Алексей Тутубалин высказал свое мнение по поводу реальности внедрения технологий защиты от подделки обратных email адресов. Вывод - в обозримом будущем безболезненное повсеместное внедрение таких технологий как SPF или DomainKeys маловероятно.- SPF - "Sender Permitted From" используя DNS формируется список IP серверов имеющих право рассылать почту используя данное доменное имя упоминаемое в адресе отправителя. Плюсы - открытость и относительная простота технологии и интеграции в MTA. Минус - привязывает пользователя к определенному почтовому серверу, не дает возможность отправить письмо ,например, через SMTP другого провайдера.
- DomainKeys от Yahoo (помещение в заголовке зашифрованного секретного ключа и распространение для данного домена открытого ключа посредством DNS). Плюсы - не зависимость от почтового сервера за счет возможности включения ключа пользовательским ПО. Минусы - закрытая, надуманная и излишне усложненная технология, трудность интеграции, возможность утечки ключа, после перехвата письма с ключом защита теряет смысл.
URL: http://www.compulenta.ru/2004/1/28/44714/
Новость: http://www.opennet.me/opennews/art.shtml?num=3364
Тутубалин -- это тот хлопец что придумал Русский Апач? Творение сие принесло не меньше проблем чем решений на просторы всемирного инета.
Я что-то не испытываю никаких проблем с русским апачем. А вопли о кривизне русского апача только можно услышать от тех кто его видимо криво настраивает. ;)))
вот это точно, у меня он уже как пол года бегает и никаких проблем =)
пол-года - не срок.
я пользую Russian Apache с 98 года - вполне доволен. Спасибо Алексу и Russian Apache Team, а по поводу кривизны апача - дело действительно в настройках и кривизне рук
Народ, признайтесь, зачем он нужен?
Кодировки взад - вперд менять? Времена уже не те...
>Народ, признайтесь, зачем он нужен?
>Кодировки взад - вперд менять? Времена уже не те...Держать контент на сервере в одной кодировке, а выдавать в другой. IE часто подсовывает windows-1251 вместо кодировки в которой находится форма (если встретился нетранслируемый символ).Еще можно обойти баги в других менее популярных браузерах.
Так в какие времена он писался? Вспомнишь какие тогда были браузеры? Вот то-то. А то, что команда до сих пор поддерживает проект - большое ей спасибо.
В свое время без русского апача было туго, но сейчас он потерял актуальность для новых браузеров, имеет смысл только со старыми клиентами.
Ну не ссорьтесь, горячие финские парни - нормальные(адекватные) люди поняли, для чего нужен русский апач, дуракам не дано - какие нужны еще аргументы ?
Обоснованные, а не ваши тут все
1. Прошу всех обсуждающих возвратиться к SUBJ.
2. Частным решением вопроса мне представляется создание SMTP AUTH community (при котором пользан накрепко привязывается к серваку). Недавно решал эту проблему средствами SendMail - вполне работоспособно. Как дальнейшее развитие возможна авторизация через LDAP и отвязка пользана от сервака.
>2. Частным решением вопроса мне представляется создание SMTP AUTH community (при котором
>пользан накрепко привязывается к серваку). Недавно решал эту проблему средствами SendMail
>- вполне работоспособно.Тоже давно над этим думаю.
Я планирую проверять MessageID, и если в нем фигурирует мой домен,
то после проверки на принадлежность relay моей сети, давать либо отлуп либо пропускать почту.
А на каком этапе у вас происходит привязка?
На этапе проверки Mail From.
По AuthID определяю каков должен быть MailFrom,
и если предлагают что-то другое - от винта по резьбе.
И еще (немного недоделал, но почти работало) список доменов,
для приема почты с которых, сервер-отправитель должен авторизироваться
на сервере-получателе.
Перспективы: AUTH базы на серваках немеряно растут и приходит
пора централизации, как описал один из коллег ;-)
>Тоже давно над этим думаю.
