...@b2.cy ale jest podpisany
kluczem należącym do
> Jan Nowak, ul. Morska 12, 81-453
> Gdańsk?
to wtedy jest to dokument podpisany przez J. Nowak etc.
Jest tylko jeden mały haczyk. Kto mi zabroni wygenerować klucz na
nazwisko J. Nowak etc. Itd. Temat rzeka.
> Bo jeżeli tak jest, to możesz potraktować mail jako dokument
> na równi z papierem.
Nie wiem jak aktualnie reguluje to ustawa ale prawnie wygląda to
trochę inaczej niż technicznie.
Kreślę się z wyrazami szacunku
Bartosz Feński aka fEnIo
>> A cały czas dla spamera uzyskanie prawidłowego wpisu SPF nie jest trudne
>> (wystarczy dowolna domena), a dla wielu ludzi niemożliwe (subdomeny, czy
>> domeny zarządzane przez jakieś zewnętrzne podmioty).
>
> I dobrze. Niemal 100% spamu dostaję z kompów z adresem dynamicznym - czyli
> różne neostrady i inne takie. Sprawdzenei SPF wraz ze sprawdzeniem
> zgodności rev-DNS z HELO lub EHLO odsiewa 95% spamu.
> I bardzo mi się to podoba.
No i fajnie. Wyjebałeś system. To tak jakby Kowalski stwierdził, że u niego
bezdętkowe opony wyeliminowały problem wyjebania w drzewo po pijaku.
Pewnie wyeliminowały, ale tylko gdy wraca najebany z kościoła do domu.
I tylko gdy on prowadzi.
Ja myślałem, że obracamy się w jakichś realiach w tych dyskusjach. Może
gdybyś miał styczność z klientami, którzy mają w piździe SPFy, DKIMy i inne
trudne akronimy, a po prostu chcą dostać pocztę to byś inaczej gadał.
pozdr,
fEnIo
--
,''`. Bartosz Fenski | mailto:fe...@debian.org | pgp:0x13fefc40 | irc:fEnIo
: :' : 32-050 Skawina - Glowackiego 3/15 - malopolskie v. - Poland
`. `' phone:+48602383548 | proud Debian maintainer and user
`- http://fenski.pl | xmpp:fe...@jabber.org | rlu:172001
Jan Stożek
>> Oczywiście. Chyba nikt normalny Ci nie ZAGWARANTUJE
>> bezpieczeństwa.
>
> Przecież nie dyskutujemy tu o bezpieczeństwie!! Dostarczanie
> paczek pocztowych to jedno. Czy przesyłki zawierają bomby to
> drugie.
Przypuszczam, że nie sądzę. Jeżeli operator odsieje 90%
przesyłek z bombami choćby na podstawie tego, że nadawca nie potrafi
się poprawnie wylegitymować, to ja jestem za - jeżeli tylko liczba
false positive'ów będzie pomijalnie niska.
>> Typowy problem zapewnienia kompatybilności wstecznej.
>
> 7bit i MIME nie były problemem nie do przezwyciężenia.
Zanim mime się upowszechnił na praktycznie wszystkich używanych
programach pocztowych i praktycznie wszystkich platformach też minęło
parę lat. I <anti-shit helmet>podejrzewam, że gdyby nie pozycja M$
trwałoby to znacznie dłużej</anti-shit helmet>. Tyle, że to było
bardzo dawno temu.
>> Zarządzisz przejście całego Internetu od jutra na IPv6 z pełnym
>> uwierzytelnianiem wszystkich użytkowników i mikropłatnościami za
>> każdy przesłany mail
>
> Znaczący spójnik ,,i'' mówi jasno, że przekonano Cię, że jeśli
> zapłacisz, to rozwiążą problem spamu. Tymczasem pieniądze nie
> rozwiążą problemu, wręcz przeciwnie, to właśnie z powodu pieniędzy
> spam się pojawił.
IMHO spam pojawił się na skutek gigantycznej dysproporcji
pomiędzy nikłym kosztem jego wysyłania, a potencjalnymi korzyściami.