>Я планирую проверять MessageID, и если в нем фигурирует мой домен,
>то после проверки на принадлежность relay моей сети, давать либо отлуп либо
>пропускать почту.Но это не защитит ни от подделки адресов клиентов и клиентами, не от внешнего спама. Возможность соединится напрямую к серверу и указать все что угодно остается, любой сможет отправить письмо через соседний SMTP без подобных лимитов указав имя вашего домена и любой сможет соединится к вашему серверу и прислать вашему клиенту почту указав в отправителе все что угодно. Обе проблемы нерешаемые, в первом случе, нереально переучить клиентов ISP и убедить самих ISP пересылать почту для халявщиков с чужими IP, имеющих email от этого ISP. Во втором - нужно менять технологию обмена сообщениями между почтовыми серверами (авторизацию почтового сервера), что еще менее реально и бессмыслено.
Правда, IMHO, есть один выход - ввести жесткую авторизацию посредством сертификатов, котрые выдавать централизованно и именть возможность онулировать. Что-то похожее на лицензирование почтовых серверов, как сейчас выдают домены и IP блоки, выдавть "зеленые карты" на почтовые сервера.
Пойдя путем централизации, авторизации и т.д. придем напрямую в руки Билли, с их задвигом насчет платных электронных почтовых марок.. а их кстати еще яха собирается поддержать..
ИМХО надо искать другие варианты.. пока не поздно
Технически решаем так - Запретить обработку исходящей почты с отправителем в адресе которого не свой домен (домены из списка) Для sendmail - это пара строк в конфигеОрганизационное решение - вот это вопрос вопросов.
То что ты отрежешь левых сендеров на своем домене, это может и хорошо, но не факт что это сделают на соседнем домене или просто не поставят МТА, который будет спокойно пропускать письма с подделкой заголовкови т.д т.п.ИМХО для начала было бы неплохо сделать хотябы следующее:
МТА должен хранить базу за какойто период в которой лежит msgid и адрес отправителя. Соответсвенно конечный МТА назначения посылает запрос с msgid на домен отправитель и в ответ получает адрес отправителя.
Этим сразу отсечется подделка заголовков, и тогда более реально заработают черные списки.
И вообще новое это хорошо позабытое старое, хотя наверно не такое уж и старое, но напрямую я уж давно их не видел :) как уехал с Томска.
Поднять FIDO-нет схему и бить за левую почту сисопов.
:) Шутка конечно, но зато самая реальная схема в плане отсечения левой почты, такчто.. как во всякой шутке...
>Поднять FIDO-нет схему и бить за левую почту сисопов.Точто также сейчас можешь "бить за левую почту" владельцев IP. Разницы никакой, только в фидо никто никому ничего не должен, а в Интернет с точности до наоборот, просто так никого не отключишь, нужны общесетевые законы поддерживаемые повсеместно, а не как сейчас у каждого свой договор с разными обязательствами.
Хотя задачу можно свести не к запрещению подделки From, а к подтверждению реальности отправителя, например, цифровые подписи использоать.
Может проще сделать обязательность наличия для почтового сервера обратной DNS записи определенного вида (mail.domain.com) и обязать всех владельцев почтовый систем внести изменения в DNS в течении какого-то срока. В нормальных системах даже не придется ничего менять, у криворуких админов будет стимул, а кто не сделает изменения сами выкопают себе могилу.
Далее если почта идет не с ^mail.* домена смело шлем ее в /dev/null, при жалобах посылаем еще дальше - в RFC.
Мужики, а может мы не о том думает. Проблема не в спуфинге почтовых адресов, а в анонимности в интернете. Только давайте разберёмся что такое анонимность. Есть анонимность по отношению к правоохранительным органам. Её у пользователей уже давно нет. Есть анонимность -- по отношению к другим участникам сети. Она выражается грубо говоря в невозможности соотносить один узел сети с одним физическим лицом.
Мне как провайдеру и контент-провайдеру не нужны паспортные данные пользователя по адресу 192.168.0.1. Мне нужно знать, что с этого адреса с большой вероятностью приходит и будет приходить один и тот пользователь. Тогда я смогу в отношении его проводить целенаправленную политику, в зависимости от поведения пользователя -- фильтровать, давать дополнительный доступ, отсекать от него почту и т.д. Со временем с пользователями у меня сложится история отношений и я смогу знать что 192.168.0.1 -- спаммер, 192.168.0.2 активно участвует в форуме техподдержки, 192.168.0.3 постоянно сканирует чужие компьютеры и т.д.
Сейчас же сложилась такая ситуация что физические и даже юридические лица меняют ip-адреса как перчатки. Чтобы блокировать нежелательного члена сети приходится иногда блокировать весь пул ip-адресов дружественного провайдера. Как исправить такую ситуацию? Технически очень просто -- перейти на IPv6. К сожалению, это не гарантирует улучшения ситуации, всего лишь создаёт технические предпосылки для этого.Сорри за краткость -- постараюсь написать подробную статью об этом.
позно зашел, но>Держать контент на сервере в одной кодировке, а выдавать в другой
кодировку надо правильную держать : UTF-8, тогда и проблем не будет.
кстати поинтересуйтесь, в какой кодировке отдает контент google ;)А с подделкой адресов можно поступить как с POP3 - запретить на уровне стандартов отправку почты без авторизации, и e-mail обратный проставляет сервер. По поп3 никому в голову не пришло разрешать снимать почту с левым логином, паролем или вообще без них.
Прям подозрение, что в стандарт на СМТП специально закладку сделали.
>А с подделкой адресов можно поступить как с POP3 - запретить на
>уровне стандартов отправку почты без авторизации, и e-mail обратный проставляет сервер.Разница в том, что в ящик почту кто попало положить не может, только агент доставки. С SMTP ты можешь авторизировать клиентов, но не внешние сервера, т.е. любой завирусенный компьютер из какой-нибудь бразильской xDSL cети по прежнему может закачивать напрямую спам в твой SMTP сервер, его авторизоваться не заставишь.
Каждый день к Internet присоединяются тысячи людей, входящих во взрослую жизнь (даже без учёта расширения аудитории Internet можно просто разделить число пользователей Internet на 20'000 дней - срок жизни человека). Нет способов узнать, является ли человек новым пользователем или старым спамером. Поэтому про анулируемые сертификаты можете забыть.Лично я по каждому московскому спаму звоню ЗАКАЗЧИКУ (а не ИСПОЛНИТЕЛЮ) спама и посылаю его в пешее путешествие с эротическим уклоном. КПД спама (число откликов, делённое на число писем) заведомо ниже 0.01%; даже если 1% получателей спама позвонит заказчику спама и скажет ему о его нетрадиционной сексуальной ориентации, то спам станет экономически невыгодным.
Плюс к тому, если в спаме указан контактный E-mail, то на этот E-mail от меня сразу уходит мегабайт мусора - пусть читает, мне не жалко. Перед мусором идёт цитата спам-письма, чтобы спамер не смог сразу отличить бомбу от реального письма и был вынужден закачивать этот мегабайт себе. А ещё почтовый ящик может переполниться...
А вот ещё одно применение адресам спамеров: http://prof.pi2.ru/literat/spamadrs.htm - прошу дать на ваших сайтах ссылку на эту страничку, пусть спамеры переписываются друг с другом.
Сегодня получил спам, предлагающий прислать заказ на посылку наложенным платежом. Завтра отправлю заказ на несуществующий адрес - пусть работают.
PS: Bill Gates генерирует безумные идеи, а его бизнес-гениальность позволяет протолкнуть эти идеи в жизнь. Бедные мы разнесчастные...
Прежде чем тратить энергию на телефонные звонки и беганье по почтам, неплохо бы учесть, что спам может быть просто подставой какого-нибудь козла
непонравившейся ему фирме.
> Прежде чем тратить энергию на телефонные звонки и беганье по почтам,
> неплохо бы учесть, что спам может быть просто
> подставой какого-нибудь козла непонравившейся ему фирме.Дык я же сначала вежливо спрашиваю, их ли это реклама. Ни одного прокола в этом смысле не было - пока что мне в ящик такие подставы не сыпались.