Przykład (uproszczony, oczywiście): Jeżeli zaledwie 0.1% ludzi
odpowie na spam, to wysyłając milion przesyłek mam szansę na 1 tys.
transakcji. Jeżeli na każdej zarobię 10 dolarów, jestem do przodu 10
kafli przy koszcie 0$
Jeżeli uwierzytelniony nadawca zapłaci 1 cent za maila (a maile
od nieuwierzytelnionych z automatu trafiają do kosza), wysyłka będzie
kosztować 10 tys. dolarów - czyli biznes robi się nieopłacalny.
Ale, oczywiście, do tego trzeba uszczelnionego systemu
uwierzytelniania albo - jak to ktoś nazwał - "elektronicznych znaczków
pocztowych". Wtedy nadawca nie ma znaczenia.
>> O ile może potwierdzić tożsamość nadawcy. Inaczej nie miałoby
>> to większego sensu.
>
> Wręcz przeciwnie. Tożsamość jest potrzebna dopiero, kiedy w
> rachubę wchodzi odpowiedzialność.
To co Ci da podpis serwera? Że taki mail przez niego przeszedł?
Ale to i tak wiadomo: są ślady w mailu, są logi serwera odbiorcy...
> Na allegro nie znasz tożsamości
> uczestników, dopiero kiedy trzeba zrealizować zawartą transakcję
> tożsamość obu stron jest im ujawniana.
Moment poznania tożsamości uczestnika i osoba do tego
uprawniona, to kwestia organizacyjna, a nie techniczna. Natomiast cały
ten system jest oparty na zaufanej stronie trzeciej (allegro). Ale tu
też najpierw następuje uwierzytelnienie użytkownika w stosunku do
allegro, a dopiero potem allegro poświadcza w stosunku do innych, że
go zna. Gdyby można było zalogować się na dowolne konto na allegro bez
podawania hasła (nie mówiąc już o dostarczeniu kopii dokumentu
tożsamości - bo tego, zdaje się, allegro wymaga przy zakładaniu
konta), cały system wziąłby w łeb.
Nota bene, sama idea dokumentu tożsamości też opiera się na
zaufanej stronie trzeciej - w stosunku do której też musisz się w
swoim czasie uwierzytelnić.
> Zagadnienie jest zbyt złożone aby coś z sensem napisać ale pomyśl
> o Chińczyku, który wysłał maila o treści niezgodnej o oficjalną
> linią Partii....
Dlatego z punktu widzenia Partii obowiązkowe uwierzytelnianie
jest bardzo wskazane. ;) A tych drobnych kilku milionów Chińczyków,
którzy potrafią je skutecznie obejść Partia pilnuje innymi sposobami.
A zresztą, czy ja pisałem, że uwierzytelnianie nadawcy jest
panaceum?
> Wracając do rzeczy, nie potrzebuję wiedzieć jaki jest numer pesel
> spamera, wystarczy aby jego ISP odciął mu dostęp.
A jako ISP ma to zrobić, jeżeli nie będzie wiedział, kto to
jest?
> PS. Dzięki za pomoc przy końfiguracji MTA.
Cała przyjemność po mojej stronie.
Jan Stożek
> Jeśli mail przyjdzie z adresu r-...@b2.cy ale jest podpisany
> kluczem należącym do
>> Jan Nowak, ul. Morska 12, 81-453
>> Gdańsk?
> to wtedy jest to dokument podpisany przez J. Nowak etc.
Bingo. Tylko kto ma podpisać ten dokument? Klient czy serwer?
Bo jeżeli serwer, to musi on wiedzieć skądinąd, że mail rzeczywiście
pochodzi od rzeczonego Nowaka. A jeżeli klient, to oczywiście musisz
mieć zaufanie do jego klucza.
> Jest tylko jeden mały haczyk. Kto mi zabroni wygenerować klucz na
> nazwisko J. Nowak etc.
Kłania się zaufana strona trzecia. :)
>> Bo jeżeli tak jest, to możesz potraktować mail jako dokument
>> na równi z papierem.
>
> Nie wiem jak aktualnie reguluje to ustawa ale prawnie wygląda to
> trochę inaczej niż technicznie.