А по реальным почтам я не бегаю - пока обхожусь электронной.
Ты говоришь о реальных почтовых адресах в своей ссылке?
А ты уверен что это не подделка?
Дело в том, что сейчас поток спама идёт именно с поддельных адресов. Которых на самом деле никогда не существовало, поэтому выщемить можно только релеэй через который прошёл этот спам, причём в большинстве случаев эти выходы разовые и больше с этих ip ничего не приходит.
Я ни в коем случае не ставлю под вопрос твою профпригодность, но теми методами что мы раньше использовали уже мало помогают.
> Ты говоришь о реальных почтовых адресах в своей ссылке?
> А ты уверен что это не подделка?
> Дело в том, что сейчас поток спама идёт именно с поддельных адресов.
Все адоеса берутся из ТЕЛА письма, где так и написано:
please note to send ALL REPLY e-mail direct to our Sales Representative at:
Questions@bestwatchesplace.com
(и пусть спамерские боты найдут этот адрес здесь).> Которых на самом деле никогда не существовало, поэтому выщемить можно
> только релеэй через который прошёл этот спам, причём в большинстве
> случаев эти выходы разовые и больше с этих ip ничего не приходит.
Отнюдь нет - мои запреты по IP-номерам дают неплохой урожай отлупов спама и вирусов.
>> Ты говоришь о реальных почтовых адресах в своей ссылке?
>> А ты уверен что это не подделка?
>> Дело в том, что сейчас поток спама идёт именно с поддельных адресов.
>Все адоеса берутся из ТЕЛА письма, где так и написано:
>please note to send ALL REPLY e-mail direct to our Sales Representative
>at:
>Questions@bestwatchesplace.com
>(и пусть спамерские боты найдут этот адрес здесь).
>
>> Которых на самом деле никогда не существовало, поэтому выщемить можно
>> только релеэй через который прошёл этот спам, причём в большинстве
>> случаев эти выходы разовые и больше с этих ip ничего не приходит.
>Отнюдь нет - мои запреты по IP-номерам дают неплохой урожай отлупов спама
>и вирусов.
Тогда тебе несказанно везёт! Так как мой опыт показывает, что в большинстве случаев с этого IP больше спама не ползёт, таким образом % "отлупов" не слишком велик.
> Тогда тебе несказанно везёт! Так как мой опыт показывает,
> что в большинстве случаев с этого IP больше спама не ползёт,
> таким образом % "отлупов" не слишком велик.Я запрещаю не только отдельными IP-номерами, но и целыми доменами, а также сетями класса C или даже B. Попробуй мой http://prof.pi2.ru/literat/access
>> Тогда тебе несказанно везёт! Так как мой опыт показывает,
>> что в большинстве случаев с этого IP больше спама не ползёт,
>> таким образом % "отлупов" не слишком велик.
>
>Я запрещаю не только отдельными IP-номерами, но и целыми доменами, а также
>сетями класса C или даже B. Попробуй мой http://prof.pi2.ru/literat/access
Ну теперь то Дмитрий мне всё понятно! У меня даже трети от твоего файла нет.
Из статистики одного дня:
86 [62.85.56.195]
27 [213.253.24.46]
14 [195.133.234.194]
В левой колонке - число моих отлупов письмам с данного IP-номера (не прописанного в ReverceDNS) в течении ОДНОГО дня (статистика не средняя, а максимальная, какую я нашёл; но искал недолго а как попало). Эти три IP-номера у меня были запрещены за вирус.
Запрещать адрес за вирус - глуппо.
Добрый день.
Вопрос немного не по теме, но все же...
У меня sendmail + SMTP AUTH.
В логе к примеру:
AUTH=server, relay=[192.168.1.1], authid=petrov, mech=PLAIN, bits=0.Мне необходимо фильтровать по authid, т.к. почта корпоративная
и желательно для определенных пользователей не выходить из домена.
К примеру в access добавить
authid=petrov REJECT... то это не работает.
Вопрос как записывать правила в access map для управления authid ??