Strona prawna jest pochodną strony technicznej.
Ustawa uznaje, że dokument podpisany elektronicznie jest
równoważny papierowemu _wyłącznie_ dlatego, że można technicznie
potwierdzić jego autorstwo ("podpis") z dostatecznie dużym
prawdopodobieństwem.
Jan Stożek
> A nie myślałeś o tym żeby zmienić delimiter? Zwyczaj mówi że to jest
> "dash-dash-space", bez dodatkowych dwóch tabów na końcu. Taka uwaga
> przy okazji.
Prawdę mówiąc, nawet nie wiedziałem, że te tabulatory tam są.
Dzięki. :)
--
Pozdrawiam, | Three switched witches watch 3 Swatch watch switches.
| Which switched witch watch which Swatch watch switch?
(js).
PS. Odpowiadając bezpośrednio proszę usunąć minus wraz ze wszystkimi
kolejnymi literami.
Jarosław Misztal
> On Sun, 01 May 2011 16:32:43 +0200,
> Jarosław Misztal<pe...@perio6.com> wrote:
>
>>>> Rozwiązania takie jak SPF czy DK(IM) mają zwiększać prawdopodobieństwo
>>>
>>> Trafne określenie: _zwiększać prawdopodobieństwo_
>>>
>>>> (gwarantować to chyba za dużo powiedziane),
>>>
>>> zdecydowanie za dużo powiedziane
>>
>> Nie tak znowu mało. W jaki sposób można podszyć się pod kogoś, ale tak
>> aby było to OPŁACALNE w kontekście Kowalskiego? Przy zaimplementowanym
>> DK lub SPF. Poznać hasło nadawcy lub odbiorcy, włamać się na serwer
>> nadawcy lub odbiorcy, czy wreszcie "zaatakować DNS". Aż tak proste to
>> nie jest. Kluczowe słowo "opłacalne".
>
> Trudno byłoby podważyć taką argumentację, gdyby nie jeden
> czynnik: *czas*.
>
> Sprawdź proszę kiedy pojawił się SPF i podaj, jaki procent maili,
> obecnie po wielu latach, go stosuje.
>
> Gdyby SPF został wprowadzonony w ciągu np. roku, to ponieślibyśmy
> jednorazowy koszt (zamieszanie) jego wprowadzenia a potem (wersja
> dla skrajnych optymistów) przez wiele lat czerpalibyśmy korzyści.
>
> Ale przez te wszystkie lata ponosimy koszta (część wprowadziła,
> część nie, spam dociera, poczta nie) ale zysków nie widać.
SPF to nie jest narzędzie do walki ze spamem, choć przydaje się.
Ja zysk widzę. Koszt wprowadzenia był marginalny, listów od dziwnych
nadawców sporo blokuje.
> Czy to jest opłacalne?
Chyba piszemy o czymś innym. Pisząc o opłacalności miałem na myśli
opłacalność próby podszycia się pod Kowalskiego w sytuacji, gdy jest
wdrożone DKIM lub SPF, a nie koszt wprowadzenia tych mechanizmów.
Co do kosztów wdrożenia, to jaki to problem dodać do DNS ten nieszczęsny
rekord, nawet w durnej postaci "+all". Jak nie chcesz, to nie musisz
weryfikować przy odbiorze, więc tu też koszt jest zerowy.
>> RBL, greylists nie mają nic wspólnego z weryfikacją użytkownika, to
>> tylko sposób walki ze spamem.
>
> A po co nam byłaby weryfikacja użytkownika gdyby nie było spamu?
Nie przesadzaj. Choćby po to, byś wiedział czy to osoba, która znasz,
czy jakiś żartowniś wysyła Ci niemoralne propozycje. ;-)
Pozdrawiam
Jarek
Adam Płaszczyca
> Poza tym jeśli ktoś z odbiorców któregoś twojego użytkownika chce
> forwardować pocztę na konto na innym serwerze, a serwer docelowy
> weryfikuje SPF, to pierwszy serwer odbiorcy musi robić SRS.
W takiej sytuacji idzie inny envelope sender. Jakiż problem?